Дизассембл NTDLL - странный адрес для перехода

Ivan_32 · 11 мар 2010

Код (Text):

.text:77F05070 public ZwMapViewOfSection

.text:77F05070 ZwMapViewOfSection proc near ; CODE XREF: sub_77EC826D+100p

.text:77F05070 ; RtlCreateQueryDebugBuffer+63p ...

.text:77F05070 mov eax, 0A8h ; NtMapViewOfSection

.text:77F05075 mov edx, 7FFE0300h

.text:77F0507A call dword ptr [edx]

.text:77F0507C retn 28h

.text:77F0507C ZwMapViewOfSection endp

Насколько я понял из этой темы, по адресу 0x7FFE0300 лежит код который вытаскивает из таблицы нужный адрес и дескриптор, пишет их в MSR-ы и выполняет SYSENTER. Меня интересует как поглядеть на этот код? IDA я так понимаю, вычисляет адреса по принципу PE.MountBase + RVA, но никаким 0x7FFE0300 там и не пахнет. Меня больше всего интересует как эта функция вычисляет (или откуда берет) нужный дескриптор+адрес. Я ведь правильно понимаю что сделать такой системный вызов по сути может любой процесс, если бы было по другому тот же DeviceIoControl не смог бы работать.

n0name · 11 мар 2010

в kernel32

Ivan_32 · 11 мар 2010

В дизассембле Kernel32.dll тоже максимальный адрес намного меньше этого.
.data:77EA6FEC end DllEntryPoint ; это последняя строка в дизассембле.
Может я неправильно пользуюсь идой?

Clerk · 11 мар 2010

Ivan_32
MSR'ы загружает ядро при инициализации в функе KiLoadFastSyscallMachineSpecificRegisters(), код выше называется системным стабом, ссылка на разделяемую ядром память в конце ап, загружается туда тоже ядром на основе экспорта нтдлл в PspLookupKernelUserEntryPoints(). Эта память отображена на все процессы(0x7FFE0000) и ядро(0xFFDF0000).
+0x300: KiFastSystemCall/KiIntSystemCall, +0x304: KiFastSystemCallRet, +0x2F8: 0xC3(Ret опкод).

Ivan_32 · 11 мар 2010

Clerk, огромное спасибо! Но вот еще такой вопрос. Получается в системе всего один адрес отвечает за SYSENTER( я думал что каждый раз при вызове в MSR-ы грузятся адреса функций в KM) и получается все входные параметры - это номера функций в ядре и какие то еще доп.параметры? А каким образом передаются аргументы для функций? Или они туда едут в регистрах общего назначения? Можно если не сложно алгоритм этого действа в общих чертах?
Т.е. в eax пишется номер функции, в edx что то еще и вызывается SYSENTER параметры для которого ядро уже подгрузило. Скажем, если я опробую такой общий метод:
mov eax,0x8
mov edx,0x7FFE0300
call [edx]

PS: Дизассемблер в CheatEngine(им всегда смотрю память процессов - очень удобно, хоть и дизассемблер хромает...) показал по адресу 0x7FFE0300 вот такую штуку:
7FFE0300 - f0 64 1d 77 f4 64 1d - lock sbb eax,1d64f477

Twister · 11 мар 2010

Не надо пользоваться непонятно чем, используй нормальные утилиты. OllyDbg может тебе показать, что по адресу 7FFE0300 лежит указатель на KiFastSystemCall:

Код (Text):

7FFE0300 7C90E4F0 ntdll.KiFastSystemCall

Именно он и вызывается кодом

Код (Text):

mov edx, 7FFE0300h

call dword ptr [edx]

Ну а там всего-ничего до разгадки тайны осталось:

Код (Text):

7C90E4F0 > 8BD4 MOV EDX,ESP

7C90E4F2 0F34 SYSENTER

7C90E4F4 > C3 RETN

А каким образом передаются аргументы для функций?
Нажмите, чтобы раскрыть...

На стеке.

