WindowsXp 系统调用课堂学习笔记

WindowsXp 系统调用课堂学习笔记_第1张图片


一、实验环境


系统:32位 Windows xp sp3

虚拟机:VMware workstation

调试器

Ollybdg 1.1

IDA pro 6.8

Win dbg


二、关于3环和0环


0环,ring0,运行内核程序,kernel层。

3环,ring3,运行应用程序,user层。

程序由3环进入0环主要问题

1)程序进入0环后,原来3环的寄存器会保存到什么地方?

2)程序进入0环后,程序要去哪里执行,也就是新的eip的值从哪里取呢?

3)程序进入0环后,权限发生切换,必然需要新的堆栈,那么新的esp的值来自哪里呢?

4)权限切换后,需要新的cs和ss,那么cs和ss段寄存器的值哪里获得?

带着上面的问题,我们利用调试工具来追踪一下函数ReadProcessMemary

如下图所示:

WindowsXp 系统调用课堂学习笔记_第2张图片
WindowsXp 系统调用课堂学习笔记_第3张图片


三、函数ReadProcessMemary追踪

1、函数说明

ReadProcessMemory归属为编程中的内存操作函数, 其作用为根据进程句柄读入该进程的某个内存空间; 函数原型为

BOOL ReadProcessMemory(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, DWORD nSize, LPDWORD lpNumberOfBytesRead);

由布尔声明可以看出, 当函数读取成功时返回1, 失败则返回0, 具体参数含义将在下文中指出。

2、函数追踪

利用IDA PRO 追踪 ReadProcessMemory 函数

打开IDA Pro ,载入kernel32.dll,搜索函数 ReadProcessMemory 获得函数汇编代码如下

WindowsXp 系统调用课堂学习笔记_第4张图片

通过分析上述代码:ReadProcessMemory 函数一共完成如下2件事

函数 NtReadVirtualMemory 位于 ntdll.dll,利用 IDA PRO 打开 ntdll.dll,继续追踪函数NtReadVirtualMemory

分析上述的汇编代码共完成如下两件事:

注意这个地址0x7FFE0300,这里就是user层进入kernel层的关键,在详细说明这个地址之前我们要先介绍一个结构体。

3、结构体_KUSER_SHARED_DATA

在 User 层和 Kernel 层分别定义了一个 _KUSER_SHARED_DATA 结构区域,用于 User 层和 Kernel 层共享某些数据

它们使用固定的地址值映射,_KUSER_SHARED_DATA 结构区域在 User 和 Kernel 层地址分别为:

User 层地址为:0x7ffe0000

Kernnel 层地址为:0xffdf0000

通过winbdg查看,可以发现user层地址0x7ffe0000 和kernel层地址0xffdf0000的内容是一样的,虽然指向的是同一个物理页,但在User 层是只读的,在Kernnel层是可写的。

WindowsXp 系统调用课堂学习笔记_第5张图片

地址0x7ffe000 指向了结构体 _KUSER_SHARED_DATA,下图为结构体成员:

WindowsXp 系统调用课堂学习笔记_第6张图片

注意:地址为0x7ffe000 + 0x300,指向的结构体 _KUSER_SHARED_DATA 的成员SystemCall, 这里就是user层进入kernel层的关键。

4、地址 0x7FFE0300 到底存储的是什么?

如果cpu支持快速调用,那么系统会将 ntdll.dll!KiFastSystemCall() 的函数地址写到位置0x7FFE0300

如果cpu不支持快速调用,那么会将 ntdll.dll!KiIntSystemCall() 的函数地址写到位置0x7FFE0300

也就是说 0x7FFE0300,会根据CPU是否支持快速调用,从而选择不同的函数进入kernel层。

注意:上述两个函数都不是内核函数,是ntdll.dll中的应用层的函数。

5、如何判断自己的cpu是否支持快速调用?

