## 追蹤一次API函數調用筆記

原創 0x大桥 2020-05-21 00:47

0x00前言

本人大一小菜雞一枚,想把平時玩的東西記錄一下,第一次寫博客,有不對的地方望各位大牛斧正(輕點噴,輕點噴)。

0x01 三環部分

  1. 幾個重要的 API
    Kernel32.dll:最核心的功能模塊,比如管理內存、進程和線程相關的函數等.
    User32.dll:是 Windows 用戶界面相關應用程序接口,如創建窗口和發送消息等.
    GDI32.dll:全稱是 Graphical Device Interface(圖形設備接口),包含用於畫圖和顯示文本的函 數.比如要顯示一個程序窗口,就調用了其中的函數來畫這個窗口.
    Ntdll.dll:大多數 API 都會通過這個 DLL 進入內核(0 環).

  2. 分析 ReadProcessMemory 用 IDA 載入 Kernel32.dll
    在這裏插入圖片描述

爲 NtReadVirtualMemory 傳參(在 ntdll 裏) 如果返回值小於 0,調用失敗,返回 0; 如果返回值不小於 0,調用成功,返回 1; (其實沒幹什麼).

接下來看看 NtReadVirtualMemory,載入 ntdll
在這裏插入圖片描述

這個 0Bah 是一個系統服務表的編號 這個函數同樣沒做什麼,把編號傳到了 eax 裏 然後調用 7ffe0300 指向的函數

0x02 三環進 0 環

1._KUSER_SHARED_DATA

  1. 在 User 層和 Kernel 層分別定義了一個 _KUSER_SHARED_DATA 結構區域,用於 User 層和 Kernel 層共享某些數據 .

  2. 它們使用固定的地址值映射,_KUSER_SHARED_DATA 結構區域在 User 和 Kernel 層地 址分別爲:
    User 層地址爲:0x7ffe0000
    Kernnel 層地址爲:0xffdf0000

注意:雖然指向的是同一個物理頁,但在 User 層是隻讀的,在 Kernnel 層是可寫的

所以說 NtReadVirtualMemory 裏 7ffe0300 地址就是_KUSER_SHARED_DATA+0x300 的 地方用
windbg 查一下
kd> dt _KUSER_SHARED_DATA
在這裏插入圖片描述

0x7FFE0300 的 systemcall 有兩種:一種是快速調用,另一種通過中斷門
那麼問題來了

怎麼判斷是否支持快速調用?

當通過 eax=1 來執行 cpuid 指令時,處理器的特徵信息被放在 ecx 和 edx 寄存器 中,其中 edx 包含了一個 SEP 位(11 位),該位指明瞭當前處理器知否支持 sysenter/sysexit 指令

如果支持: ntdll.dll!KiFastSystemCall()
如果不支持:ntdll.dll!KiIntSystemCall()

這兩個函數都是 ntdll 裏的函數 需要用 x32dbg 測試一下 隨便託個 exe 進去
1)把 eax 改成 1,edx 和 ecx 改成 0
在這裏插入圖片描述
2)修改彙編:改爲 cupid,執行看結果
在這裏插入圖片描述

1010 1111 1111
SEP 位(11)爲 1,所以說我的 cpu 支持快速調用, 是 ntdll.dll!KiFastSystemCall()
雖然是快速調用但爲了學習還是主要說ntdll.dll!KiIntSystemCall()
(掐會兒腰,可把我閒壞了)

ntdll.dll!KiIntSystemCall(不支持快速調用)
依然在 ntdll 裏

在這裏插入圖片描述

其中系統編號存在 eax 裏(見上部分) edx 裏存的是剛剛傳入的參數在哪裏
Int 2Eh //通過編號爲 2E 的中斷門調用

從中斷門進 0 環需要查 IDT 來確定 cs 和 eip,還要查內存通過 TSS 來找 ss 和 esp, 所以說相對於快速調用會比較慢

接下來 windbg 找 IDT,確定中斷門
在這裏插入圖片描述

Cs 是 0008,偏移是 8040f631,通過 cs 找到的基地址是 0000 0000,所以就是 8040f631在這裏插入圖片描述
通過地址找到 nt!KiSystemService
在這裏插入圖片描述
*ps:因爲當時對應的符號文件沒有導入IDA裏,所以我接下來就用windbg看了。
*
在分析代碼之前需要先了解幾個結構體