Ivan_32 · 11 мар 2010

Так ведь дескриптор стека берется из IA32_SYSENTER_CS+8 да и сам ESP из IA32_SYSENTER_ESP или я что то неправильно понял?

wasm_test · 11 мар 2010

по адресу 0x7FFE0300 лежит код который вытаскивает из таблицы нужный адрес и дескриптор, пишет их в MSR-ы и выполняет SYSENTE
Нажмите, чтобы раскрыть...

У вас температура, вы бредите? Какая таблица? Какие дескрипторы?

Обычный системный сервис выполняется командой SYSENTER или int 0x2e. В случае с сисентер нужно передать параметры:
EAX = номер системного сервиса в таблице (младшие 12 бит), номер таблицы системных сервисов (2 бита).
ну или просто можно сказать, что в EAX номер системного сервиса.
а в EDX указатель на параметры, один за другим. располагают их на стеке.
Параметры передаются как обычные параметры в ф-ии push'ами, поэтому они там уже лежат. Достаточно записать esp в edx. (на самом деле, там еще лежит адрес возврата из KiFastSystemCall в ZwXXX, и еще один адрес возврата из ZwXXX в пользовательский код, но ядро делает корректировки самостоятельно).

На системах, что не поддерживают инструкцию SYSENTER, используется программное прерывание 2E.
Системный сервис выполняется командой int 0x2e. в EAX по прежнему номер системного сервиса, в EDX уже должен быть прямой указатель на параметры (минуя два адреса возврата).
Именно это и делает код KiIntSystemCall:
lea edx, [esp+8] ; edx = указатель на параметры (взять стек и пропустить 8 байт - два адреса возврата)
int 0x2e

Вот такие вот дела. Еще есть KiFastSystemCallRet - ее видели все, кто хоть раз что-то отлаживал в ольке.
Она состоит из одного RET и туда управление попадает после каждого системного сервиса, для этого в EDX ядро предварительно перед SYSEXIT загружает адрес этой самой KiFastSystemCallRet, которое берет из той же структуры KUSER_SHARED_DATA, из которой и юзермодный код берет адрес SystemCallStub. В юзермод эта структура промаплена про адресу 7FFE0000 обычно, в ядро - FFDF0000.
В случае с int 0x2e возврат выполняется обычным iretd.
int 0x2e сейчас обычно используется в драйверах (например, хотят вызвать неэкспортируемый системный сервис из дарйвера ядра. нужно юзать int 0x2e, SYSENTER из ядра нельзя вызывать).

Хотя, выше я немножко приврвал насчет SYSEXIT. Как я помню, возврат из сервиса, в который вошли по SYSENTER, происходит через тот же IRETD. Впрочем, это совершенно не важно в данном контексте.

d2k9 · 11 мар 2010

Great
А загрузить свой адрес возврата минуя KiFastSystemCallRet?

Clerk · 11 мар 2010

Great

Как я помню, возврат из сервиса, в который вошли по SYSENTER, происходит через тот же IRETD.
Нажмите, чтобы раскрыть...

Он и через Iret и через Sysexit выполняется. Зависит от некоторых условий, как например TF.
d2k9
Ведь вы можите логически подумать, наверно..

d2k9 · 11 мар 2010

Ессно
Тока зачем, если Грейт поднял эту тему и походу посвящён во все тонкости?

Clerk · 11 мар 2010

d2k9

Тока зачем
Нажмите, чтобы раскрыть...

Чтоб не захламляли ни мне, ни другим личку своими тупыми вопросами.)

d2k9 · 11 мар 2010

А я вам сейчас ничего и не писал

wasm_test · 11 мар 2010

А загрузить свой адрес возврата минуя KiFastSystemCallRet?
Нажмите, чтобы раскрыть...

Откуда и с какой целью? Из юзермода с целью перехватить возврат из сервиса? Не получится, загружается из ядра. Из ядра - смысла мало.

Он и через Iret и через Sysexit выполняется. Зависит от некоторых условий, как например TF.
Нажмите, чтобы раскрыть...

