[原创]内核态调用Nt*函数-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]内核态调用Nt*函数

发表于: 2007-11-18 22:27 23214

[原创]内核态调用Nt*函数

xhackx

2007-11-18 22:27

23214

我先简单介绍一下Nt系列函数与Zw系列函数的区别  以ReadFile为例 ntdll.dll导出了ZwReadFile和NtReadFile  以下是反汇编代码
.text:7C92E27C ; __stdcall NtReadFile(x, x, x, x, x, x, x, x, x)
.text:7C92E27C                public _NtReadFile@36
.text:7C92E27C _NtReadFile@36  proc near             ; CODE XREF: RtlGetSetBootStatusData(x,x,x,x,x,x)+5Fp
.text:7C92E27C                                        ; RtlGetSetBootStatusData(x,x,x,x,x,x):loc_7C95170Dp ...
.text:7C92E27C                mov    eax, 0B7h    ; NtReadFile
.text:7C92E281                mov    edx, 7FFE0300h
.text:7C92E286                call dword ptr [edx]
.text:7C92E288                retn 24h
.text:7C92E288 _NtReadFile@36  endp
.text:7C92E288
.text:7C92E288 ; ---------------------------------------------------------------------------
.text:7C92E28B                db 6 dup(90h)
.text:7C92E291 ; Exported entry 274. NtReadFileScatter
.text:7C92E291 ; Exported entry 1083. ZwReadFileScatter
.text:7C92E291
我们可以看到 ZwReadFile和NtReadFile函数指向同一段代码....
也就是说在用户态不管你调用ZwReadFile还是NtReadFile都是一样的  因为他们是同一个函数的两个不同名称而已....  而且他们最终都会调用到ntoskrnl中的NtReadFile中去

而ntoskrnl.exe导出的ZwReadFile和NtReadFile却是不同的
.text:00406508 ; NTSTATUS __stdcall ZwReadFile(HANDLE FileHandle,HANDLE Event,PIO_APC_ROUTINE ApcRoutine,PVOID ApcContext,PIO_STATUS_BLOCK IoStatusBlock,PVOID Buffer,ULONG Length,PLARGE_INTEGER ByteOffset,PULONG Key)
.text:00406508                mov    eax, 0B7h
.text:0040650D                lea    edx, [esp+FileHandle]
.text:00406511                pushf
.text:00406512                push 8
.text:00406514                call _KiSystemService
.text:00406519                retn 24h
.text:00406519 _ZwReadFile@36  endp

PAGE:004990D8 ; NTSTATUS __stdcall NtReadFile(HANDLE FileHandle,HANDLE Event,PIO_APC_ROUTINE ApcRoutine,PVOID ApcContext,PIO_STATUS_BLOCK IoStatusBlock,PVOID Buffer,ULONG Length,PLARGE_INTEGER ByteOffset,PULONG Key)
PAGE:004990D8                push 68h
PAGE:004990DA                push offset stru_418748
PAGE:004990DF                call __SEH_prolog
PAGE:004990E4                xor    esi, esi
PAGE:004990E6                mov    [ebp+var_20], esi
PAGE:004990E9                mov    [ebp+var_34], esi
PAGE:004990EC                mov    [ebp+var_70], esi
PAGE:004990EF                mov    [ebp+var_6C], esi
PAGE:004990F2                mov    eax, large fs:124h
PAGE:004990F8                mov    [ebp+var_58], eax
PAGE:004990FB                mov    al, [eax+140h]
PAGE:00499101                mov    [ebp+WaitMode], al
PAGE:00499104                push esi          ; HandleInformation
PAGE:00499105                lea    eax, [ebp+FileObject]
PAGE:00499108                push eax          ; Object
PAGE:00499109                push dword ptr [ebp+WaitMode] ; AccessMode
PAGE:0049910C                push _IoFileObjectType ; ObjectType
PAGE:00499112                push 1             ; DesiredAccess
PAGE:00499114                push [ebp+Handle] ; Handle
PAGE:00499117                call _ObReferenceObjectByHandle@24 ; ObReferenceObjectByHandle(x,x,x,x,x,x)
PAGE:0049911C                cmp    eax, esi
PAGE:0049911E                jl    loc_49928C
...
...
...

