syscall指令_[原创]简析syscall,sysret和sysenter,sysexit的具体过程

最新推荐文章于 2023-11-06 16:45:46 发布
最新推荐文章于 2023-11-06 16:45:46 发布
阅读量2.3k 收藏 3
点赞数
CC 4.0 BY-SA版权
文章标签: syscall指令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39627408/article/details/111986487
本文详细介绍了Windows系统中,从用户态进入内核态的两种系统快速调用方式:sysenter/sysexit和syscall/sysret。通过实例展示了如何读取和使用MSR寄存器,以及这些指令在不同模式下的工作原理和寄存器交互细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这里我以windows系统为例子,在其他系统实现方式是一样的.

我们都知道xp系统是通过int 2E中断从用户态进入内核态的.,但xp系统之后windows都是通过系统快速调用从用户态进入内核态的.

系统快速调用有两种:

sysenter/sysexit

syscall/sysret

前置知识MSR

MSR(Model-Specific Register) 是一类寄存器,这类寄存器数量庞大,并且和处理器的model相关.提供对硬件和软件相关功能的一些控制.能够对一些硬件和软件的运行环境进行设置.

使用MSR

每个MSR是64位宽的,每个MSR都有它的的地址值(编号).对MSR操作使用两个指令进行读写,由ecx寄存器提供需要访问的MSR地址值,EDX:EAX提供64位值(EAX表示低32位,EDX表示高32位)

rdmsr 读取MSR寄存器 其中高32位存放在EDX 低32位存放在EAX(64位和32位是一样,只是64位时rdx和rcx的高32位会被清零)

wrmsr 写入MSR寄存器 和读取一样写入时是用EDX表示高32位,EAX表示低32位

提示:如果MSR地址是保留未实现的,则执行rdmsr和wrmsr指令会产生#GP异常

示例:读取IA32_SYSENTER_EIP寄存器

demo:ShowMSR

#include

struct INT64

{

unsigned int low;

unsigned int hight;

};

VOID UnLoad(PDRIVER_OBJECT pDro)

{

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDro, PUNICODE_STRING pStr)

{

struct INT64 EIP = {0};//或者RIP

pDro->DriverUnload = UnLoad;

__asm {

xor edx, edx

xor eax, eax

mov ecx, 0x176 //IA32_SYSENTER_EIP寄存器

rdmsr

mov EIP.low,eax

mov EIP.hight, edx

}

KdPrint(("IA32_SYSENTER_EIP:%08x%08x",EIP.hight, EIP.low));

return STATUS_SUCCESS;

}

试验系统Win7 32位

sysenter/sysexit

在32位的windows系统中,是通过sysenter指令从用户态进入内核态的,从内核态返回用户态通过sysexit指令.

支持sysenter和sysexit的3个寄存器IA32_SYSENTER_CS

IA32_SYSENTER_ESP

IA32_SYSENTER_EIP

对应的地址:

sysenterIF in IA-32e mode

THEN

RSP ← IA32_SYSENTER_ESP;

RIP ← IA32_SYSENTER_EIP;

ELSE

ESP ← IA32_SYSENTER_ESP[31:0];

EIP ← IA32_SYSENTER_EIP[31:0];

FI;

CS.Selector ← IA32_SYSENTER_CS[15:0] AND FFFCH;

(* Operating system provides CS; RPL forced to 0 *)

SS.Selector ← CS.Selector + 8;

sysexitIF operand size is 64-bit

THEN (* Return to 64-bit mode *)

RSP ← RCX;

RIP ← RDX;

ELSE (* Return to protected mode or compatibility mode *)

RSP ← ECX;

RIP ← EDX;

FI;

IF operand size is 64-bit (* Operating system provides CS; RPL forced to 3 *)

THEN CS.Selector ← IA32_SYSENTER_CS[15:0] + 32;

ELSE CS.Selector ← IA32_SYSENTER_CS[15:0] + 16;//这里加了16

FI;

CS.Selector ← CS.Selector OR 3; (* RPL forced to 3 *)