Хм. Да, точно. На трассировку условие есть

d2k9 · 11 мар 2010

адрес этой самой KiFastSystemCallRet, которое берет из той же структуры KUSER_SHARED_DATA, из которой и юзермодный код берет адрес SystemCallStub. В юзермод эта структура промаплена про адресу 7FFE0000 обычно, в ядро - FFDF0000.
Нажмите, чтобы раскрыть...

В юзермоде, как вариант извратиться и в юзермоде записать перед вызовом в эту структуру свой адрес возврата, а затем вернуть обратно.
З.Ы. Перехваченные функции в ядре через SSDT к примеру при вызове из юзермода через сисколы или прерывания ессно срабатывают, а не оригинальные? Что-то я замотался сегодня...

wasm_test · 11 мар 2010

d2k9
В юзермод KUSER_SHARED_DATA промаплена только на чтение.

З.Ы. Перехваченные функции в ядре через SSDT к примеру при вызове из юзермода через сисколы или прерывания ессно срабатывают, а не оригинальные?
Нажмите, чтобы раскрыть...

Что?

Clerk · 11 мар 2010

d2k9
Думаю вы не против лог выложить:

2010-02-27 20:43:49
d2k9
1) Как наиболее быстро захватить функцию какую-нибудь, в частности интересует SysAllocString - важная производительность, перехват в своём приложении.
2) Наткнулся на твой пост о вызовах
http://www.wasm.ru/forum/viewtopic.php? … 33#p221633
Можно ли как-то вызывать из ядра сервисы без возвращения в KiFastSystemCallRet?
Вариант должен быть как для АМД так и для Интел. У меня проснулся научный интерес

З.Ы. Глянь, твои инклуды поудаляли, а иметь-то всем хочется
http://www.wasm.ru/forum/viewtopic.php? … 59#p368459

2010-02-28 00:07:20
Clerk
1. Не знаю, нужно смотреть в сурцах или дизасм.
2. Загрузите адрес на который хотите возвратиться в трап-фрейм.

2010-03-03 20:24:06
d2k9

Код:
7DE801A0 KiFastSystemCall:
7DE801A0 8BD4 mov edx,esp
7DE801A2 0F db 0Fh;
7DE801A3 34 db 34h; '4'
7DE801A4 KiFastSystemCallRet:
7DE801A4 C3 retn
Интересно, как можно контролировать вызовы из ядра через перехват KiFastSystemCallRet если на неё просто переходит управление после самого вызова? Изменить возвращаемые значения?
З.Ы. А как перед вызовом загрузить нужный адрес в трап фрейм? Нечто я поискал инфу про трап фрейм и ничего путного не нашёл. Это что-ли TF?

2010-03-03 22:21:06
Clerk
> Интересно, как можно контролировать вызовы из ядра через перехват KiFastSystemCallRet если на неё просто переходит управление после самого вызова? Изменить возвращаемые значения?
Это адрес куда возвращается поток из сервиса. С чего вы взяли что можно контролировать сервисы таким образом ?
> db 0Fh, 34h
> retn
> А как перед вызовом загрузить нужный адрес в трап фрейм?
Из быстрого вызова(sysenter) возврат выполняется не на следующую инструкцию, а на адрес KiFastSystemCallRet. Трап-фрейм(KTRAP_FRAME) это аппаратный контекст. Всякий вход в ядро начинается с формирования и сохранения его. Далее по возврату он загружается в процессор. Обработчик быстрых вызовов в ядре(KiFastCallEntry()) также формирует этот фрейм. В нём регистр Eip, на который будет выполнен возврат загружается из разделяемой ядром памяти(KUSER_SHARED_DATA + 0x304, 0x7FFE0304/0xFFDF0304), там ссылка на ntdll!KiFastSystemCallRet и загружается туда ядром при инициализации. Эта память глобальна для всех процессов. Если изменить там этот указатель, то на него будет выполняться возврат из сервисов во всех процессах. Если диспетчер захвачен, то загружаем в трап-фрейм необходимый локальный адрес возврата. Это можно в ручную сделать, либо сконвертировать аппаратный контекст в програмный(KeContextFromKframes/KeContextToKframes()).
> Вылетает что-то тестовая прога.
> Возможно я идеалогически что-то не так делаю?
Во первых закрытие не валидного описателя приводит к генерации сепшена. GetCurrentProcess() возвращает псевдохэндл(-1), закрыть его не возможно, хотя сепшен не генерируется, а будет возвращена ошибка.
Во вторых шлюз должен быть вызван особым образом.
o Регистр Esp при вызове сервиса посредством Sysenter не имеет значения. Диспетчер загружает в Esp трап-фрейма значение регистра Edx. Тоесть на стек должен ссылаться Edx.
o Параметры сервиса должны находится в стеке ниже его вершины на 2 слова, которые занимают адреса возврата формируемые при вызове стаба и стабом. На вершине стека должен находится адрес возврата из стаба, на который передаётся управление при исполнении инструкции Ret по адресу KiFastSystemCallRet.