Ntoskrnl导出的NtReadFile是真正的执行函数而ZwReadFile仍然是一个stub函数
内核态调用ZwReadFile  会将Previous Mode设置为Kernel Mode 然后再调用到NtReadFile中  而在内核态直接调用NtReadFile 不会改变Previous Mode    . 而在NtReadFile中会检测当前调用来自用户态还是内核态如果是来自内核态不会检测参数而如果是来自用户态就会做一系列的参数检测  而我们知道内核组件可能运行在任意进程的上下文中  当它调用NtReadFile时因为Previous Mode很可能是User Mode .... 而我们的参数请求的内核态的地址这时通常就会产STATUS_ACCESS_VIOLATION
错误 ..
所以内核态一般用Zw*系列的函数
关于Nt*与Zw*更为详细的介绍请参考 Nt vs. Zw - Clearing Confusion On The Native API
那我们为什么还要在内核态直接调用Nt*函数呢?
大家都知道很多杀毒软件hook了ssdt 对系统进行监控.... 现在比如我们已经进入了Ring0(这个不在本文介绍的范围内)  然后想干一些猥琐的事情  那么怎样绕过监控呢 ?  一种方法先恢复被ssdt
然后再调用我们要用到的Zw*函数  ,不过这种方法不太好不够隐藏而且有很多监控程序会定时检测ssdt表的
那么我们可不可以直接调用 Nt函数呢?  如果可以的话那么监控对我们就失去作用了 .
直接调用Nt*函数要解决几个问题  第一个就是Nt*函数在内存中的地址只有有了地址我们才能调用啊  而ssdt表已经被hook了所以我们不能直接从ssdt中获得  而要从磁盘文件ntoskrnl.exe中得到它
第二个问题是系统会在Nt*函数中检查当前线程结构的PreviousMode 来确定调用是来自用户态还是内核态如果是来自用户态函数会检测参数地址是否小于_MmUserProbeAddress.如果不是将会产生一个错误.. 所以我们的目标就是把PreviousMode改为Kernel Mode
下面看NtReadFile的代码
PAGE:004990D8 ; NTSTATUS __stdcall NtReadFile(HANDLE FileHandle,HANDLE Event,PIO_APC_ROUTINE ApcRoutine,PVOID ApcContext,PIO_STATUS_BLOCK IoStatusBlock,PVOID Buffer,ULONG Length,PLARGE_INTEGER ByteOffset,PULONG Key)
PAGE:004990D8                push 68h
PAGE:004990DA                push offset stru_418748
PAGE:004990DF                call __SEH_prolog
PAGE:004990E4                xor    esi, esi
PAGE:004990E6                mov    [ebp+var_20], esi
PAGE:004990E9                mov    [ebp+var_34], esi
PAGE:004990EC                mov    [ebp+var_70], esi
PAGE:004990EF                mov    [ebp+var_6C], esi
PAGE:004990F2                mov    eax, large fs:124h          ;内核态fs指向KPCR
/*                                                                                           ;fs:120为KPRCB
lkd> dt _kprcb
nt!_KPRCB
+0x000 MinorVersion    : Uint2B
+0x002 MajorVersion    : Uint2B
+0x004 CurrentThread : Ptr32 _KTHREAD                      ;fs:124
+0x008 NextThread
*/

