【2021.04.26】API函数的调用过程(Ring3进Ring0):上

最新推荐文章于 2025-07-11 16:10:38 发布
最新推荐文章于 2025-07-11 16:10:38 发布
阅读量826 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/116166464
本文深入探讨Windows系统调用过程,特别是通过kernel32.dll的ReadProcessMemory调用ntdll.dll的NtReadVirtualMemory。讲解了_KUSER_SHARED_DATA结构在用户层和内核层的角色,以及如何通过0x7FFE0300位置确定系统调用入口。文章还介绍了CPU的sysenter/sysexit指令支持情况对系统调用的影响,以及不同支持情况下的系统调用实现方式——ntdll.dll!KiFastSystemCall()和ntdll.dll!KiIntSystemCall()。最后,讨论了进入内核模式时寄存器的变化和调用过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

内容回顾

kernel32.dll(ReadProcessMemory)->ntdll.dll(NtReadVirtualMemory)

mov  eax, 0BA //提供一个内核函数编号

mov edx, 7FFE0300 //然后提供一个函数的地址,这个函数地址存储在7FFE0300这个位置。

本文将重点介绍该函数到底是什么,要了解该函数到底是什么还需要弄清楚7FFE0000这块内存有什么特殊含义。

_KUSER_SHARED_DATA

  • 在user层和kernel层分别定义了一个 _KUSER_SHARED_DATA 结构区域,用于user层和kernel层共享某些数据。
  • 它们使用固定的地址值映射,_KUSER_SHARED_DATA 结构区域在user和kernel层,地址如下:
  1. user层地址:0x7FFE0000,任何一个3环程序都可以访问。
  2. kernel层地址:0xFFDF0000

虽然指向的是同一个物理页,但在user层是只读的,在kernel层是可读写的。

0x7FFE0000(3环地址):

0xFFDF0000(0环地址):

可以看到储存的内容是完全一致的,别的地方暂时忽略,先来关注内容回顾图中代码 mov edx, 7FFE0300:

查看 _KUSER_SHARED_DATA结构体(0x7FFE0000),然后找到0x300的位置。

0x300的位置名字叫做SystemCall,现在回过头来看一下内容回顾的图:

当调用某个API的时候,进入ntdll的时候,会调用(mov edx, 7FFE0300、call dword ptr [edx])这个位置,这个位置存储的就是一个函数地址。

现在要研究的就是,这个位置存储的到底是什么函数?

0x7FFE0300 到底存储的是什么?

实验:是否支持快速调用

当通过 eax = 1,来执行cpuid指令时,处理器的特征信息被放在ecx和edx寄存器中。

其中edx包含了一个SEP位(下标为11的位置),该位指明了当前处理器是否支持sysenter/sysexit指令。

SEP=1:支持sysenter/sysexit指令。

SEP=0:不支持sysenter/sysexit指令。

支持sysenter/sysexit指令:ntdll.dll!KiFastSystemCall(),不是内核函数,它仍然是ntdll中的函数。

不支持sysenter/sysexit指令:ntdll.dll!KiIntSystemCall()。

CPU如何知道是否支持这种指令?

cpuid指令可以用来查询很多CPU相关信息,但是在查询CPU相关信息的时候需要传递参数,通过EAX寄存器来传参。

比如当前想知道CPU是否支持sysenter/sysexit指令:

在EAX中写入一个1:

然后写上cpuid指令:

当cpuid指令执行完成后,它会将结果存储在ecx和edx寄存器中,所以现在把ecx和edx都置零:

这样,在执行完成后看起来更加直观。

执行完成后:

执行完毕以后,在edx下标为11的位置,也就是所谓的SEP位。

SEP位如果置1,就证明当前的CPU是支持sysenter/sysexit指令的。

如果为0,那就是不支持。

当操作系统启动的时候,操作系统首先就会通过cpuid指令来查询当前CPU是否支持sysenter/sysexit指令。

当支持的时候,它会将 ntdll.dll!KiFastSystemCall() 函数的地址写入到 _KUSER_SHARED_DATA 结构体的0x300的偏移处。

如果不支持的时候,它会将另一个函数的地址,也就是 ntdll.dll!KiIntSystemCall() 的函数地址写入到 _KUSER_SHARED_DATA 结构体的0x300的偏移处。

所以看到类似这种情况,不能武断的论证到底是什么函数,而要先经过测试,通过测试才能论证它存储的到底是哪个函数。

进0环需要更改哪些寄存器?