SS.Selector ← CS.Selector + 8;//上面有加16

我们再做一个小例子:

demo:ShowMSR1

#include

struct INT64

{

unsigned int low;

unsigned int hight;

};

VOID UnLoad(PDRIVER_OBJECT pDro)

{

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDro, PUNICODE_STRING pStr)

{

struct INT64 EIP = {0};//或者RIP

pDro->DriverUnload = UnLoad;

__asm {

xor edx, edx

xor eax, eax

mov ecx, 0x176 //IA32_SYSENTER_EIP寄存器

rdmsr

mov EIP.low,eax

mov EIP.hight, edx

}

KdPrint(("IA32_SYSENTER_EIP:%08x%08x",EIP.hight, EIP.low));

__asm {

xor edx, edx

xor eax, eax

mov ecx, 0x175 //IA32_SYSENTER_ESP寄存器

rdmsr

mov EIP.low, eax

mov EIP.hight, edx

}

KdPrint(("IA32_SYSENTER_ESP:%08x%08x", EIP.hight, EIP.low));

__asm {

xor edx, edx

xor eax, eax

mov ecx, 0x174 //IA32_SYSENTER_CS寄存器

rdmsr

mov EIP.low, eax

mov EIP.hight, edx

}

KdPrint(("IA32_SYSENTER_CS:%08x%08x", EIP.hight, EIP.low));

return STATUS_SUCCESS;

}

运行后(Win7 32):

可以看到:CS_Selector=8

返回时:CS=CS_Selector+16=24(18H) SS=CS_Selector+24=32(20h)

我们用x64Dbg随便查看一个程序看是否是这样的:

CS=1BH SS=23H 并不是18H和20H,知道有特权级的同学可能已经知道在用户模式下特权级是3,内核态是0,选择子的最后2位表示特权级,所以回到用户态特权级变为3,所以还要加上3.

18H+3H=1BH

20H+3H=23H

正好符合我们所描述的.

继续我们的主题

在32位模式下IA32_SYSENTER_EIP和IA32_SYSENTER_ESP的低32位存放进入(sysenter)内核态时的目标代码入口点和栈指针.当返回(sysexit)时需要EDX和ECX分别放入返回点和栈指针.

这里以Windows为例不介绍Long Mode模式,因为在该模式下Windows使用的是syscall和sysret

我们看一下CreateFile是怎么进入内核的:

demo:CreateFile(虚拟机没有按照VS的库,所以使用汇编来编写)

include kernel32.inc

includelib kernel32.lib

.data

szPath db '1.txt',0

.code

star:

push NULL

push FILE_ATTRIBUTE_NORMAL

push OPEN_EXISTING

push NULL

push FILE_SHARE_READ

push GENERIC_READ

push offset szPath

call CreateFileA

push eax

Call CloseHandle

ret

end star本来想用Windbg在系统快速调用的地址下断点,可是那里会一直断下来,也就放弃了

我们用x64Dbg调试:

syscall/sysret

支持syscall/sysret的MSR

syscall

syscall通过从IA32_LSTAR MSR加载RIP(syscall的下一条指令地址会保存到RCX).RFLAGS保存到R11寄存器,然后用IA32_FMASK MSR(MSR 地址:C0000084H)屏蔽RFLAGS的值,更具体的说是清除在IA32_FMASK MSR中设置的每一位.

syscall会从IA32_STAR[47:32]中加载CS和SS.

syscall不会保存堆栈指针(RSP).

官方描述(这里我隐藏了描述符检查和控制寄存器检查下同):

RCX ← RIP;保存syscall下一条指令地址到RCX

RIP ← IA32_LSTAR;RIP=IA32_LSTAR

R11 ← RFLAGS;R11=RFLAGS

RFLAGS ← RFLAGS AND NOT(IA32_FMASK);//根据IA32_FMASK屏蔽RFLAGS的相关位

CS.Selector ← IA32_STAR[47:32] AND FFFCH;确保CS的RPL为0

SS.Selector ← IA32_STAR[47:32] + 8;

sysretRIP=RCX

RFLAGS=R11

返回32位代码:CS=CS_Selector|3 SS=(CS_Selector+8)|3

返回64位代码:CS=(CS_Selector+16)|3 SS=(CS_Selector+8)|3

返回时不会修改(ESP or RSP)