Код:
push ObjectHandle
mov eax,ID_NtClose
Call Stub
...
Stub:
Call Gate
ret 4 ; Удаляем параметры из стека и возврат.
Gate:
mov edx,esp
sysenter

; или так.
push ObjectHandle
mov eax,ID_NtClose
push eax ; ~ sub esp,4
Call Gate
add esp,2*4
...
Gate:
mov edx,esp
sysenter
Если сервисы юзаются через шлюз прерывания 0x2E, то возврат на дрес сразу за Int, параметры на вершине стека.

2010-03-03 21:21:10
d2k9

Код:
var
hProc: THandle;

begin
hProc:= GetCurrentProcess;
asm
push hProc
mov eax, 0Ch //win7 num of ZwClose
mov edx, esp
db 0Fh, 34h
retn
end;

end.

Вылетает что-то тестовая прога.
Возможно я идеалогически что-то не так делаю?

2010-03-03 23:13:09
Clerk
Там сисколы.

2010-03-03 23:03:09
d2k9
вызываю на вин7 х64 из процесса х86

Код:
#define sysenter __asm _emit 0x0F __asm _emit 0x34

int main() {
HANDLE hProc;
__int32 num;
hProc = GetCurrentProcess;
num = 0x0C;
__asm {
xor eax, eax
mov eax, num // номер системной функции windows
push hProc
call FastSystemCall // вызов системной функции
retn 4h
FastSystemCall:
mov edx, esp //сохраняем вершину стека (как я понял по edx + 8 лежат наши передаваемые ядру аргументы.
sysenter
ret
}
return 0;
}

Я из дизасма KiFastSystemCall выдрал команду sysenter.

Код:
KiFastSystemCall:
mov edx,esp
db 0Fh;
db 34h; '4'
Может подскажешь нужный байт код? Спс!

2010-03-03 23:29:50
Clerk
Syscall: 0F 05
Да чегоже ты ленивый

2010-03-03 23:39:11
d2k9
Да я вообще-то сам нашёл, может и вам пригодится табличечка
http://ref.x86asm.net/coder.html
Проблема в том, что вопроса это не решило (
Теперь: Unhandled exception at 0x009c1049 in syscall.exe: 0xC000001D: Illegal Instruction. Листинг из отладчика:

Код:
009C1044 C2 04 00 ret 4
009C1047 8B D4 mov edx,esp
009C1049 0F 05 syscall <-- писец вылазит тута

Код:
#define sysenter __asm _emit 0x0F __asm _emit 0x05

int main() {
DWORD pid;
HANDLE hProc;
__int32 num;
pid = GetCurrentProcessId;
hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
num = 0x0C;
__asm {
push hProc
mov eax, num
call Stub
Stub:
call FastSystemCall
ret 4h
FastSystemCall:
mov edx, esp
sysenter
}
return 0;
}

2010-03-03 23:46:00
Clerk
http://lhc645.wordpress.com/2009/09/07/ … x64-notes/
Вначале изучать, только потом юзать.)

