-
-
[旧帖] [原创]Ring3转入Ring0跟踪 0.00雪花
-
2013-7-2 17:20
-
新手学习过程记录,大牛飘过
通过反汇编跟踪一个API函数从Ring3层到Ring0层的具体执行过程,有助于我们加深对相关内核Hook技术的理解。
我们可以使用OD打开notepad.exe程序,对CreateFileW下断后,可以发现,有这样一行代码:
CALL DWORD PTR DS:[<&ntdll.NtCreateFile>>; ntdll.ZwCreateFile
也就是说,CreateFileW(Win32API)实际上是调用了ntdll中的NtCreateFile(或ZwCreateFile)函数。
使用微软自带的Dependency工具查看ntdll中的NtCreateFile和ZwCreateFile函数,可以发现,两个函数的入口地址是一样的,也就是说,两个函数可以看成是同一个函数。
继续反汇编跟踪,可以发现NtCreateFile调用了如下函数:
MOV EAX,25 //SSDT表索引号,对应的十进制=37
MOV EDX,7FFE0300
CALL DWORD PTR DS:[EDX]
RETN 2C
继续反汇编,我们发现CALL DWORD PTR DS:[ 7FFE0300 ]实际上是调用了ntdll.KiFastSystemCall,反汇编窗口中跟随KiFastSystemCall,便有了如下几行代码:
MOV EDX,ESP
SYSENTER
RETN
通过调用SysEnter(软件中断)指令,Windows系统将会捕获这个调用,然后进入Ring0层,并调用内核服务函数NtCreateFile。
在进入Ring0层之后,操作系统会根据索引号(eax的值)在系统服务描述表中查找对应的表项,比如,通过Kernel Detective可以知道SSDT表中,索引号为37对应的服务名为NtCreateFile,当前地址为:0x80574E0B,
系统会根据这个地址调用相应的系统服务函数,并把结果返回给ntdll.dll中的 NtCreateFile 。
通过反汇编跟踪一个API函数从Ring3层到Ring0层的具体执行过程,有助于我们加深对相关内核Hook技术的理解。
我们可以使用OD打开notepad.exe程序,对CreateFileW下断后,可以发现,有这样一行代码:
CALL DWORD PTR DS:[<&ntdll.NtCreateFile>>; ntdll.ZwCreateFile
也就是说,CreateFileW(Win32API)实际上是调用了ntdll中的NtCreateFile(或ZwCreateFile)函数。
使用微软自带的Dependency工具查看ntdll中的NtCreateFile和ZwCreateFile函数,可以发现,两个函数的入口地址是一样的,也就是说,两个函数可以看成是同一个函数。
继续反汇编跟踪,可以发现NtCreateFile调用了如下函数:
MOV EAX,25 //SSDT表索引号,对应的十进制=37
MOV EDX,7FFE0300
CALL DWORD PTR DS:[EDX]
RETN 2C
继续反汇编,我们发现CALL DWORD PTR DS:[ 7FFE0300 ]实际上是调用了ntdll.KiFastSystemCall,反汇编窗口中跟随KiFastSystemCall,便有了如下几行代码:
MOV EDX,ESP
SYSENTER
RETN
通过调用SysEnter(软件中断)指令,Windows系统将会捕获这个调用,然后进入Ring0层,并调用内核服务函数NtCreateFile。
在进入Ring0层之后,操作系统会根据索引号(eax的值)在系统服务描述表中查找对应的表项,比如,通过Kernel Detective可以知道SSDT表中,索引号为37对应的服务名为NtCreateFile,当前地址为:0x80574E0B,
系统会根据这个地址调用相应的系统服务函数,并把结果返回给ntdll.dll中的 NtCreateFile 。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
第一次看见老大这么小气.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
