|
WinXP系統(tǒng)調(diào)用的步驟
sysenter指令:從sysenter_CS_MSR����、sysenter_ESP_MSR����、sysenter_EIP_MSR寄存器讀取數(shù)據(jù),
填寫cs、ss(cs+8)esp�、eip。進(jìn)入ring0特權(quán)級
步驟:
0. 進(jìn)入時eax = 服務(wù)號����,edx = 當(dāng)前棧頂 (+0x08為用戶參數(shù)) sysenter 進(jìn)入ring0
1. 初始化ds、es為0x23����,fs 0x30
2.
PCR+0x40(0FFDFF040h)處取得TSS,TSS+0x04取得當(dāng)前線程內(nèi)核棧地址,賦值給esp���。所以sysenter_ESP_MSR
沒有意義���。
esp = pcr->TSS->Esp0
3. 關(guān)中斷,建立ThTrapFrame
ntdll!_KTRAP_FRAME
+0x000 DbgEbp : Uint4B
+0x004 DbgEip : Uint4B
+0x008 DbgArgMark : Uint4B
+0x00c DbgArgPointer : Uint4B
+0x010 TempSegCs : Uint4B
+0x014 TempEsp : Uint4B
+0x018 Dr0 : Uint4B
+0x01c Dr1 : Uint4B
+0x020 Dr2 : Uint4B
+0x024 Dr3 : Uint4B
+0x028 Dr6 : Uint4B ;如果KTHREAD中DebugActive被置位 則填寫上面的值
+0x02c Dr7 : Uint4B ;置0
+0x030 SegGs : Uint4B
+0x034 SegEs : Uint4B
+0x038 SegDs : Uint4B
+0x03c Edx : Uint4B
+0x040 Ecx : Uint4B
+0x044 Eax : Uint4B
+0x048 PreviousPreviousMode : Uint4B ;設(shè)置為USERMODE (1),
并設(shè)置KTHREAD中的對應(yīng)字段為USERMODE
+0x04c ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD
;從PCR獲得����,并且設(shè)置更新PCR中的ExceptionList為-1
+0x050 SegFs : Uint4B
+0x054 Edi : Uint4B
+0x058 Esi : Uint4B
+0x05c Ebx : Uint4B
+0x060 Ebp : Uint4B
+0x064 ErrCode : Uint4B
+0x068 Eip : Uint4B ;返回地址
從USER_SHARED_DATA+UsSystemCallReturn取得,我的系統(tǒng)上是0x7c92eb94���,只是一個ret�����,所以返回用戶態(tài)時
直接可以返回Zw.....函數(shù)
+0x06c SegCs : Uint4B
+0x070 EFlags : Uint4B
+0x074 HardwareEsp : Uint4B
+0x078 HardwareSegSs : Uint4B
+0x07c V86Es : Uint4B
+0x080 V86Ds : Uint4B
+0x084 V86Fs : Uint4B
+0x088 V86Gs : Uint4B
更新KTHREAD中的TrapFrame
4. 從KTHREAD中取出服務(wù)表ServiceTable
將用戶堆棧中的參數(shù)復(fù)制到內(nèi)核堆棧中��,如果service no & 0x1000 為ssdtShadow服務(wù)����,否則為ssdt服務(wù)�����。
如果是ssdtShadow服務(wù)則先Call _KeGdiFlushUserBatch
call相應(yīng)服務(wù)
5. 取出_KTRAP_FRAME 恢復(fù)ExceptionList 等。��。�����。�。沒看下去。�。。
疑問:
恢復(fù)ExceptionList 時
mov edx, [ebp].TsEdx ; restore previous trap frame
address
mov [ecx].ThTrapFrame, edx ;
[ebp].TsEdx填了么??不應(yīng)該是[ebp].ExceptionList??
|