2010-03-03 23:56:21
d2k9
Всё так грустно
Получается int 2Eh из вин7 убрали, а сискол можно заюзать только из натив х64 приложения в котором чтобы компильнуть асм код в Сишке приходится мега изврат творить
Ну вот, растроенный пойду спать...

2010-03-04 00:03:05
Clerk
В x86 Win7 прерывание работает.

2010-03-04 00:14:11
d2k9
Увы, у меня int 2Eh выдаёт при отладке Unhandled exception at 0x00cf237a in syscall.exe: 0xC0000005: Access violation reading location 0xffffffff.

2010-03-04 00:17:41
Clerk
У вас в нтдлл в экспорте есть KiIntSystemCall() ?

2010-03-04 00:29:40
d2k9
Из x86 ntdll.dll

Код:
.text:7DE801B0 public KiIntSystemCall
.text:7DE801B0 KiIntSystemCall proc near ; DATA XREF: .text:off_7DE801E0o
.text:7DE801B0
.text:7DE801B0 arg_4 = byte ptr 8
.text:7DE801B0
.text:7DE801B0 lea edx, [esp+arg_4]
.text:7DE801B4 int 2Eh ; DOS 2+ internal - EXECUTE COMMAND
.text:7DE801B4 ; DS:SI -> counted CR-terminated command string
.text:7DE801B6 retn
.text:7DE801B6 KiIntSystemCall endp
В х64 ntdll.dll KiIntSystemCall() нету.

2010-03-04 00:31:19
Clerk
Ну вот, если есть значит работает.

2010-03-04 00:45:38
d2k9
А оно сказало нет Unhandled exception at 0x00a02369 in syscall.exe: 0xC0000005: Access violation reading location 0xffffffff.
Видно только из legacy mode доступно

Код:
int main() {
DWORD pid;
HANDLE hProc;
__int32 num = 0x0C;

pid = GetCurrentProcessId;
hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
__asm {
mov eax, num // номер системной функции windows
push hProc
call FastSystemCall // вызов системной функции
FastSystemCall:
lea edx, [esp+8]
int 2Eh
retn
}
return 0;
}

2010-03-04 00:51:26
Clerk
Для прерывания модель вызова иная, в Edx ссылка на параметры, говорил ведь. Пропишите джамп: ttp://img163.imageshack.us/img163/8301/ntgate.png
В томже блокноте к примеру и будет работать. У вас сбивается стек изза бажного вызова.

2010-03-05 00:35:43
d2k9
В ходе экспериментальных исследований было установлено, что на х64 платформе для вызова прерывания int 2Eh необходимо находиться по терминалогии АМД в "legacy mode", т.е. быть нативным х64 процессом, иначе будет нечто вроде вот этого в отладчике:
Unhandled exception at 0x01352496 in int2e.exe: 0xC0000005: Access violation reading location 0xffffffff.
0xffffffff это адрес начала памяти ядра и тут совпадают селекторы 10, 23. Поток юзает селектор данных 23 при выполнении
в режиме ядра. С одной стороны, это удобно - драйвер работает с указателями пользователя как с обычными указателями. С другой стороны, это потенциальное место для ошибок, что мы и наблюдаем из-за блокирования вызова прерываний из WOW64 процесса (видимо есть нечто вроде ПГ и оно не дремлет ).
Дабы подтвердить свою теорию я написал дизасм номеров сервисов на лету и запустил тестовый экземпляр на разных ОС. Функция для тестирования была выбрана ZwClose из-за её простоты по приёму только одного параметра который легко подставлялся как INVALID_HANDLE_VALUE (0h) и ессно получали после отработки в ядре

Код:
STATUS_INVALID_HANDLE ((NTSTATUS)0xC0000008L)
что доказывало работоспособность вызова. Получились такие результаты:
x86: XP SP3, Vista SP2, Win7 - работает
х64: Vista SP2, Win7 - не работает с выдачей вышеуказанного
Надеюсь было интересно и пригодится в последующем при написании пикода на данный тип процессоров

2010-03-05 01:05:13
Clerk
Я вам линк вчера давал на блог девочки, там это всё описано.
> Unhandled exception at 0x01352496 in int2e.exe: 0xC0000005: Access violation reading location 0xffffffff.
Это просто #GP возникает, ибо DPL < CPL шлюза.