打开ollybdg;

打开一个exe文件;

清空edx;

修改当前程序的指令为cpuid;

执行cpuid  查看edx的值,拆解edx,如果第11位等于1,说明当前的CPU支持快速调用。

非快速调用

如果cpu不支持快速调用,那么user层进入kernel层会调用函数ntdll.dll!KiIntSystemCall()

6、追踪函数!KiIntSystemCall()

打开IDA pro 载入ntdll.dll

WindowsXp 系统调用课堂学习笔记_第7张图片

通过上述汇编代码,int  2eh  发现,这里是通过中断门2e进入kernel层

我们知道中断门位于IDT表中,利用winbdg查看idt表,十六进制2e等于十进制46,就是

WindowsXp 系统调用课堂学习笔记_第8张图片

上图中蓝色部分所对应的中断门。通过拆分中断门 8054ee00·00082611

获得eip = 80542611

Cs (代码段选择子)= 0008

Ss (堆栈段选择子)和esp 由tss 段提供。

也就是说程序下一步会跳转到地址为80542611的位置上,这里指向了正真的内核函数KiSystemService

WindowsXp 系统调用课堂学习笔记_第9张图片

由于ss和esp的是从tss段中获取到的,所以这里涉及到了内存查找,所以说不是快速调用。

7、快速调用

如果cpu支持快速调用,那么user层进入kernel层会调用函数ntdll.dll!KiFastSystemCall()

打开IDA pro 载入ntdll.dll  追踪函数 KiFastSystemCall()

可以发现,这里使用的是指令sysenter,进入Kernel

说明:

在执行sysenter指令之前,操作系统必须指定0环的CS段、SS段、EIP以及ESP.

这些值在MSR寄存器中。

查看MSR寄存器

kd> rdmsr 174 //查看CS

kd> rdmsr 175 //查看ESP

kd> rdmsr 176 //查看EIP

SS = cs+8

可以发现这里的eip = 0x805426e0 指向 KiFastSystemCall()

WindowsXp 系统调用课堂学习笔记_第10张图片

8、为什么叫快速调用

中断门进0环,需要的CS、EIP在IDT表中,需要查内存获取SS和ESP,(SS与ESP由TSS提供)

而CPU如果支持sysenter指令时,操作系统会提前将CS/SS/ESP/EIP的值存储在MSR寄存器中,sysenter指令执行时,CPU会将MSR寄存器中的值直接写入相关寄存器,没有读内存的过程,所以叫快速调用,本质都是获得CS,SS,ESP,EIP的值,只是一个查内存,慢一点,一个查cpu寄存器,快一点,本质是一样的!

9、函数KiSystemService分析

在分析函数KiSystemService之前需要先说明几个结构体。

WindowsXp 系统调用课堂学习笔记_第11张图片

kd> u 80542611 l40                                      保存三环的寄存器到_Trap_Frame结构体中

nt!KiSystemService:                                             

80542611 6a00          push    0                         ;保存到_Trap_Frame+0x064的位置

80542613 55              push    ebp                    ;保存到_Trap_Frame+0x060的位置

80542614 53              push    ebx                    ;保存到_Trap_Frame+0x05c的位置

80542615 56              push    esi                      ;保存到_Trap_Frame+0x058的位置

80542616 57              push    edi                      ;保存到_Trap_Frame+0x054的位置

80542617 0fa0            push    fs                             ;保存到_Trap_Frame+0x050的位置

80542619 bb30000000      mov    ebx,30h                 

8054261e 668ee3          mov    fs,bx                  ;修改段寄存器fs

                                                                通过段选择子:0x30获得index = 6

                                                                查找GDT表获得段描述符

                                                                获得段描述符为:ffc093df`f0000001

                                                                拆分段描述符:获得base:ffdff000

                                                                地址ffdff000指向结构体_KPRC

                                                                fs:[0]指向_KPRC

80542621 64ff3500000000  push    dword ptr fs:[0]             ;保存老的异常列表

80542628 64c70500000000ffffffff mov dword ptr fs:[0],0FFFFFFFFh      ;设置ExceptionList为-1