PAGE:004990F8                mov    [ebp+var_58], eax
PAGE:004990FB                mov    al, [eax+140h]
/*
lkd> dt _kthread
nt!_KTHREAD
+0x000 Header          : _DISPATCHER_HEADER
+0x010 MutantListHead : _LIST_ENTRY
+0x018 InitialStack    : Ptr32 Void
+0x01c StackLimit    : Ptr32 Void
........
+0x140 PreviousMode    : Char                                              ;al =PreviousMode
......................................
*/
PAGE:00499101                mov    [ebp+WaitMode], al
PAGE:00499104                push esi          ; HandleInformation
PAGE:00499105                lea    eax, [ebp+FileObject]
PAGE:00499108                push eax          ; Object
PAGE:00499109                push dword ptr [ebp+WaitMode] ; AccessMode
PAGE:0049910C                push _IoFileObjectType ; ObjectType
PAGE:00499112                push 1             ; DesiredAccess
PAGE:00499114                push [ebp+Handle] ; Handle
PAGE:00499117                call _ObReferenceObjectByHandle@24 ; ObReferenceObjectByHandle(x,x,x,x,x,x)
PAGE:0049911C                cmp    eax, esi
PAGE:0049911E                jl    loc_49928C
PAGE:00499124                mov    ebx, [ebp+FileObject]
PAGE:00499127                push ebx          ; FileObject
PAGE:00499128                call _IoGetRelatedDeviceObject@4 ; IoGetRelatedDeviceObject(x)
PAGE:0049912D                mov    [ebp+var_28], eax
PAGE:00499130                cmp    [ebp+WaitMode], 0                ;如果调用来处内核态
                                                                                                   ;则不作后面的检查
PAGE:00499134                jz    loc_4A9553
PAGE:0049913A                mov    [ebp-4], esi
PAGE:0049913D                mov    edi, [ebp+IoStatusBlock]
PAGE:00499140                mov    eax, _MmUserProbeAddress
PAGE:00499145                cmp    edi, eax
PAGE:00499147                jnb    loc_50EBDC
PAGE:0049914D
PAGE:0049914D loc_49914D:                            ; CODE XREF: NtReadFile(x,x,x,x,x,x,x,x,x)+75B06j
PAGE:0049914D                mov    eax, [edi]
PAGE:0049914F                mov    [edi], eax
PAGE:00499151                mov    eax, [edi+4]
PAGE:00499154                mov    [edi+4], eax
..............
我们只要把kthread中的PreviousMode值设为0就可以了
而PreviousMode在kthread中的偏移在各个系统版本中是不一样的  我们可以硬编码之
也可以在NtAdjustPrivilegesToken函数中得到这个偏移
PAGE:004B7BB2 loc_4B7BB2:                            ; CODE XREF: NtAdjustPrivilegesToken(x,x,x,x,x,x)+23j
PAGE:004B7BB2                mov    eax, large fs:124h
PAGE:004B7BB8                mov    al, [eax+140h]                   ;这个140h就是偏移量
PAGE:004B7BBE                mov    [ebp+AccessMode], al
PAGE:004B7BC1                test al, al
PAGE:004B7BC3                jz    loc_4B8F67

