搜索论坛 帖子排序:  Oldest to newest Newest to oldest

2009-02-13, 10:07 上午 jlflyfox 注册: 2008-10-28 发 贴: 65 u SharedUserData!SystemCallStub 有疑问 我看本站首页那个资源部分第一个文章--Nt vs. Zw - Clearing Confusion... 有些疑问 就是我本机xp sp2,我执行u ntdll!NtReadFile是和文章介绍一样，但执行u SharedUserData!SystemCallStub 这个就不对了，没有看到sysenter 0f34？？？ 0:000> u ntdll!NtReadFile ntdll!ZwReadFile: 7c92e27c b8b7000000      mov     eax,0B7h 7c92e281 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300) 7c92e286 ff12            call    dword ptr [edx] 7c92e288 c22400          ret     24h 7c92e28b 90              nop ntdll!NtReadFileScatter: 7c92e28c 90              nop 7c92e28d 90              nop 7c92e28e 90              nop 0:000> u SharedUserData!SystemCallStub SharedUserData!SystemCallStub: 7ffe0300 8beb            mov     ebp,ebx 7ffe0302 92              xchg    eax,edx 7ffe0303 7c94            jl      SharedUserData+0x299 (7ffe0299) //就是这里看不懂了，怎么不sysenter？ 7ffe0305 eb92            jmp     SharedUserData+0x299 (7ffe0299) 7ffe0307 7c00            jl      SharedUserData!SystemCallStub+0x9 (7ffe0309) 7ffe0309 0000            add     byte ptr [eax],al 7ffe030b 0000            add     byte ptr [eax],al 7ffe030d 0000            add     byte ptr [eax],al 0:000> u 7ffe0299 SharedUserData+0x299: 7ffe0299 0000            add     byte ptr [eax],al 7ffe029b 0000            add     byte ptr [eax],al 7ffe029d 0000            add     byte ptr [eax],al 7ffe029f 0000            add     byte ptr [eax],al 7ffe02a1 0000            add     byte ptr [eax],al 7ffe02a3 0000            add     byte ptr [eax],al 7ffe02a5 0000            add     byte ptr [eax],al 7ffe02a7 0000            add     byte ptr [eax],al 0:000> u 7ffe0309 SharedUserData!SystemCallStub+0x9: 7ffe0309 0000            add     byte ptr [eax],al 7ffe030b 0000            add     byte ptr [eax],al 7ffe030d 0000            add     byte ptr [eax],al 7ffe030f 0000            add     byte ptr [eax],al 7ffe0311 0000            add     byte ptr [eax],al 7ffe0313 0000            add     byte ptr [eax],al 7ffe0315 0000            add     byte ptr [eax],al 7ffe0317 0000            add     byte ptr [eax],al ....... 按两个jl再次u的结果发现也不对啊 最近在出差，张老师那本宝典没有带，那本宝典有一个大的问题，就是太厚，不好带 :) 所以有些疑问可能书上有，但自己没看，所以请哪位高手不吝指点下   IP 地址: 已记录   报告