80542633 648b3524010000  mov    esi,dword ptr fs:[124h]          ;esi 指向_KTHREAD 线程结构体的地址

8054263a ffb640010000    push    dword ptr [esi+140h]                  ;保存先前模式,位置_KTHREAD + 140H

80542640 83ec48          sub    esp,48h                      ;提升堆栈,esp指向_Trap_Frame+0的位置

80542643 8b5c246c        mov    ebx,dword ptr [esp+6Ch]        ;获得原来三环的cs

80542647 83e301          and    ebx,1                          ;如果cpl = 0x0,ebx =0

                                                                ;如果cpl = 0x11,ebx =1

8054264a 889e40010000    mov    byte ptr [esi+140h],bl    ;设置先前模式

80542650 8bec            mov    ebp,esp                 ;提升堆栈 ebp指向_Trap_Frame+0x00

80542652 8b9e34010000    mov    ebx,dword ptr [esi+134h]      取出原来的TrapFrame结构体地址

80542658 895d3c          mov    dword ptr [ebp+3Ch],ebx      保存原来的TrapFrame结构体地址

8054265b 89ae34010000    mov    dword ptr [esi+134h],ebp      将现在的TrapFrame的结构体地址写入到_KTHREAD+0X134的位置

80542661 fc              cld                             

80542662 8b5d60          mov    ebx,dword ptr [ebp+60h]      ;取出原来3环的ebp

80542665 8b7d68          mov    edi,dword ptr [ebp+68h]        ;取出原来3环的eip

80542668 89550c          mov    dword ptr [ebp+0Ch],edx      ;写入三环的参数指针

8054266b c74508000ddbba  mov    dword ptr [ebp+8],0BADB0D00h 

80542672 895d00          mov    dword ptr [ebp],ebx           ;写入原来3环的ebp

80542675 897d04          mov    dword ptr [ebp+4],edi    ;写入原来3环的eip

80542678 f6462cff        test    byte ptr [esi+2Ch],0FFh      ;判断是否是调试模式

8054267c 0f858afeffff    jne    nt!Dr_kss_a (8054250c)     

80542682 fb              sti                               

80542683 e9e7000000      jmp    nt!KiFastCallEntry+0x8f (8054276f)

分析上述代码:

1) 地址80542611 –80542617

80542611 6a00            push    0

80542613 55              push    ebp

80542614 53              push    ebx

80542615 56              push    esi

80542616 57              push    edi

80542617 0fa0            push    fs

是将三环寄存器的值保存到结构体_TrapFrame 中,就是保存现场。

2)fs:[0]指向_KPRC

80542619 bb30000000      mov    ebx,30h                       

8054261e 668ee3          mov    fs,bx            ;修改段寄存器fs

(a)通过段选择子:0x30

根据段选择子结构,拆分段选择子:0x30 = 0b  0000 0000 0011 0000

获得index = 0b0110 = 6

RPL=0

GDT=0

(b)根据index = 6 查找GDT表获得段描述符

WindowsXp 系统调用课堂学习笔记_第12张图片
WindowsXp 系统调用课堂学习笔记_第13张图片

(c)获得段描述符为:ffc093df`f0000001

(d)拆分段描述符:获得base:ffdff000

WindowsXp 系统调用课堂学习笔记_第14张图片

(e)地址ffdff000指向结构体_KPRC

所以:fs:[0]指向_KPRC

3) 地址:80542621 – 80542628

80542621  push    dword ptr fs:[0]        

80542628  mov dword ptr fs:[0],0FFFFFFFFh ;设置ExceptionList为-1

因为fs:[0] 指向结构体_KPCR,他的第一个成员就是结构体_NT_TIB,结构体_NT_TIB的第一个成员是ExceptionList,所以:push    dword ptr fs:[0] 的功能就是保存老的异常链表。

mov dword ptr fs:[0],0FFFFFFFFh ,就是设置新的异常列表为-1。

4) 80542633  mov    esi,dword ptr fs:[124h]

fs:[0]指向了结构体_KPCR,  fs:[124h] 指向了_KTHREAD

也就是所esi 指向结构体_KTHREAD

5)  地址80542650-8054265

80542650  mov    ebp,esp                                               //提升堆栈,此时esp = ebp指向结构体_TrapFrame的首地址