  1. CS的权限由3变为0,意味着需要新的CS。
  2. SS与CS的权限永远一致,需要新的SS。
  3. 权限发生切换的时候,堆栈也一定会切换,所以需要新的ESP。
  4. 进入0环后,代码从哪里开始执行的位置,需要EIP。

ntdll.dll!KiFastSystemCall() 与 ntdll.dll!KiIntSystemCall() 的区别

相同点:为了提供4个值(CS、SS、ESP、EIP)怎么找,只不过这两种函数提供了不同的找法。

不支持sysenter/sysexit指令(中断门进入0环):

当不支持sysenter/sysexit指令的时候,将系统调用号(内核函数编号)、参数压入寄存器(eax、edx),然后通过中断门(int 0x2E)进入0环。

所有的API,进入0环的时候,统一的中断门中断号是0x2E。在IDT表中0x2E的位置。

支持sysenter/sysexit指令(快速调用进入0环):

将当前栈顶的值放入edx,edx用来找参数在哪里。

eax存储的仍然是系统调用号(内核函数编号)。

然后就没有使用中断门了,而是使用sysenter。

为什么叫快速调用?

中断门进0环,需要的CS、EIP在IDT表中,需要查内存(SS与ESP由TSS提供)。

而CPU如果支持sysenter指令时,操作系统会提前将CS、SS、ESP、EIP的值存储在MSR寄存器中。

sysenter指令执行时,CPU会将MSR寄存器中的值直接写入相关寄存器,没有读内存的过程,所以叫快速调用,本质是一样的。

ring3ring0跟踪调试
04-11
ring3ring0跟踪调试
API函数调用过程(三环部分)
H888001的博客
09-24 468
1.Windows API 主要是存放在c:\WINDOWS\system32下面所有的dll 2.几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、程和线程相关的函数 User32.dll:是Windows用户界面相关应用诚信接口,如创建窗口和发送消息等。 GDI32.dll:全称是Graphical Device Interface(图形设备接口),包含...
windows内核研究(系统调用 二)
最新发布
weixin_43754657的博客
07-11 979
Windows系统调用机制分析 本文分析了Windows系统的API调用过程,重点关注32位函数在64位系统中的转换机制。系统通过_KUSER_SHARED_DATA结构体实现用户层与内核层的数据共享,该结构体在用户层地址为0x7FFE0000(只读),内核层地址为0x7FFDF0000(可写)。文章详细解析了_KUSER_SHARED_DATA结构体内容,其中0x308偏移处存放系统调用入口。同时介绍了CPU快速调用检测机制,通过CPUID指令检查处理器是否支持sysenter/sysexit指令,支持则
API函数调用过程30环)
qq_41490873的博客
05-07 489
CPU不支持快速调用时使用中断0
系统调用 1.API函数调用过程(30)
Mikasys的博客
11-02 1044
1.API函数调用过程(30) 一、Windows API Application Programming Interface,简称 API 函数。 Windows有多少个API? 主要是存放在 C:\WINDOWS\system32 下面所有的dll 几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、程和线程相关的函数. User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等. GDI32.dll:全称是Graphical
跟踪 Ring3 - Ring0 的运行流程
weixin_33881041的博客
08-18 404
理论知识 SYSENTER 指令是在 Inter Pentium(R) Ⅱ 处理器上作为“高速系统调用”功能的一部分被首次引用的。 SYSENTER 指令行过专门的优化,能够以最佳性能由 Ring3 层切换到 Ring0 层。 微软首次引用 SYSENTER 指令是在 Windows 2000 的系统上,再次之前微软的系统是通过自陷指令 int 0x2E Ring...
ring3用户级应用程序与ring0内核级驱动程序之间的调用,通信.zip
01-25
在计算机系统中,Ring3Ring0是处理器的特权级别,它们代表了不同的权限等级。Ring3是用户级,而Ring0则是内核级。在Windows操作系统中,大部分应用程序运行在Ring3,享受较低级别的权限,以防止它们破坏系统的稳定...
r3_2_r0.rar_RING0 RING3_ring0_zw r0 r3 ho
09-23
这个主题"r3_2_r0.rar_RING0 RING3_ring0_zw r0 r3 ho"聚焦于如何在Windows 2000和XP系统中从用户模式(Ring3入内核模式(Ring0)。下面我们将详细探讨这一转换过程以及相关的技术知识点。 首先,让我们理解...
winring0.zip_WinRing0.dll_c++ WinRing0_ring 0_winrin_winring
07-15
API RING 0调用,是一个非常好的例子,我真的是佩服了!