1. _Ktrap_frame

在這裏插入圖片描述
(這個圖我是嫖的(手動滑稽))
簡而言之,這個結構體就是保存3環到0環時3環的環境

2. _ETHREAD 結構體
各位看官用windbg看一下吧,簡而言之,是儲存線程信息的

3. KPCR 結構體
還是,用windbg看一下,簡而言之,是儲存CPU信息的,
我們需要用到最後一個成員中的 CurrentThread 來獲取當前線程的_KTHREAD 結構體。

0x03 0環

正式開始分析 nt!KiSystemService(有點小激動)
在這裏插入圖片描述
在這裏插入圖片描述
在這裏插入圖片描述
Okk,總得來說就是把Ktrap_frame結構體的信息填好,然後將[KTHREAD+0x128]處舊的TRAPFRAME切換爲這個新的KTRAPFRAME然後調用內核函數。如果是快速調用最後也會跳到nt!KiFastCallEntry+0x8d(804df781) 這個地址
接下來需要系統服務表的知識
在這裏插入圖片描述
在這裏插入圖片描述
在這裏插入圖片描述
原理如下圖所示:(沒錯,下面這個圖我也是嫖的,實在不知道從哪來的了)

在這裏插入圖片描述

0x04 總結

第一次寫博客,着實不太會用(是我菜了),雖然寫的都是很老的東西,但對與我這樣的小白還是想總結總結。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

AI從入門到入門之手寫數字識別模型java方式Dense全連接神經網絡實現

前言:授人以魚不如授人以漁.先學會用,在學原理,在學創造,可能一輩子用不到這種能力,但是不能不具備這種能力。這篇文章主要是介紹算法入門Helloword之手寫圖片識別模型java中如何實現以及部分解釋。目前大家對於人工智能-機器學習-神經網

原創 2024-04-19 23:17:21

界面組件庫DevExpress Office File API(WinForms & WPF)v24.1新功能預覽

本文描述了界面組件庫DevExpress的Office File API(WinForms & WPF)和受Office啓發的控件在v24.1中發佈的一些功能,並詳細介紹了我們當前的搶先體驗預覽版本v24.1中的內容。 DevExpress

原創 2024-04-19 11:35:15

體驗AI驅動的軟件開發 | 普元低代碼社區版安裝流程

EOS_LOWCODE是一款由普元軟件主導的低代碼產品,緊扣模型驅動開發的理念設計,旨在讓更多用戶快速私有化的構建專業系統。 平臺採用人工智能技術和模型驅動技術,可以在顯著提升複雜應用開發效率的同時降低開發成本;採用快速渲染技術,性能相

原創 2024-04-17 23:44:17

「Qt Widget中文示例指南」如何實現行編輯功能

Qt 是目前最先進、最完整的跨平臺C++開發工具。它不僅完全實現了一次編寫,所有平臺無差別運行,更提供了幾乎所有開發過程中需要用到的工具。如今,Qt已被運用於超過70個行業、數千家企業,支持數百萬設備及應用。 Line Edits(行編輯)

原創 2024-04-17 11:37:05

界面組件DevExpress WinForms v23.2 - 數據展示、UI模板功能全新升級

DevExpress WinForms擁有180+組件和UI庫,能爲Windows Forms平臺創建具有影響力的業務解決方案。DevExpress WinForms能完美構建流暢、美觀且易於使用的應用程序,無論是Office風格的界面,還