80542652  mov    ebx,dword ptr [esi+134h]          //取出原来的_TrapFrame结构体地址

80542658  mov    dword ptr [ebp+3Ch],ebx          //保存原来的_TrapFrame结构体地址

8054265b  mov    dword ptr [esi+134h],ebp          //将新_TrapFrame结构体地址写入到结构体_KTHREAD +0x134的位置

WindowsXp 系统调用课堂学习笔记_第15张图片

6) 代码跳转到 nt!KiFastCallEntry+0x8f (8054276f)

10、系统服务表

在分析函数 nt!KiFastCallEntry+0x8f (8054276f) 之前要先简绍一下系统服务表

Windows共计两张系统服务表

结构体 SystemServiceDescriptorTable

typedef struct SystemServiceDescriptorTable

{

    UINT    *ServiceTableBase;                              //指向函数地址表

    UINT    *ServiceCounterTableBase;              //记录被访问次数

    UINT    NumberOfService;                                //函数地址表共计多少个函数

    UCHAR    *ParameterTableBase;                            //指向函数参数表

}SystemServiceDescriptorTable,*PSystemServiceDescriptorTable;

成员* ServiceTableBase指向函数地址表,函数地址表是UINT类型的数组,储存内核函数的地址。

成员*ParameterTableBase指向函数参数表,UCHAR类型数组,存储函数参数地址。

我们可以通过eax传递进来的内核函数号,查找函数地址表和函数参数表,获得内核函数的地址和参数。

内核函数号的使用方法:第12位决定查那张系统服务表,0-11位决定函数地址,和参数地址。

以ReadProcessMemary 的内核函数号0x000000BA为列

他的第12位等于0 ,说明查找一张内核服务表

后12位等于0BA,说明函数地址位于函数地址表的0x0BA项,函数参数地址为函数参数表的第0X0BA项。

WindowsXp 系统调用课堂学习笔记_第16张图片

11、函数 nt!KiFastCallEntry+0x8f (8054276f) 分析

8054276f 8bf8            mov    edi,eax              ;获得内核函数编号  值为0x00ba

80542771 c1ef08          shr    edi,8          ;edi = 0

80542774 83e730          and    edi,30h            ;edi = 0

80542777 8bcf            mov    ecx,edi              ;ecx = 0

80542779 03bee0000000    add    edi,dword ptr [esi+0E0h]        ;esi指向KTHREAD  [esi + 0e0h]获得系统服务表的地址 ;edi指向系统服务表                                   

8054277f 8bd8            mov    ebx,eax            ;ebx = 00ba

80542781 25ff0f0000      and    eax,0FFFh          ;取后12位

80542786 3b4708          cmp    eax,dword ptr [edi+8]    ;[edi+8]就是ServiceLimit,判断函数编号是否超出范围

80542789 0f8333fdffff    jae    nt!KiBBTUnexpectedRange (805424c2)        ;异常处理程序

8054278f 83f910          cmp    ecx,10h            ;判断是否是第一张系统服务表

80542792 751b            jne    nt!KiSystemServiceAccessTeb+0x12 (805427af)

80542794 648b0d18000000  mov    ecx,dword ptr fs:[18h] 

8054279b 33db            xor    ebx,ebx                      地址8054276f

mov    edi,eax

        获得内核调用号

1)  地址 80542771 - 80542779

80542771 c1ef08          shr    edi,8

80542774 83e730          and    edi,30h 

80542777 8bcf            mov    ecx,edi   

80542779 03bee0000000    add    edi,dword ptr [esi+0E0h]

esi指向KTHREAD  [esi + 0e0h]获得系统服务表的地址

edi指向系统服务表

2) 地址:8054277f - 80542781

8054277f    mov    ebx,eax

80542781    and    eax,0FFFh

获取内核调用号的后12位,用于在函数地址表查找函数地址和函数参数表中查找函数参数的地址。

3)  地址80542792

jne    nt!KiSystemServiceAccessTeb+0x12 (805427af)