2010-03-05 06:55:48
d2k9
Ну ничё, своим умом дойти тоже бывает полезно
Интересно, можно ли как-то GP обойти...

2010-03-06 11:56:44
d2k9
Подскажи плз что не так делаю если знаешь - хочу вызвать элементарный ZwClose. По отладчику вижу что ничего не происходит.

Код:
call_int2e PROC
mov rax, 0Ch ; номер сискола
push 0 ; невалидный хэндл
lea rdx, [rsp+4] ; указатель на стек
lea rcx, @f ; здесь загружаю точку выхода для sysexit
db 0Fh, 05h ;syscall
@@:
add rsp, 4 ; здесь я восстанавливаю стек - кол-во параметров входных *4, может для х64 по-другому?
RET
call_int2e ENDP
Спасибо!

2010-03-06 12:16:44
Clerk
Возврат на следующую за Syscall инструкцию, стек не нужно корректировать после возврата.

2010-03-06 12:27:13
d2k9

Код:
call_int2e PROC
mov rax, 0Ch
push 0
lea rdx, [rsp+4]
syscall
RET
call_int2e ENDP
После syscall в регистре rax оказывается 0h хотя должно быть STATUS_INVALID_HANDLE 0xC0000008
Что за бред

2010-03-07 11:47:44
Clerk
; Rcx: HANDLE
Call Stub
; ...
;
Stub:
mov eax,Service_ID
mov r10,rcx ; Так как камень загрузит rcx <- rip, то rcx сохраняется в r10.
syscall
ret

2010-03-06 12:34:14
d2k9
Вот это жесть! Прикинь, под отладчиком обнулялся RAX. Я в шоке

2010-03-07 11:34:45
d2k9
Добрый день!
Что-то я не могу понять формат вызова сискола на х64. Куда должны помещаться передаваемые значения? Всё время у меня выдаётся про неверный хэндл, хотя сейчас получаю его корректно через GetCurrentProcess. При написании функций в х64 соглашение fastcall и они передаются таким образом: первые четыре параметра передаются в rcx, rdx, r8, r9 остальные через стек. А как это происходит для syscall в х64 я не могу понять: в раздизасмленой х64 нтдлл нету примера
По идее:
make_syscall PROC uses rcx
xor rax, rax
mov rax, rcx
mov rdx, rsp ; но ведь в rdx у меня по правилу уже содержится 2-ой параметр - hProc
syscall
RET
make_syscall ENDP

Если хочу вызвать из Си кода то: int make_syscall(ServNum, hProc), где ServNum - номер вызываемого сервиса, а hProc - открытый хэндл. И ещё интересно как передать произвольное кол-во параметров из Си кода дабы под каждый вызов сервиса не писать свой обработчик. Почитал х64 маны от интела но там весьма скупо и без привязки к Windows
Спасибо за наводку!

2010-03-07 13:43:58
Clerk
хз что там компилятор сделает, правильный код я привёл.

2010-03-07 12:08:41
d2k9
Ето ваще бред:
Unhandled exception at 0x773af4c5 (ntdll.dll) in syscall_x64.exe: 0xC0000005: Access violation reading location 0xffffffffffffffff.

2010-03-07 13:40:24
d2k9

Код:
int make_syscall(int SysNum, HANDLE hProc);
...
make_syscall(SysNum, hProc);
...
make_syscall PROC uses rcx
xor rax, rax
mov rax, rcx
;фишка в том, что при вызове функции уже будет нужный параметр в rdx
syscall
RET
make_syscall ENDP

2010-03-07 13:48:43
d2k9
Взять тот же ман по опкодам:
mnemonic op1 op2 op3
SYSCALL RCX R11 SS
Видно надо в R11 параметр заносить.