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#调试逆向

收藏・25

免费・8

支持

最新回复 (23)
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 2 楼使用内核 api 最不爽的，始终是 windows 内核结构的版本不同，我们不能写出稳定的工具，只可以手动进行各种工作，要 windbg 查 offset 很不爽。那些扫瞄方法找 offset不好用，不可靠 2007-11-18 23:26 0
crzlvb 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	crzlvb 3 楼支持一下...... 2007-11-19 09:12 0
qqeleven 雪币： 211 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	qqeleven 1 4 楼 MmGetSystemRoutineAddress可以得到地址如： RtlInitUnicodeString( &functionName, L"NtReadFile" ); 地址=MmGetSystemRoutineAddress( &functionName ); 2007-11-19 11:07 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 5 楼楼上得到函数地址的方法也可以 2007-11-19 11:25 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 6 楼完全不懂 NtReadFile是导出函数直接就可以用的说。再加上找到Base Address 自己实现一个KGetProcAddress貌似也不是难事~ 驱动中调用NtXX函数貌似永远都是KernelMode。怎么也变不成UserMode~ UserMode 只有用过SysEnter 上下文切换才有这么回事奥。反正2k3 sp1的代码大概是这个意思。我没有看懂楼主想说什么的哦~~理解能力有限读了三遍都没有看懂。。。 2007-11-19 20:05 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 7 楼可能是我表达的不够清楚不过楼上的认识也是有错误的 The NtXxxx version of the native system service is the name of the function itself. Thus, when a Kernel Mode component calls the NtXxxx version of the system service, whatever is presently set into previous mode is unchanged. Thus, it is quite possible that the Kernel component could be running on an arbitrary User stack, with the requestor mode set to User. The system service will not know any better, attempt to validate the request parameters, possibly using the credentials of the arbitrary User Mode thread, and thus possibly fail the request. Another problem here is that one step in the validation process for a User Mode request is that all passed in buffers have either ProbeForRead or ProbeForWrite executed on them, depending on the buffer’s usage. These routines raise exceptions if executed on Kernel Mode addresses. Therefore, if you pass in Kernel Mode buffers with your request mode set to User, your calls into the native API return STATUS_ACCESS_VIOLATION. 内核组件是可能运行在任意线程的上下文中的在Nt函数中会检查PreviousMode 而这个PreViousMode从哪里来? 看Nt函数的代码 PAGE:004990D8 ; NTSTATUS __stdcall NtReadFile(HANDLE FileHandle,HANDLE Event,PIO_APC_ROUTINE ApcRoutine,PVOID ApcContext,PIO_STATUS_BLOCK IoStatusBlock,PVOID Buffer,ULONG Length,PLARGE_INTEGER ByteOffset,PULONG Key) PAGE:004990D8 push 68h PAGE:004990DA push offset stru_418748 PAGE:004990DF call __SEH_prolog PAGE:004990E4 xor esi, esi PAGE:004990E6 mov [ebp+var_20], esi PAGE:004990E9 mov [ebp+var_34], esi PAGE:004990EC mov [ebp+var_70], esi PAGE:004990EF mov [ebp+var_6C], esi PAGE:004990F2 mov eax, large fs:124h ;内核态fs指向KPCR /* ;fs:120为KPRCB lkd> dt _kprcb nt!_KPRCB +0x000 MinorVersion : Uint2B +0x002 MajorVersion : Uint2B +0x004 CurrentThread : Ptr32 _KTHREAD ;fs:124 +0x008 NextThread / PAGE:004990F8 mov [ebp+var_58], eax PAGE:004990FB mov al, [eax+140h] / lkd> dt _kthread nt!_KTHREAD +0x000 Header : _DISPATCHER_HEADER +0x010 MutantListHead : _LIST_ENTRY +0x018 InitialStack : Ptr32 Void +0x01c StackLimit : Ptr32 Void ........ +0x140 PreviousMode : Char ;al =PreviousMode 我已经注释的很清楚了 Nt会根据这个PreviousMode来判断调是否需要参数检查而现在的问题就是如果我们调用的是Zw函数的话 Zw函数会把PreviousMode设置为KernelMode 然后再调用Nt函数因此在Nt函数中就不会进行参数检查而如果我们直接调用Nt函数的话(it is quite possible that the Kernel component could be running on an arbitrary User stack, with the requestor mode set to User) ,我们必须自己将PreviousMode设置为KernelMode,否则PreviousMode很可能仍然是User , 这样的话 Nt函数就会认为对它的调用来自用户态,从而做一些检查,这时就会产生问题了(不明白的话,再看一篇那段英文)......因此我们要自己调用Nt的话必须先将PreviousMode设为KernelMode. 谢谢楼上的回复对我的表达能力深表抱歉!!!! 楼上如果还有疑问 ,欢迎与我继续讨论....................:p 2007-11-20 16:15 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 8 楼还有4楼如果函数在ntoskrnl中没有导出的话通过MmGetSystemRoutineAddress也是得不到地址的因此最稳定的办法还是要从ntoskrnl.exe中得到地址 2007-11-20 16:26 0
kisser1 雪币： 223 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	kisser1 2 9 楼我也看不怎么懂... 引用: 大家都知道很多杀毒软件hook了ssdt 对系统进行监控.... 现在比如我们已经进入了Ring0(这个不在本文介绍的范围内) 然后想干一些猥琐的事情那么怎样绕过监控呢 ? 一种方法先恢复被ssdt 然后再调用我们要用到的Zw函数 ,不过这种方法不太好不够隐藏而且有很多监控程序会定时检测ssdt表的那么我们可不可以直接调用 Nt函数呢? 如果可以的话那么监控对我们就失去作用了 . 直接调用Nt函数要解决几个问题楼主的目的,是不是"那么我们可不可以直接调用 Nt函数呢?"? 意思是在call的时候,不用到SSDT去取地址,而是直接[call 函数地址],是吧?这问题我之前也想过. 本来调用内核函数时,是先到SSDT取地址,再call的,所以,大家都对SSDT不怀好心. 要是现在直接 call 函数地址的话,就不会受监控了,是这个意思吧? 要是这样子,需要分析下,如果是inline hook的话,那还是被监控了.所以,你可以先恢复inline hook, 再call.如果是没有inline hook的话,则可以直接call. 而对于要定位函数的地址的话,也很简单,在内存里能够执行的是PE文件,你按照PE文件的格式去定位你所需要的函数,就可以完成了.在SSDT里的函数,都能够在ntostkrnl.exe里的导出函数表里找到. 2007-11-20 17:44 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 10 楼要是这样子,需要分析下,如果是inline hook的话,那还是被监控了.所以,你可以先恢复inline hook, 再call.如果是没有inline hook的话,则可以直接call. 本文说的是SSDT hook,如果有inline hook的话的确需要先恢复inline hook. 但是不管有没有什么hook ,如果想直接调用Nt*的话还是要先设置PreviousMode为Kernel的而对于要定位函数的地址的话,也很简单,在内存里能够执行的是PE文件,你按照PE文件的格式去定位你所需要的函数,就可以完成了.在SSDT里的函数,都能够在ntostkrnl.exe里的导出函数表里找到. 举一个例子 NtSetValueKey 2007-11-20 20:10 0
kisser1 雪币： 223 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	kisser1 2 11 楼以下是ntdll.dll里的NtSetValueKey ; Exported entry 338. NtSetValueKey ; Exported entry 1147. ZwSetValueKey public ZwSetValueKey ZwSetValueKey proc near mov eax, 0F7h ; NtSetValueKey mov edx, 7FFE0300h call dword ptr [edx] retn 18h ZwSetValueKey endp 在ntoskrnl.exe未找到NtSetValueKey,但是,你自己想想,NtSetValueKey和 ZwSetValueKey是不是一样的呢?那么,能否在ntoskrnl.exe里找到? 引用: 我们可以看到 ZwReadFile和NtReadFile函数指向同一段代码.... 也就是说在用户态不管你调用ZwReadFile还是NtReadFile都是一样的因为他们是同一个函数的两个不同名称而已.... 而且他们最终都会调用到ntoskrnl中的NtReadFile中去再引用: 本文说的是SSDT hook,如果有inline hook的话的确需要先恢复inline hook. 但是不管有没有什么hook ,如果想直接调用Nt*的话还是要先设置PreviousMode为Kernel的再再引用: 大家都知道很多杀毒软件hook了ssdt 对系统进行监控.... 现在比如我们已经进入了Ring0(这个不在本文介绍的范围内) 然后想干一些猥琐的事情那么怎样绕过监控呢 ? 一种方法先恢复被ssdt 那么,究竟是在哪个模式下呢? 再说,SSDT hook,不也是在Kernel Mode 下进行的吗? 以上纯属个人理解,如有不对,请指教... 不过,楼主的意思我倒是不怎么明白... 2007-11-21 01:16 0
heartdbg 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	heartdbg 12 楼 ntoskrnl.exe中导出了 ZwSetValueKey 而没有导出NtSetValueKey ...... 而我们现在想直接调用NtSetValueKey , 那么怎么才能得到NtSetValueKey的地址 ? 从现有的SST中得到的肯定是错误的(因为被ssdt hook了啊,正因为这样所以我们才要直接调用Nt函数的啊) 又因为NtSetValueKey没有导出所以用MmGetSystemRoutineAddress的方法也是得不到NtSetValueKey的地址的因此应该用以下方法 ntoskrnl导出了符号KeServiceDescriptorTable，通过该符号获取SST表的实际地址，将该地址的偏移转换为文件偏移，然后去打开硬盘上的 ntoskrnl.exe文件，通过刚才计算的文件偏移来读取原始SST表，再加上实际装载地址与预装地址的偏差即可以上纯属个人理解,如有不对,请指教... 请问有在驱动中直接调用过Nt函数吗 ? 成功率是多少 ? 至于为什么不成功我在上面都说过了 ... 光靠个人理解是不行的为什么不动手试一下呢 ? 2007-11-21 09:01 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 13 楼楼上是我登错帐号了 2007-11-21 09:04 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 14 楼没看懂如果我写的是驱动本身就是在内核中的直接调用内核函数Nt*必须先设置PreMode? 我测试的情况是不用设置的~ 2007-11-21 11:33 0
kgdurgwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	kgdurgwu 15 楼太深奥了。。。。 2007-11-21 13:32 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 16 楼 okdodo是在DriverEntry中调用的吧 ? 2007-11-21 16:15 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 17 楼不是啊看过一些驱动代码没看到调用Nt*函数要设置premode 搞不懂 :( 2007-11-21 23:15 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 18 楼通过Nt构造自己的Zw ? 2007-11-24 16:23 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 19 楼驱动调用NtXXX有这么麻烦么？ ExQueueWorkItem，PsCreateSystemThread都可以解决的，何必要DKOM呢？ 2007-11-24 19:00 0
playar 雪币： 199 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 178 粉丝 1 关注私信	playar 20 楼还是mcafee的hook爽，不修改ssdt,也很稳定。 2007-11-26 10:08 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 21 楼不懂,看看! 2007-11-28 13:26 0
davisneilp 雪币： 215 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 90 粉丝 0 关注私信	davisneilp 22 楼怎么做的？知道吗 2007-12-2 14:50 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 23 楼学习以下。。 2007-12-2 21:19 0
vbhome 雪币： 8 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	vbhome 24 楼这是一个十年前的问题了，说白了就是说在要调内核态下的Zw和Nt，差别就是要直接调Nt系函数就是要先设置一下Previous Mode为Kernel Mode，不然就没会因为多了一个多余的模态检查而调用失败，而Zw则会自动设置这个，不用我们手动做，但是Zw有可能被SSDT Hook影响，因为Zw还要经过SSDT表去访问实际的函数的地址嘛，把各自的优缺点讲一下就行了。 2017-3-30 08:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xhackx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 2 楼使用内核 api 最不爽的，始终是 windows 内核结构的版本不同，我们不能写出稳定的工具，只可以手动进行各种工作，要 windbg 查 offset 很不爽。那些扫瞄方法找 offset不好用，不可靠 2007-11-18 23:26 0
crzlvb 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	crzlvb 3 楼支持一下...... 2007-11-19 09:12 0
qqeleven 雪币： 211 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	qqeleven 1 4 楼 MmGetSystemRoutineAddress可以得到地址如： RtlInitUnicodeString( &functionName, L"NtReadFile" ); 地址=MmGetSystemRoutineAddress( &functionName ); 2007-11-19 11:07 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 5 楼楼上得到函数地址的方法也可以 2007-11-19 11:25 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 6 楼完全不懂 NtReadFile是导出函数直接就可以用的说。再加上找到Base Address 自己实现一个KGetProcAddress貌似也不是难事~ 驱动中调用NtXX函数貌似永远都是KernelMode。怎么也变不成UserMode~ UserMode 只有用过SysEnter 上下文切换才有这么回事奥。反正2k3 sp1的代码大概是这个意思。我没有看懂楼主想说什么的哦~~理解能力有限读了三遍都没有看懂。。。 2007-11-19 20:05 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 7 楼可能是我表达的不够清楚不过楼上的认识也是有错误的 The NtXxxx version of the native system service is the name of the function itself. Thus, when a Kernel Mode component calls the NtXxxx version of the system service, whatever is presently set into previous mode is unchanged. Thus, it is quite possible that the Kernel component could be running on an arbitrary User stack, with the requestor mode set to User. The system service will not know any better, attempt to validate the request parameters, possibly using the credentials of the arbitrary User Mode thread, and thus possibly fail the request. Another problem here is that one step in the validation process for a User Mode request is that all passed in buffers have either ProbeForRead or ProbeForWrite executed on them, depending on the buffer’s usage. These routines raise exceptions if executed on Kernel Mode addresses. Therefore, if you pass in Kernel Mode buffers with your request mode set to User, your calls into the native API return STATUS_ACCESS_VIOLATION. 