        跳转到系统服务表处理函数 !KiSystemServiceAccessTeb

12、函数 nt!KiSystemServiceAccessTeb+0x12 分析

805427af 64ff0538060000  inc    dword ptr fs:[638h]    fs:[0]指向_KPRC,fs:[638h]指向结构体_KPRCB  +0x518 KeSystemCalls

805427b6 8bf2            mov    esi,edx                      edx:三环参数的指针 

说明:edx为三环参数的指针,esi = edx,esi指向三环程序的参数。

805427b8 8b5f0c          mov    ebx,dword ptr [edi+0Ch]

说明:因为edi指向系统服务表,[edi+0ch]就是系统服务表的成员ArgmentTable,ebx =函数参数表的地址   

805427bb 33c9            xor    ecx,ecx                                                                   

805427bd 8a0c18          mov    cl,byte ptr [eax+ebx]   

说明:Eax + Ebx函数参数表的地址 + 偏移 ,取值后获得函数参数的个数       

805427c0 8b3f            mov    edi,dword ptr [edi]          取出系统服务表的地址 ServiceTableBase的值

805427c2 8b1c87          mov    ebx,dword ptr [edi+eax*4]

说明:通过系统调用号,查找系统服务表,找到函数地址,将地址存储到ebx中   

805427c5 2be1            sub    esp,ecx                                        提升堆栈,提升高度为cl,就是参数的个数   

805427c7 c1e902          shr    ecx,2                                              参数的总长度/4 == 参数的个数

805427ca 8bfc            mov    edi,esp                                          设置要copy的目的地址。就是刚才提上堆栈esp的位置       

805427cc f6457202        test    byte ptr [ebp+72h],2                                                               

805427d0 7506            jne    nt!KiSystemServiceAccessTeb+0x3b (805427d8)                                                                   

805427d2 f6456c01        test    byte ptr [ebp+6Ch],1                                                               

805427d6 740c            je      nt!KiSystemServiceCopyArguments (805427e4)                                ;copy参数 

805427d8 3b3534315680    cmp    esi,dword ptr [nt!MmUserProbeAddress (80563134)]          ;esi:三环参数指针;判断三环地址是否越界   

805427de 0f83a8010000    jae    nt!KiSystemCallExit2+0x9f (8054298c)                                                            ;越界就退出       

nt!KiSystemServiceCopyArguments:                                                                               

805427e4 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]                   

说明:将三环的参数copy到0环的堆栈

805427e6 ffd3            call    ebx

说明:调用0环对应的函数

到此我们完成了3环进0环整个过程的追踪。

四、总结 

Ntdll.dll 中的 API 都只不过是一个简单的包装函数而已,当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查,再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层,并且将所要调用的服务号(也就是在 SSDT 数组中的索引值)存放到寄存器 EAX 中,并且将参数地址放到指定的寄存器(EDX)中,再将参数复制到内核地址空间中,再根据存放在 EAX 中的索引值来在 SSDT 数组中索引对应的内核函数,然后调用他。

