分类 好好学习 下的文章

反人类的Intel文档中关于VT的重要部分索引

以下采用的文档为

Intel® 64 and IA-32 Architectures
Software Developer’s Manual
Combined Volumes:
1, 2A, 2B, 2C, 2D, 3A, 3B, 3C, 3D and 4

Order Number: 325462-072US
May 2020

讨论的是32位cpu

vmread 和 vmwrite 指令

vmread:读取当前VMCS中的数据
vmwrite:向当前VMCS中写入数据

指令说明

vmread在4113页(Vol.3C 30-21)
vmwrite在4116页(Vol.3C 30-24)

用法

以vmread举例
vmread r/m32,r32
operand 1 为 field
operand 2 为 value
field的值可以在4517页查阅(Vol.3D B-1)

rdmsr 和 wrmsr 指令

rdmsr:读模式定义寄存器(msr)
wrmsr:写模式定义寄存器(msr)

指令说明

rdmsr在1708页(Vol.2B 4-534)
wrmsr在2482页(Vol.2C 5-586)

用法

ecx中写入MSR的地址
rdmsr:返回相应的MSR 中64bit信息到(EDX:EAX)寄存器中
wrmsr:把要写入的信息存入(EDX:EAX)中,执行写指令后,即可将相应的信息存入ECX指定的MSR中。
MSR的地址可以在4551页查阅(Vol.4 2-3)

TEB和PEB

以下讨论的是32位系统win

TEB

线程环境块
每一个线程都有一个TEB
在应用层而不是系统层中

线性地址

一个进程又很多线程,每一个线程又都有一个TEB,这些TEB都在进程的0x7FFDE000的线性内存处开始,每4KB为一个TEB

查看TEB结构

不同的windows版本种TEB结构会不同
TEB结构的开头是个NT_TIB结构,这个结构的0x018是个指向NT_TIB自己的指针

通过段寄存器访问TEB

FS段寄存器指向当前线程的TEB,所以fs:[18h]就是TEB的指针
mov eax,dword ptr fs:[18h]
eax就是TEB的指针

PEB

进程环境块
每个进程有一个PEB
在应用层而不是系统层中

通过段寄存器访问PEB

由于TEB中的0x30偏移处是指向PEB的指针,可以直接通过fs:[30h]获得PEB的指针
mov eax,dword ptr fs:[30h]
eax就是PEB的指针

通过BeingDebugged进行反调试

PEB结构中有一个BeingDebugged字段,当进程被调试时会变成1,否则为0,这个字段可用于反调试
更多反调试方法专门再写一篇进行总结

Windows内核笔记 - R3和R0通信

大量的知识真的劝退,这边把重点重新写出来,后期在看什么重要来高亮吧

DLL的封装

  • kernel32.dll和user32.dll这种的底层函数就被包含在ntdll.dll中
  • ntdll.dll中的函数成对出现,分别以“Nt”和“Zw”开头,这种函数叫做Native API

前排提醒

ntdll.dll中的Nt和Zw与ntoskrnl.exe中的Nt和Zw不一样

  • ntdll.dll中的Nt*函数为ntdll!Nt
  • ntoskrnl.exe中的Nt*函数为nt!Nt
  • Zw*同理

系统调用

  • 通过中断指令'int 0x2e'
    _KiIntSystemCall@0:
    lea edx, [esp+8]
    int 0x2e
    ret
  • 通过指令'sysenter'
    _KiFastSystemCall@0:
    mov edx,csp
    sysenter
    _KiFastSystemCallRet@0:
    ret
  • 不管是中断式系统调用(通过中断指令'int 0x2e')还是快速系统调用(通过指令'sysenter'),在调用函数时都是通过将函数所对应的服务号(SSDT数组中的索引值)放入EAX中来传递的(详见后面的SSDT)
  • 'int 0x2e'用于xp以下版本
  • 'sysenter'用于xp及以上版本
  • 通过系统调用,能让R3层进入R0层
  • 'KUSER_SHARED_SYSCALL'指向KiIntSystemCall()或KiFastSystemCall()两个函数其中之一,实际开发中,直接
    mov ecx, KUSER_SHARED_SYSCALL
    CALL [ecx]

SSDT

  • SSDT是系统服务描述符表,这个表在内核ntoskrnl.exe中
  • 这个表的作用是将函数对应的服务号和nt!Nt*的API一一对应
  • SSDT查表操作在系统调用中发生,由于_KiFastSystemCall/_KiFastSystemCall是内核的总入口(就它们俩中的一个),在调用nt!Nt*函数时需要将函数所对应的服务号放入EAX中来传递然后_KiFastSystemCall/_KiFastSystemCall中的'int 0x2e'/'sysenter'里面就会进行一个查表操作,把EAX传递过去的服务号当作索引来找到nt!Nt*函数,然后调用这个nt!Nt*函数

从用户模式调用Native API

585678_67hi0eqg6aho6la (1).jpg

  • 通过ntdll!NT和ntdll!Zw调用是没区别的,参数都会经过严格审核
  • 图中的中介函数是ntdll!Nt,内核函数实现是nt!Nt

从内核模式调用Native API

585678_fltl4j7rhfeddup.jpg

  • 如果是快速调用的话,_KiSystemService换成_KiFastCallEntry
  • 图中的Zw是nt!Zw,Nt是nt!Nt

Previous Mode(先前模式)

  • 从用户态调用Native API则Previous Mode为用户态,Native API对传入的参数进行严格的审查
  • 从内核态调用Native API则Previous Mode为内核态,Native API不会对传入的参数进行严格的审查

Nt和Zw的区别

  • 调用nt!Nt*的API会直接调用对应的代码,Previous Mode很可能为用户态
  • 调用nt!Zw的API会通过KiSystemService/KiFastCallEntry最终跳转到对应函数代码处(nt!Nt处),Previous Mode会被设为内核态

直接调用nt!Nt*会位于用户态的原因

  • 由于内核组件可能在各任意线程的上下文中
    > The NtXxxx version of the native system service is the name of the function itself. Thus, when a Kernel Mode component calls the NtXxxx version of the system service, whatever is presently set into previous mode is unchanged. Thus, it is quite possible that the Kernel component could be running on an arbitrary User stack, with the requestor mode set to User. The system service will not know any better, attempt to validate the request parameters, possibly using the credentials of the arbitrary User Mode thread, and thus possibly fail the request. Another problem here is that one step in the validation process for a User Mode request is that all passed in buffers have either ProbeForRead or ProbeForWrite executed on them, depending on the buffer’s usage. These routines raise exceptions if executed on Kernel Mode addresses. Therefore, if you pass in Kernel Mode buffers with your request mode set to User, your calls into the native API return STATUS_ACCESS_VIOLATION.
  • 开发内核模式驱动的时候,可以通过nt!Zw*来避免额外的参数检查
  • 如果想要避免杀毒软件在SSDT中上Hook可以直接调用nt!Nt。要自己调用nt!Nt的话必须先将Previous Mode设为内核模式(KernelMode)。(详见:https://bbs.pediy.com/thread-55142.htm

参考

  1. 段钢-加密与解密
  2. https://bbs.pediy.com/thread-177772.htm
  3. http://www.osronline.com/article.cfm%5earticle=257.htm