[求助]ring3 API参数和对应的ring0函数的参数-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 2 楼就是ring0函数的函数对ring3的函数的参数是如何处理的？有复制了一份然后处理后，再复制给ring3？而不是直接处理的。如果在ring0就直接处理的话。就挂了。 2009-8-7 15:47 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼你这个问题要分为两点： 1. 调用时压栈的那些参数在转进内核后，调用SSDT中的相关函数，都是重新push一次参数再call 2. 如果参数是缓冲区指针，如何判断指针的有效性 SSDT表对应的函数中，使用ExGetPreviousMode判断该调用是来自用户态还是核心态如果来自用户态，则对这些指针参数进行验证。具体验证过程是使用try_except结构，try中使用ProbeForRead/ProbeForWrite判断该用户态指针是否可读或可写如果不能则抛出异常，由try_except结构注册的异常处理函数捕获异常，从而设置返回值代表相应的错误。应该注意的是，ProbeForRead对0x00000001这样的用户态无效指针进行检测，并不会抛出异常，所以不单单ProbeForRead，对用户态缓冲区的整个读写过程都必须置于try_except结构之中。不过win32k.sys中的那些，据说有一些函数对参数的检查就是有疏漏的，有一些函数只检查调用是不是由csrss.exe发起的，如是则认为可信任，因此有些XX的方法，对csrss.exe进程进行注入之后就可以搞怪了。 2009-8-7 22:33 0
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 4 楼非常感谢楼上的回答。thx 2009-8-7 23:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 2 楼就是ring0函数的函数对ring3的函数的参数是如何处理的？有复制了一份然后处理后，再复制给ring3？而不是直接处理的。如果在ring0就直接处理的话。就挂了。 2009-8-7 15:47 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼你这个问题要分为两点： 1. 调用时压栈的那些参数在转进内核后，调用SSDT中的相关函数，都是重新push一次参数再call 2. 如果参数是缓冲区指针，如何判断指针的有效性 SSDT表对应的函数中，使用ExGetPreviousMode判断该调用是来自用户态还是核心态如果来自用户态，则对这些指针参数进行验证。具体验证过程是使用try_except结构，try中使用ProbeForRead/ProbeForWrite判断该用户态指针是否可读或可写如果不能则抛出异常，由try_except结构注册的异常处理函数捕获异常，从而设置返回值代表相应的错误。应该注意的是，ProbeForRead对0x00000001这样的用户态无效指针进行检测，并不会抛出异常，所以不单单ProbeForRead，对用户态缓冲区的整个读写过程都必须置于try_except结构之中。不过win32k.sys中的那些，据说有一些函数对参数的检查就是有疏漏的，有一些函数只检查调用是不是由csrss.exe发起的，如是则认为可信任，因此有些XX的方法，对csrss.exe进程进行注入之后就可以搞怪了。 2009-8-7 22:33 0
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 4 楼非常感谢楼上的回答。thx 2009-8-7 23:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]ring3 API参数和对应的ring0函数的参数 0.00雪花