能力值:
( LV3,RANK:20 )
2 楼
我装了SOFTICE跟踪了一下,里面代码还是挺多的,不过不能观察堆栈状况,所以对流程依然不解。最像是跳转到相关处理函数的地方就是下面有个call ebx,于是我记录下call ebx时相关的寄存器值,硬编码了一份驱动代码,原esp相关的我也已经作了转换,只是堆栈内的值不清楚,只能大致保证与原esp偏移相同。
能力值:
( LV12,RANK:450 )
3 楼
NtUserGetKeyboardState。
能力值:
( LV3,RANK:20 )
4 楼
请教LS,NtUserGetKeyboardState是哪个sys文件里的?原型是什么?
网上找了一下,似乎说是win32k.sys里面的,可是我用LordPE没有看到这个导出函数。
由于不知道原型,也不知道该怎么去声明。
试过这样声明,并链接win32k.lib,结果也链接不上。
extern "C"
{
NTSYSAPI int NTAPI NtUserGetKeyboardState(unsigned char*);
}
能力值:
( LV12,RANK:420 )
5 楼
在驱动中调用如下代码可获得当前KeyState(驱动,RING3都可使用,仅用于XP)
能力值:
( LV3,RANK:20 )
6 楼
[QUOTE=qihoocom;607329]在驱动中调用如下代码可获得当前KeyState(驱动,RING3都可使用,仅用于XP)
能力值:
( LV3,RANK:20 )
7 楼
学习了一下Undocumented Windows NT和Undocumented Windows 2000,知道了有KeServiceDescriptorTable这么一个服务表,通过这个表以及一些附加手段,我得到了win32k的服务表,并且也找到了那个NtUserGetKeyboardState的入口地址BF85267A,这个地址与SOFTICE用bpx GetKeyboardState后单步跟踪过去然后call ebx去到的那个地址是相同的,问题是参数该怎么传?同2L那次一样,尽管我模仿了一下断点跟踪过来时的寄存器的值,但是调用后啥效果都没有……
能力值:
( LV3,RANK:20 )
8 楼
我知道大概怎么回事了,函数调用方式还是_stdcall。但是根据http://www.pediy.com/bbshtml/bbs8/pediy8-682.htm这贴最后说的第四步,“检查EAX中的参数堆栈指针与MmUserProbeAddress。这是一个ntoskrnl导出的全局变量。通常等于0x7FFF0000,如果参数指针不在这个地址之下,返回STATUS_ACCESS_VIOLATION”,我跟踪了一下整个过程。在NtUserGetKeyboardState里面会调用ProbeForWrite,而在这个函数里面会CMP EAX, [ntoskrnl!MmUserProbeAddress],此时EAX是一个堆栈指针,如果是GetKeyboardState过去的,EAX必定小于0x7FFF0000,但是如果是驱动调用的,它就大于了这个值,所以调用都是失败,打印输出了一下NtUserGetKeyboardState返回值,结果确实是这样。
能力值:
( LV12,RANK:420 )
9 楼
可以用ZwAllocateVirutalMemory在驱动中分配一块用户内存
能力值:
( LV3,RANK:20 )
10 楼
多谢指点!我试了一下你说的方法,ProbeForWrite可以正常过去了,但是接下来
call [ntoskrnl!PsGetCurrentThread]
push eax
call [ntoskrnl!PsGetProccessWin32Process]
mov eax, [eax+30]
PsGetCurrentThread应该是取得一个当前线程相关的线程结构体指针,然后作参数调用PsGetProccessWin32Process,这个函数里面也很简单,就是从线程结构体里面取了一个成员出来,不过可惜其值是NULL,所以下面的mov eax, [eax+30]就抛出异常,被函数入口设置的异常处理程序捕获,就调用失败了。
这个是不是网上说的必须是GUI线程调用才行?如果是的话,有没有方法转换成那样的线程,或者自己创建一个那样的线程?
能力值:
( LV12,RANK:420 )
11 楼
必须是GUI线程~
能力值:
( LV3,RANK:20 )
12 楼
我刚想问PsConvertToGuiThread怎么回事呢。。。
能力值:
( LV12,RANK:420 )
13 楼
未导出函数
能力值:
( LV3,RANK:20 )
14 楼
试了一下,还是不行,不过我大致知道怎么回事了,PsConvertToGuiThread的主要作用应该是得到win32k对应的那个服务表,不过我现在只是测试,系统是XP,所以通过已经通过硬编码(往前偏移一个),得到了KeServiceDescriptorTableShadow表,所以其实PsConvertToGuiThread调不调用应该都差不多了吧?(我试过用int 2e调用了一下,可惜KeServiceDescriptorTable的win32k表还是NULL,这就不知道怎么回事了)。
能力值:
( LV12,RANK:420 )
15 楼
PsConvertToGuiThread并不光是将你的currentthread的ServiceTable转换为支持SHADOW调用的shadow table,还有Win32ProcessCallOut和 Win32ThreadCallOut的调用
能力值:
( LV3,RANK:20 )
16 楼
谢谢指正,劳烦LS帮忙看下,下面这样写有没有问题
HANDLE hl = (HANDLE)-1;
PVOID lpData = NULL;
ULONG uSize = 0x1000;
if (NT_SUCCESS(ZwAllocateVirtualMemory(hl, &lpData, 0, &uSize, MEM_COMMIT, PAGE_READWRITE)))
{
int result = 0;
TestOut();
__asm
{
push dword ptr[lpData]
mov edx, esp
mov eax, 0x119e
int 0x2e
add esp, 0x4
mov dword ptr[result] , eax
}
DbgPrint("VK_CAPITAL = %d, result = %d\r\n", *(((PUCHAR)lpData) + 0x14), result);
ZwFreeVirtualMemory(hl, &lpData, &uSize, MEM_RELEASE);
}
调用后输出的result是0,也就是调用失败。
其中TestOut是我用来加断点的,由于int 2e单步跟踪不了,在TestOut处断下后,我在NtUserGetKeyboardState(BF85267A)和mov dword ptr[result], eax两处分别加了两个断点,然后F5继续执行,结果mov dword ptr[result], eax先被断下,也就是说不知为何NtUserGetKeyboardState根本没被调用,这又是怎么回事呢?int 2e还可以继续跟踪吗?
能力值:
( LV12,RANK:420 )
17 楼
看了下,没有user32的话convert时从win32k上调下来的User mode callback无法实现(KernelCallbackTable没填充~),试试attachprocess吧~
能力值:
( LV3,RANK:20 )
18 楼
看样子是没有办法了,试了一下KeAttachProcess,int 2e还是老样子,而且int 2e以后,直接调用NtUserGetKeyboardState也不行,还是在PsGetProcessWin32Process返回了NULL。