内核组件是可能运行在任意线程的上下文中的在Nt函数中会检查PreviousMode 而这个PreViousMode从哪里来? 看Nt函数的代码 PAGE:004990D8 ; NTSTATUS __stdcall NtReadFile(HANDLE FileHandle,HANDLE Event,PIO_APC_ROUTINE ApcRoutine,PVOID ApcContext,PIO_STATUS_BLOCK IoStatusBlock,PVOID Buffer,ULONG Length,PLARGE_INTEGER ByteOffset,PULONG Key) PAGE:004990D8 push 68h PAGE:004990DA push offset stru_418748 PAGE:004990DF call __SEH_prolog PAGE:004990E4 xor esi, esi PAGE:004990E6 mov [ebp+var_20], esi PAGE:004990E9 mov [ebp+var_34], esi PAGE:004990EC mov [ebp+var_70], esi PAGE:004990EF mov [ebp+var_6C], esi PAGE:004990F2 mov eax, large fs:124h ;内核态fs指向KPCR /* ;fs:120为KPRCB lkd> dt _kprcb nt!_KPRCB +0x000 MinorVersion : Uint2B +0x002 MajorVersion : Uint2B +0x004 CurrentThread : Ptr32 _KTHREAD ;fs:124 +0x008 NextThread / PAGE:004990F8 mov [ebp+var_58], eax PAGE:004990FB mov al, [eax+140h] / lkd> dt _kthread nt!_KTHREAD +0x000 Header : _DISPATCHER_HEADER +0x010 MutantListHead : _LIST_ENTRY +0x018 InitialStack : Ptr32 Void +0x01c StackLimit : Ptr32 Void ........ +0x140 PreviousMode : Char ;al =PreviousMode 我已经注释的很清楚了 Nt会根据这个PreviousMode来判断调是否需要参数检查而现在的问题就是如果我们调用的是Zw函数的话 Zw函数会把PreviousMode设置为KernelMode 然后再调用Nt函数因此在Nt函数中就不会进行参数检查而如果我们直接调用Nt函数的话(it is quite possible that the Kernel component could be running on an arbitrary User stack, with the requestor mode set to User) ,我们必须自己将PreviousMode设置为KernelMode,否则PreviousMode很可能仍然是User , 这样的话 Nt函数就会认为对它的调用来自用户态,从而做一些检查,这时就会产生问题了(不明白的话,再看一篇那段英文)......因此我们要自己调用Nt的话必须先将PreviousMode设为KernelMode. 谢谢楼上的回复对我的表达能力深表抱歉!!!! 楼上如果还有疑问 ,欢迎与我继续讨论....................:p 2007-11-20 16:15 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 8 楼还有4楼如果函数在ntoskrnl中没有导出的话通过MmGetSystemRoutineAddress也是得不到地址的因此最稳定的办法还是要从ntoskrnl.exe中得到地址 2007-11-20 16:26 0
kisser1 雪币： 223 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	kisser1 2 9 楼我也看不怎么懂... 引用: 大家都知道很多杀毒软件hook了ssdt 对系统进行监控.... 现在比如我们已经进入了Ring0(这个不在本文介绍的范围内) 然后想干一些猥琐的事情那么怎样绕过监控呢 ? 一种方法先恢复被ssdt 然后再调用我们要用到的Zw函数 ,不过这种方法不太好不够隐藏而且有很多监控程序会定时检测ssdt表的那么我们可不可以直接调用 Nt函数呢? 如果可以的话那么监控对我们就失去作用了 . 直接调用Nt函数要解决几个问题楼主的目的,是不是"那么我们可不可以直接调用 Nt函数呢?"? 意思是在call的时候,不用到SSDT去取地址,而是直接[call 函数地址],是吧?这问题我之前也想过. 本来调用内核函数时,是先到SSDT取地址,再call的,所以,大家都对SSDT不怀好心. 要是现在直接 call 函数地址的话,就不会受监控了,是这个意思吧? 要是这样子,需要分析下,如果是inline hook的话,那还是被监控了.所以,你可以先恢复inline hook, 再call.如果是没有inline hook的话,则可以直接call. 而对于要定位函数的地址的话,也很简单,在内存里能够执行的是PE文件,你按照PE文件的格式去定位你所需要的函数,就可以完成了.在SSDT里的函数,都能够在ntostkrnl.exe里的导出函数表里找到. 2007-11-20 17:44 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 10 楼要是这样子,需要分析下,如果是inline hook的话,那还是被监控了.所以,你可以先恢复inline hook, 再call.如果是没有inline hook的话,则可以直接call. 本文说的是SSDT hook,如果有inline hook的话的确需要先恢复inline hook. 但是不管有没有什么hook ,如果想直接调用Nt*的话还是要先设置PreviousMode为Kernel的而对于要定位函数的地址的话,也很简单,在内存里能够执行的是PE文件,你按照PE文件的格式去定位你所需要的函数,就可以完成了.在SSDT里的函数,都能够在ntostkrnl.exe里的导出函数表里找到. 举一个例子 NtSetValueKey 2007-11-20 20:10 0