原創 2024-04-16 11:35:01

翱途O2OA開發平臺新手上路-服務器下載及私有云部署

本篇主要簡要描述從官網下載服務器,進行部署,啓動的過程,並且描述在部署過程中常見的問題與報錯以及雲服務器安全策略配置和O2OA服務器端口修改的方式。 O2OA部署的服務器要求不高,一般使用4C8G以上的服務器均可正常運行。   一、檢

原創 2024-04-16 10:25:20

Linux 運維高級指令04

Linux 運維高級指令04 du -sh指令(重點) 作用: 查看目錄的大小。 語法格式:du  -sh  目錄路徑 選項含義: -s: 只顯示彙總的大小 表示以高可讀性的形式進行顯示。 案例1: find 指令(重點)

原創 2024-04-12 22:51:31

實例講解昇騰 CANN YOLOV8 和 YOLOV9 適配

本文分享自華爲雲社區《昇騰 CANN YOLOV8 和 YOLOV9 適配》,作者:jackwangcumt。 1 概述 華爲昇騰 CANN YOLOV8 推理示例 C++樣例 , 是基於Ascend CANN Samples官方示例中的

原創 2024-04-11 22:32:35

Apache DolphinScheduler 社區 3 月月報

各位熱愛 DolphinScheduler 的小夥伴們,DolphinScheduler 社區月報開始更新啦!這裏將記錄 DolphinScheduler 社區每月的重要更新。 社區爲 DolphinScheduler 3.2.x 版本

原創 2024-04-11 21:18:10

從零開始搭建雲呼叫中心之FreeSwitch實戰

一. 開篇 在當今快速發展的數字化時代,企業對於高效率、低成本、可擴展性強的通信解決方案的需求日益增長。雲呼叫中心作爲一種新興的服務模式,正逐漸取代傳統的硬件呼叫中心。FreeSwitch,作爲一款強大的開源通信平臺,因其卓越的性能和

原創 2024-04-11 11:15:56

教你構建一個優秀的SD Prompt

2. 構建一個優秀的Prompt 在使用Stable Diffusion AI時,構建一個有效的提示(Prompt)是至關重要的第一步。這個過程涉及到創造性的嘗試和對AI行爲的理解。這裏我會對如何構建一個好的Prompt進行一個總結。 什麼

原創 2024-04-10 21:30:28

Stable diffusion 初學者指南

1. Stable diffusion 初學者指南 想掌握Stable Diffusion AI技術嗎? 這份初學者指南專爲完全沒接觸過Stable Diffusion或任何AI圖像生成器的新手設計。跟隨本指南,你將瞭解Stable Dif

原創 2024-04-09 21:30:37

甲方安全建設之日誌採集實操乾貨

前言 沒有永遠的安全,如何在被攻擊的情況下,快速響應和快速溯源分析攻擊動作是個重要的話題。想要分析攻擊者做了什麼、怎麼攻擊進來的、還攻擊了誰,那麼日誌是必不可少的一項,因此我們需要儘可能採集多的日誌來進行分析攻擊者的動作,甚至在攻擊者剛落

原創 2024-04-07 22:46:03

MFC擴展庫BCGControlBar Pro v34.1 - 支持Windows 10/11字體圖標

BCGControlBar庫擁有500多個經過全面設計、測試和充分記錄的MFC擴展類。 我們的組件可以輕鬆地集成到您的應用程序中,併爲您節省數百個開發和調試時間。 BCGControlBar專業版 v34.1已正式發佈了,這個版本包含了對W

原創 2024-04-07 11:33:37

「盤點」開發工具PyCharm全新升級的新UI(一)

JetBrains PyCharm是一種Python IDE,其帶有一整套可以幫助用戶在使用Python語言開發時提高其效率的工具。此外,該IDE提供了一些高級功能,以用於Django框架下的專業Web開發。 新的用戶界面(UI)是一個重新

原創 2024-04-01 11:34:02