ring0驱动调用ring3应用程序 从RING0级下启动RING3级的应用程序源代码
01-22
这篇文章将深入探讨如何从Ring0驱动程序调用Ring3级别的应用程序,以及这一过程中的关键知识点。 首先,我们了解Ring0驱动程序。在Windows系统中,Ring0驱动通常是设备驱动程序,它们直接与硬件交互,需要最高的...
驱动层ring0和应用层ring3软件通信.zip
01-27
一种常见的方法是通过系统调用(如Windows API函数),应用程序在Ring3发出请求,由操作系统内核(在Ring0)接收并处理。处理完毕后,结果再返回到Ring3的应用程序。这个过程涉及上下文切换和权限级别的转换,因此...
WinDBG从Ring3Ring0跟踪CreateFileW的执行流程
sqzxwq的博客
09-03 2597
本次跟踪的系统版本: 调试机(宿主机):WIN7 64位旗舰版 目标机(虚拟机):WIN7 32位旗舰版 1、在虚拟机里打开一个记事本,然后Ctrl+Break中断操作系统 2、在WinDBG中输入!process 0 0 notepad.exe查看记事本程信息 3、在WinDBG中输入.process /i /p 程内核对象地址,在本例中则应该输入.pr
ring3层程序调用ring0API
dasgk的专栏
05-22 2409
我已经写代码
2021.04.25】API函数调用过程(Ring3)
oalken的博客
04-25 334
WindowsAPI Application Programming Interface,简称API函数。 Windows有多少个API?主要是存放在 C:\WINDOWS\System32 文件夹下所有的dll。 几个重要的DLL如下: Kernel32.dll:最核心的功能模块,比如管理内存、程和线程相关的函数等。 User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等。 GDI32.dll:全称是Graphical Device Interface(图形设备
Ring3转入Ring0跟踪
曾是土木人
06-26 3167
通过反汇编跟踪一个API函数Ring3层到Ring0层的具体执行过程,有助于我们加深对相关内核Hook技术的理解。 我们可以使用OD打开notepad.exe程序,对CreateFileW下断后,可以发现,有这样一行代码: CALL DWORD PTR DS:[>; ntdll.ZwCreateFile 也就是说,CreateFileW(Win32API)实际上是调用了ntdll中的NtC
Ring3Ring0通信方法若干
03-10 2155
本人在[(原创)应用程序与驱动通信的若干方式]文章中阐述了,上下层通信的技术实现部分,但没有结合应用,下面的文章就具体应用给大家展示了使用方法,希望能够大家一些启发。               Ring3Ring0同步是很有用的手段,在此做一个简要的整理,希望对开发这方面程序的朋友有帮助,好了,开始吧。          1 同步的策略          初写驱动的朋友都知道,通过Dev
Ring3Ring0之间的通信方式(Windows内核学习笔记)
KOOKNUT的博客
04-01 1419
我们写一个Ring0的代码,有时候需要和Ring3行交互,比如我们做一个程防杀的驱动保护,那我们可以通过Ring3程,发送请求告诉驱动层,究竟哪些程属于白名单,哪些属于黑名单,而在通信过程中,涉及到了应用层与内核层之间通信的一些数据传输方法,我在这里简单做一个学习笔记: 如果一个驱动要和应用程序通信,首先需要生成一个设备对象(DeviceObject),设备对象可以通过某种方式在内核中暴...
揭秘Windows内核——如何利用自定义驱动程序在Ring3Ring0的勾当!
LnTigerLn的专栏
05-30 4558
最近在做图像处理(其实是利用摄像机采回来的Image行分析,从而得到目标的运动信息),既然是图像处理那就得有图像Source,没错那就是Camera,实验室的这个Camera还挺高级的,是千兆以太网接口的,呵呵,管他是什么接口——反正我们的任务就是将数据采集到指定的缓冲区内,然后再把缓冲区内的数据“显示出来”或者“分析分析”。按照常规的做法,你可能会这样申请一段缓冲区,估计编写过Windows程
终于完成了Ring3下挂钩ring0下的函数程序(目前支持xp)
chenhui530的专栏
03-23 3429
折腾了一天终于把这个程序搞定了,是蓝了我N次屏变换了N多种方法,终于稳定实现了。目前只是SSDT 挂钩了NtOpenProcess,其实可以挂钩任何ring0函数(理论上,只是其中很多非常麻烦,会把人搞死的^_^) .今天就此打住,算是有所突破吧。下次准备下个复杂点的inline hook的再加交互~~(是不是太复杂了,做了就知道了^_^).注意:目前只支持xp,其实可以支持2k,和2003
C++ Ring3级反作弊技术:EBP遍历调用栈与模块名识别
通过EBP寄存器,可以沿着调用栈向上遍历,获取到每一个函数调用的上下文信息。 遍历调用栈的一般步骤包括: 1. 获取当前函数的EBP值作为栈帧基址。 2. 从栈帧基址中读取前一个栈帧的EBP值。 3. 重复步骤2,直至遍历...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值