五、附件

1、结构体_KPCR 

kd> dt _KPCR                                               

nt!_KPCR                                             

  +0x000 NtTib            : _NT_TIB                                                 

  +0x01c SelfPcr          : Ptr32 _KPCR                                             

  +0x020 Prcb            : Ptr32 _KPRCB                                                 

  +0x024 Irql            : UChar                                               

  +0x028 IRR              : Uint4B                                                   

  +0x02c IrrActive        : Uint4B                                               

  +0x030 IDR              : Uint4B                                                   

  +0x034 KdVersionBlock  : Ptr32 Void                                                 

  +0x038 IDT              : Ptr32 _KIDTENTRY                                                 

  +0x03c GDT              : Ptr32 _KGDTENTRY                                             

  +0x040 TSS              : Ptr32 _KTSS                                                     

  +0x044 MajorVersion    : Uint2B                                             

  +0x046 MinorVersion    : Uint2B                                             

  +0x048 SetMember        : Uint4B                                                   

  +0x04c StallScaleFactor : Uint4B                                                   

  +0x050 DebugActive      : UChar                                             

  +0x051 Number          : UChar                                                   

  +0x052 Spare0          : UChar                                                     

  +0x053 SecondLevelCacheAssociativity : UChar                                                   

  +0x054 VdmAlert        : Uint4B                                                     

  +0x058 KernelReserved  : [14] Uint4B                                               

  +0x090 SecondLevelCacheSize : Uint4B                                                 

  +0x094 HalReserved      : [16] Uint4B                                             

  +0x0d4 InterruptMode    : Uint4B                                                     

  +0x0d8 Spare1          : UChar                                                     

  +0x0dc KernelReserved2  : [17] Uint4B                                               

  +0x120 PrcbData        : _KPRCB

2、结构体_NT_TIB

kd> dt _NT_TIB                                           

ntdll!_NT_TIB                                     

  +0x000 ExceptionList    : Ptr32 _EXCEPTION_REGISTRATION_RECORD                                         

  +0x004 StackBase        : Ptr32 Void                                     

  +0x008 StackLimit      : Ptr32 Void                                       

  +0x00c SubSystemTib    : Ptr32 Void                                       

  +0x010 FiberData        : Ptr32 Void                                       

  +0x010 Version          : Uint4B                                   

  +0x014 ArbitraryUserPointer : Ptr32 Void                                             

  +0x018 Self            : Ptr32 _NT_TIB                                          //结构体指针 指向自己

3、结构体_KPRCB

kd> dt _KPRCB                                             

ntdll!_KPRCB                                               

  +0x000 MinorVersion    : Uint2B                                             

  +0x002 MajorVersion    : Uint2B                                             

  +0x004 CurrentThread    : Ptr32 _KTHREAD                                              //当前CPU所执行线程的_ETHREAD    +0x008 NextThread      : Ptr32 _KTHREAD                                            //下一个_ETHREAD          +0x00c IdleThread      : Ptr32 _KTHREAD                                      //当所以线程都执行完了CPU就可以执行这个  +0x010 Number          : Char                                      //CPU编号      +0x011 Reserved        : Char                                               

......完整代码查看原文....

4、结构体_ETHREAD

kd> dt _ETHREAD                                                 

nt!_ETHREAD                                             

  +0x000 Tcb              : _KTHREAD                                             

  +0x1c0 CreateTime      : _LARGE_INTEGER                                                   

  +0x1c0 NestedFaultCount : Pos 0, 2 Bits                                               

  +0x1c0 ApcNeeded        : Pos 2, 1 Bit                                                     

  +0x1c8 ExitTime        : _LARGE_INTEGER                                                   

  +0x1c8 LpcReplyChain    : _LIST_ENTRY                                                     

  +0x1c8 KeyedWaitChain  : _LIST_ENTRY                                                   

  +0x1d0 ExitStatus      : Int4B                                                 

......完整代码查看原文....


5、 结构体_KTHREAD

kd> dt _KTHREAD                                                 

nt!_KTHREAD                                               

  +0x000 Header          : _DISPATCHER_HEADER                                                 

  +0x010 MutantListHead  : _LIST_ENTRY                                                   

  +0x018 InitialStack    : Ptr32 Void                                                     

  +0x01c StackLimit      : Ptr32 Void                                                 

  +0x020 Teb              : Ptr32 Void                                             

......完整代码查看原文....


原文链接:[分享]windowsXp 系统调用课堂学习笔记

本文由看雪论坛 wx_六耳 原创

转载请注明来自看雪社区

你可能感兴趣的:(WindowsXp 系统调用课堂学习笔记)