2010-03-07 13:59:04
d2k9
Clerk написал:
; Rcx: HANDLE
Call Stub
; ...
;
Stub:
mov eax,Service_ID
mov r10,rcx ; Так как камень загрузит rcx <- rip, то rcx сохраняется в r10.
syscall
ret
Усовершенствовал дабы наверня-ка и мне отладчик выдал инвалид хэндл хотя раньше не выдавал, а просто шёл себе дальше, прогресс на лицо

Код:
; rcx - номер сервиса, rdx - хэндл на процесс
make_syscall PROC
xor rax, rax
00000001400012A0 48 33 C0 xor rax,rax
mov rax, rcx
00000001400012A3 48 8B C1 mov rax,rcx
mov r10, rdx
00000001400012A6 4C 8B D2 mov r10,rdx
mov rcx, rdx
00000001400012A9 48 8B CA mov rcx,rdx
syscall
00000001400012AC 0F 05 syscall
RET
00000001400012AE C3 ret

2010-03-07 16:16:00
d2k9
Вот рабочий код:

Код:
make_syscall PROC
xor rax, rax
mov rax, rcx
xor rcx, rcx
mov r10, rdx ;важно - здесь параметр №1
xor rdx, rdx
syscall
RET
make_syscall ENDP
Спасибо за подсказки!
З.Ы. А если функция берёт больше одного параметра и они не помещаются в регистрах, а идут в стек, тогда как быть?

2010-03-07 14:12:13
Clerk
----------------------- x64 sysstubs.asm ---------------------------
SYSSTUBS_ENTRY1 macro ServiceNumber, Name, NumArgs
extern KiServiceInternal:proc
extern KiServiceLinkage:proc
NESTED_ENTRY Zw&Name, _TEXT$00,, NoPad

if DBG

mov 8[rsp], rcx ; save argument register
mov 16[rsp], rdx ;
mov 24[rsp], r8 ;
mov 32[rsp], r9 ;

endif

mov rax, rsp ; save stack address
cli ; disable interrupts
sub rsp, 16 ; alignment and dummy SS selector
push rax ; save previous stack pointer
pushfq ; push EFLAGS on stack
push KGDT64_R0_CODE ; push CS selector
lea rax, KiServiceLinkage ; push service linkage RIP
push rax ; push return address
mov eax, ServiceNumber ; set service number
jmp KiServiceInternal ; finish in service dispatcher
push_frame ; mark machine frame push
END_PROLOGUE
NESTED_END Zw&Name, _TEXT$00
endm

USRSTUBS_ENTRY2 macro ServiceNumber, Name, NumArgs

ifidn <Name>, <QuerySystemTime>

extern RtlQuerySystemTime:proc

endif

LEAF_ENTRY Zw&Name, _TEXT$00, NoPad
ALTERNATE_ENTRY Nt&Name

if DBG

mov 8[rsp], rcx
mov 16[rsp], rdx
mov 24[rsp], r8
mov 32[rsp], r9

endif

ifidn <Name>, <QuerySystemTime>

jmp RtlQuerySystemTime

else

mov r10, rcx
mov eax, ServiceNumber
syscall
ret

endif
----------------------- x86 sysstubs.asm ---------------------------
SYSSTUBS_ENTRY1 macro ServiceNumber, Name, NumArgs
cPublicProc _Zw&Name,NumArgs
.FPO ( 0, NumArgs, 0, 0, 0, 0 )
extrn _KiSystemService:PROC
mov eax, ServiceNumber ; (eax) = service number
lea edx, [esp]+4 ; (edx) -> arguments
pushfd ; EFLAGS to trap frame
push KGDT_R0_CODE ; CS to trap frame
call _KiSystemService ; EIP to trap frame and enter handler
stdRET _Zw&Name
stdENDP _Zw&Name
endm