kisser1 雪币： 223 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	kisser1 2 11 楼以下是ntdll.dll里的NtSetValueKey ; Exported entry 338. NtSetValueKey ; Exported entry 1147. ZwSetValueKey public ZwSetValueKey ZwSetValueKey proc near mov eax, 0F7h ; NtSetValueKey mov edx, 7FFE0300h call dword ptr [edx] retn 18h ZwSetValueKey endp 在ntoskrnl.exe未找到NtSetValueKey,但是,你自己想想,NtSetValueKey和 ZwSetValueKey是不是一样的呢?那么,能否在ntoskrnl.exe里找到? 引用: 我们可以看到 ZwReadFile和NtReadFile函数指向同一段代码.... 也就是说在用户态不管你调用ZwReadFile还是NtReadFile都是一样的因为他们是同一个函数的两个不同名称而已.... 而且他们最终都会调用到ntoskrnl中的NtReadFile中去再引用: 本文说的是SSDT hook,如果有inline hook的话的确需要先恢复inline hook. 但是不管有没有什么hook ,如果想直接调用Nt*的话还是要先设置PreviousMode为Kernel的再再引用: 大家都知道很多杀毒软件hook了ssdt 对系统进行监控.... 现在比如我们已经进入了Ring0(这个不在本文介绍的范围内) 然后想干一些猥琐的事情那么怎样绕过监控呢 ? 一种方法先恢复被ssdt 那么,究竟是在哪个模式下呢? 再说,SSDT hook,不也是在Kernel Mode 下进行的吗? 以上纯属个人理解,如有不对,请指教... 不过,楼主的意思我倒是不怎么明白... 2007-11-21 01:16 0
heartdbg 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	heartdbg 12 楼 ntoskrnl.exe中导出了 ZwSetValueKey 而没有导出NtSetValueKey ...... 而我们现在想直接调用NtSetValueKey , 那么怎么才能得到NtSetValueKey的地址 ? 从现有的SST中得到的肯定是错误的(因为被ssdt hook了啊,正因为这样所以我们才要直接调用Nt函数的啊) 又因为NtSetValueKey没有导出所以用MmGetSystemRoutineAddress的方法也是得不到NtSetValueKey的地址的因此应该用以下方法 ntoskrnl导出了符号KeServiceDescriptorTable，通过该符号获取SST表的实际地址，将该地址的偏移转换为文件偏移，然后去打开硬盘上的 ntoskrnl.exe文件，通过刚才计算的文件偏移来读取原始SST表，再加上实际装载地址与预装地址的偏差即可以上纯属个人理解,如有不对,请指教... 请问有在驱动中直接调用过Nt函数吗 ? 成功率是多少 ? 至于为什么不成功我在上面都说过了 ... 光靠个人理解是不行的为什么不动手试一下呢 ? 2007-11-21 09:01 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 13 楼楼上是我登错帐号了 2007-11-21 09:04 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 14 楼没看懂如果我写的是驱动本身就是在内核中的直接调用内核函数Nt*必须先设置PreMode? 我测试的情况是不用设置的~ 2007-11-21 11:33 0
kgdurgwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	kgdurgwu 15 楼太深奥了。。。。 2007-11-21 13:32 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 16 楼 okdodo是在DriverEntry中调用的吧 ? 2007-11-21 16:15 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 17 楼不是啊看过一些驱动代码没看到调用Nt*函数要设置premode 搞不懂 :( 2007-11-21 23:15 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 18 楼通过Nt构造自己的Zw ? 2007-11-24 16:23 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 19 楼驱动调用NtXXX有这么麻烦么？ ExQueueWorkItem，PsCreateSystemThread都可以解决的，何必要DKOM呢？ 2007-11-24 19:00 0
playar 雪币： 199 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 178 粉丝 1 关注私信	playar 20 楼还是mcafee的hook爽，不修改ssdt,也很稳定。 2007-11-26 10:08 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 21 楼不懂,看看! 2007-11-28 13:26 0
davisneilp 雪币： 215 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 90 粉丝 0 关注私信	davisneilp 22 楼怎么做的？知道吗 2007-12-2 14:50 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 23 楼学习以下。。 2007-12-2 21:19 0
vbhome 雪币： 8 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	vbhome 24 楼这是一个十年前的问题了，说白了就是说在要调内核态下的Zw和Nt，差别就是要直接调Nt系函数就是要先设置一下Previous Mode为Kernel Mode，不然就没会因为多了一个多余的模态检查而调用失败，而Zw则会自动设置这个，不用我们手动做，但是Zw有可能被SSDT Hook影响，因为Zw还要经过SSDT表去访问实际的函数的地址嘛，把各自的优缺点讲一下就行了。 2017-3-30 08:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复