2009-02-13, 11:35 上午 王宇 注册: 2007-05-08 发 贴: 306 Re: u SharedUserData!SystemCallStub 有疑问 那篇文章是我用 LaTeX 整理的。之所以要整理是因为那是篇好文章，但是部分内容过时了。所以我整理的时候做了脚注更新，楼主啊，您没仔细看啊...... 在 Win-XP-SP1 时代是文章中的这样： 0: kd> u ntdll!ZwReadFile ntdll!NtReadFile: 77f761e8 b8b7000000      mov     eax,0xb7 77f761ed ba0003fe7f      mov     edx,0x7ffe0300 77f761f2 ffd2            call    edx 77f761f4 c22400          ret     0x24 而您帖的代码是 Win-XP-SP2 以后的操作系统： 0:000> u ntdll!NtReadFile ntdll!ZwReadFile: 7c92e27c b8b7000000      mov     eax,0B7h 7c92e281 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300) 7c92e286 ff12            call    dword ptr [edx] 7c92e288 c22400          ret     24h 注意到区别了吗？ 一个是 call EDX 一个是 call [EDX] 所以，显然应该是： 0: kd> dd SharedUserData!SystemCallStub 7ffe0300  7c92e4f0 7c92e4f4 00000000 00000000 7ffe0310  00000000 00000000 00000000 00000000 7ffe0320  00000000 00000000 00000000 00000000 0: kd> u 7c92e4f0 ntdll!KiFastSystemCall: 7c92e4f0 8bd4            mov     edx,esp 7c92e4f2 0f34            sysenter ntdll!KiFastSystemCallRet: 7c92e4f4 c3              ret 至于为什么要改变这个 call [EDX]，我特地查了《Kernel-mode Payloads on Windows》（Uninformed, 2005）写在脚注里且红色标出。 Due to the fact that SharedUserData contained executable instructions, it was thus necessary that the SharedUserData mapping had to be marked as executable. When Microsoft began work on some of the security enhancements included with XP SP2 and 2003 SP1, such as Data Execution Prevention (DEP), they presumably realized that leaving SharedUserData executable was largely unnecessary and that doing so left open the possibility for abuse. To address this, the fields in KUSER_SHARED_DATA were changed from sets of instructions to function pointers that resided within ntdll.dll. 由于 SharedUserData 中包含了可执行指令，那么 SharedUserData 所在的页就会被映射成可执行代码段。当微软试图对 XP SP2 以及 2003 SP1 做一些安全性增强工作时（例如：数据执行保护 DEP），他们大概意识到让 SharedUserData （所在页面）变得可执行非常地多余，这留下了潜在的滥用可能性。为了解决这个问题，那个在 KUSER_SHARED_DATA 里的域由一组指令变成了指向 ntdll.dll 里指令的函数指针. IP 地址: 已记录   报告

2009-02-13, 15:43 下午 jlflyfox 注册: 2008-10-28 发 贴: 65 Re: u SharedUserData!SystemCallStub 有疑问 Ok，果然如此，我没有看对，我重新弄了下，的确如此，谢谢 IP 地址: 已记录   报告

2009-02-16, 10:38 上午 王宇 注册: 2007-05-08 发 贴: 306 Re: u SharedUserData!SystemCallStub 有疑问 ^_^ 现在工作时间好紧 有空我再整理一些经典文章！ IP 地址: 已记录   报告

高端调试 » 软件调试 » Windows内核调试 » Re: u SharedUserData!SystemCallStub 有疑问

请选择 论坛首页 |- 论坛搜索 |- 热门主题 |- 未回复的主题 用户选项 |- 登录 |- 注册 |- 找回密码 软件调试 |- Windows内核调试 |- C/C++本地代码调试 |- .Net程序调试 |- 脚本程序调试 |- Java程序调试 |- Linux内核调试 |- 《程序员》杂志调试专栏 |- WinDbg |- GDB |- 远程调试 |- 调试ACPI和BIOS |- 特殊的调试任务 |- 转储分析 |- GDK7 内核探秘 |- Windows内核 |- Linux内核 系统架构 |- CPU架构 |- PCI/PCI Express架构 程序人生 |- 软件物语 |- 社区活动 |- 名人逸事 联盟论坛 |- 欢迎使用CnForums 没有银弹 |- BUG也精彩 |- 豆腐工程 |- 软件圈里十大怪 Windows Vista |- 用调试利剑剖析VISTA内幕 |- 老专家如何破解新问题 |- 我的电脑谁说了算？ |- 资源 Office开发 |- Visio 驱动程序开发 |- Windows驱动开发 |- Linux驱动开发 |- Windows CE驱动开发 用户态开发 |- Windows本地代码（native）高级开发 |- Web应用开发 |- WinFX和.Net |- Office开发 本站建设 |- 高端调试团队 |- 版面布局 |- 活动建议 |- 网站维护 64位计算 |- 64-bit Windows |- 64-bit CPU 图书 |- 《软件调试》的示例程序 |- 《软件调试》的工具 |- 《软件调试》书友 |- 《软件调试》答疑 |- 《软件调试》勘误和意见 |- 《格蠹汇编》 |- 《软件调试》第二版卷1 |- 《软件调试》第二版卷2 云计算 |- IaaS |- 云存储 |- 大数据 |- PaaS和SaaS GPU |- CUDA |- OpenCL |- HSA |- 游戏开发与调试