USRSTUBS_ENTRY1 macro ServiceNumber, Name, NumArgs
cPublicProc _Zw&Name, NumArgs
PUBLICP _Nt&Name, NumArgs
LABELP _Nt&Name, NumArgs
.FPO ( 0, NumArgs, 0, 0, 0, 0 )
mov eax, ServiceNumber ; (eax) = service number
mov edx, MM_SHARED_USER_DATA_VA+UsSystemCall
call [edx]
stdRET _Zw&Name
stdENDP _Zw&Name
endm
--------------------------------------------------------------------
Для x86 ядерного стаба я это макро юзал:
SYSTEM_STUB_ENTRY struct
OpLoadService BYTE ? ;0xB8 mov eax,ServiceNumber
ServiceNumber ULONG ?
OpLoadEdx DWORD ? ;0x0424548D lea edx,[esp + 4]
OpSaveFlags BYTE ? ;0x9C pushfd
OpSaveCs WORD ? ;0x086A push KGDT_R0_CODE ;CS = 8
OpCallService BYTE ? ;0xE8 call KiSystemService
Displacement ULONG ? ;
OpReturn BYTE ? ;0xC2 / 0xC3 ;ret
SizeOfStack BYTE ? ;Present if OpReturn = 0xC2
SYSTEM_STUB_ENTRY ends

Для пользовательского стаба:
USER_STUB_ENTRY struct
OpLoadService BYTE ? ;0xB8 mov eax,ServiceNumber
ServiceNumber ULONG ?
OpLoadStub BYTE ? ;0xBA mov edx,0x7FFE0300
StubAddress PVOID ? ;0x7FFE0300
OpCallService WORD ? ;0xFF Call Edx/Call [Edx]
OpReturn BYTE ? ;0xC2 / 0xC3 Ret / Ret #
SizeOfStack BYTE ? ;Present if OpReturn = 0xC2
USER_STUB_ENTRY ends

Для пользовательского стаба в x64:
USER_STUB_ENTRY_X64 struct
OpLoadRcx WORD ? ;0xD18B
OpLoadService BYTE ? ;0xB8 mov eax,ServiceNumber
ServiceNumber ULONG ?
OpSyscall WORD ? ;0x050F Syscall
OpReturn BYTE ? ;0xC3 Ret
USER_STUB_ENTRY_X64 ends
--------------------------------------------------------------------
Нажмите, чтобы раскрыть...

)

d2k9 · 11 мар 2010

Clerk
Конечно, мне нежалко, другим поможет

d2k9 · 11 мар 2010

Great сказал(а):

В юзермод KUSER_SHARED_DATA промаплена только на чтение.
Нажмите, чтобы раскрыть...

Фигово, получается любой лузер может перехватить KiFastSystemCallRet и измываться над сисколами

Clerk · 12 мар 2010

d2k9
Например ?

Войти или зарегистрироваться

Дизассембл NTDLL - странный адрес для перехода

Ivan_32 New Member

n0name New Member

Ivan_32 New Member

Clerk Забанен

Ivan_32 New Member

Twister New Member

Ivan_32 New Member

wasm_test wasm test user

d2k9 Алексей

Clerk Забанен

d2k9 Алексей

Clerk Забанен

d2k9 Алексей

wasm_test wasm test user

d2k9 Алексей

wasm_test wasm test user

Clerk Забанен

d2k9 Алексей

d2k9 Алексей

Clerk Забанен

Войти или зарегистрироваться

Дизассембл NTDLL - странный адрес для перехода

Ivan_32 New Member

n0name New Member

Ivan_32 New Member

Clerk Забанен

Ivan_32 New Member

Twister New Member

Ivan_32 New Member

wasm_test wasm test user

d2k9 Алексей

Clerk Забанен

d2k9 Алексей

Clerk Забанен

d2k9 Алексей

wasm_test wasm test user

d2k9 Алексей

wasm_test wasm test user

Clerk Забанен

d2k9 Алексей

d2k9 Алексей

Clerk Забанен

Быстрый поиск