-
-
[原创]浅谈一下FS段寄存器在用户层和内核层的使用
-
发表于: 2014-9-21 22:12
-
菜鸟一枚,有一段时间不搞内核了,分享一下以前学习的结果,有不对的地方请各位指点,大牛飘过~~
在R0和R3时,FS段寄存器分别指向GDT中的不同段:在R3下,FS段寄存器的值是0x3B,在R0下,FS段寄存器的值是0x30。分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图:
FS寄存器的改变是从R3进入R0后和从R0退回到R3前完成的,也就是说:都是在R0下给FS赋不同值的。(FS在R0和R3中是不同的值,在 KiFastCallEntry / KiSystemService中FS值由0x3B变成0x30在 KiSystemCallExit / KiSystemCallExitBranch / KiSystemCallExit2 中再将R3的FS恢复)
一.R3与R0之间的互相转换
6 nt!KiSystemService: 808696a1 6a00 push 0 808696a3 55 push ebp 808696a4 53 push ebx 808696a5 56 push esi 808696a6 57 push edi 808696a7 0fa0 push fs [COLOR="blue"] //旧的R3 下的FS 保存入栈 [/COLOR] 808696a9 bb30000000 mov ebx,30h 808696ae 668ee3 mov fs,bx //FS=0X30 FS 值变成了0X30. 808696b1 64ff3500000000 push dword ptr fs:[0] 808696b8 64c70500000000ffffffff mov dword ptr fs:[0],0FFFFFFFFh 808696c3 648b3524010000 mov esi,dword ptr fs:[124h] //ESI=_ETHEAD 808696ca ffb640010000 push dword ptr [esi+140h] //PreviousMode 808696d0 83ec48 sub esp,48h 808696d3 8b5c246c mov ebx,dword ptr [esp+6Ch]
80869945 8d6550 lea esp,[ebp+50h] 80869948 0fa1 pop fs [COLOR="Blue"]// 恢复 FS 值 [/COLOR] 8086994a 8d6554 lea esp,[ebp+54h] 8086994d 5f pop edi 8086994e 5e pop esi 8086994f 5b pop ebx 80869950 5d pop ebp 80869951 66817c24088000 cmp word ptr [esp+8],80h
nt!_TEB +0x000 NtTib : _NT_TIB +0x000 ExceptionList : Ptr32 +0x004 StackBase : Ptr32 +0x008 StackLimit : Ptr32 +0x00c SubSystemTib : Ptr32 +0x010 FiberData : Ptr32 +0x010 Version : Uint4B +0x014 ArbitraryUserPointer : Ptr32 +0x018 Self : Ptr32 //TEB +0x01c EnvironmentPointer : Ptr32 +0x020 ClientId : _CLIENT_ID +0x000 UniqueProcess : Ptr32 +0x004 UniqueThread : Ptr32 +0x028 ActiveRpcHandle : Ptr32 +0x02c ThreadLocalStoragePointer : Ptr32 +0x030 ProcessEnvironmentBlock : Ptr32 //PEB +0x034 LastErrorValue : Uint4B +0x038 CountOfOwnedCriticalSections : Uint4B +0x03c CsrClientThread : Ptr32 +0x040 Win32ThreadInfo : Ptr32
kd> dg 8 0x40 P Si Gr Pr Lo Sel Base Limit Type l ze an es ng Flags ---- -------- -------- ---------- - -- -- -- -- -------- 0008 00000000 ffffffff Code RE 0 Bg Pg P Nl 00000c9a 0010 00000000 ffffffff Data RW 0 Bg Pg P Nl 00000c92 0018 00000000 ffffffff Code RE 3 Bg Pg P Nl 00000cfa 0020 00000000 ffffffff Data RW 3 Bg Pg P Nl 00000cf2 0028 80042000 000020ab TSS32 Busy 0 Nb By P Nl 0000008b 0030 ffdff000 00001fff Data RW 0 Bg Pg P Nl 00000c92 0038 00000000 00000fff Data RW Ac 3 Bg By P Nl 000004f3 0040 00000400 0000ffff Data RW 3 Nb By P Nl 000000f2
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
感谢指正,在r3下指向的是0x3B,已经改正过来了
|
|
|
|
|
|
是时候炒炒冷饭了,要不都忘了
|
|
|
|
|
|
 ,逮着你啦~
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