IF (operand size is 64-bit)//如果是64位

THEN (* Return to 64-Bit Mode *)

RIP ← RCX;

ELSE (* Return to Compatibility Mode *)

RIP ← ECX;

FI;

RFLAGS ← (R11 & 3C7FD7H) | 2; (* Clear RF, VM, reserved bits; set bit 2 *)

IF (operand size is 64-bit)

THEN CS.Selector ← IA32_STAR[63:48]+16;

ELSE CS.Selector ← IA32_STAR[63:48];

FI;

CS.Selector ← CS.Selector OR 3; (* RPL forced to 3 *)

SS.Selector ← (IA32_STAR[63:48]+8) OR 3;

我们看一个demo

driver.c

#include

struct INT64

{

unsigned int low;

unsigned int hight;

};

VOID ReadMsr(unsigned long long,void *);

VOID UnLoad(PDRIVER_OBJECT pDo)

{

}

//RCX RDX R8 R9

NTSTATUS DriverEntry(PDRIVER_OBJECT pDo, PUNICODE_STRING pStr)

{

struct INT64 MSR = {0};

KdBreakPoint();

pDo->DriverUnload = UnLoad;

ReadMsr(0x0C0000081,&MSR);

KdPrint(("RetCS:%08X CallCS:%08X EIP:%08X",MSR.hight>>16,MSR.hight&0x0000FFFF,MSR.low));

ReadMsr(0x0C0000082, &MSR);

KdPrint(("RIP:%08X%08X", MSR.hight,MSR.low));

return STATUS_SUCCESS;

}64.asm

.code

ReadMsr proc

; rcx msr地址 rdx 接收的地址

push rdi

push rax

mov rdi,rdx

xor rax,rax

xor rdx,rdx

rdmsr

mov [rdi],eax

mov [rdi+4],edx

pop rax

pop rdi

ret

ReadMsr endp

end

由于在64位我的DbgView看不到信息,所以我在Windbg调试

可以知道:

SYSRET CS_Selector=0x23

读者可以推断在32位和64位时CS和SS的值分别是什么:

32位CS=CS_Selector|3=0x23

SS=(cs_Selector+8)|3=0x2B

64位CS=(CS_Selector+16)|3=0x33

SS=(CS_Selector+8)|3=0x2B

我们验证一下:

用x64dbg32位附加一个32位的程序:

用x64Dbg64位附加一个64位的程序

好了正好验证了我们的想法。

其实Windows要从32位进入内核时首先要把CS改为0X33,然后再进入64位,如果我们写了32位的代码,然后去指向64位的代码,其实也是把CS改为0x33.

后面的示例读者可以自己去验证,我已经说到很明白了。

示例程序是两个驱动:都是Win7的。

---15PB

最后于 2018-4-28 15:42

被chpeagle编辑

,原因:

上传的附件:

MSR.zip

(4.82kb,49次下载)

函数调用VS系统调用:底层指令揭秘
欢迎来到《技术探索》,这是一个专注于游戏开发技术的博客。在这里,我们将深入探讨游戏引擎、图形渲染、人工智能、物理模拟等领域的最新技术和最佳实践。无论您是初学者还是经验丰富的开发者,我们都希望为您提供有价值的见解和实用的技巧。
06-07 35
本文对比了普通函数调用与系统调用的指令差异。普通函数调用仅涉及用户态指令,如call/ret实现跳转返回,以及push/popmov处理参数传递。系统调用则需要特权指令(如x86_64的syscall或32位Linux的int 0x80)触发用户态到内核态的切换,并通过寄存器传递系统调用号参数。文末总结了不同调用方式的指令及作用,并推荐使用strace或objdump工具进行观察分析。
Azure虚拟机压力测试
Denny Duan's Technical World / 技术成就梦想改变生活。
01-19 597
查看当前操作系统内核信息uname -aLinux WebServer001 2.6.32-431.29.2.el6.x86_64 #1 SMP Tue Sep 9 21:36:05 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux查看物理CPU个数grep “physical id” /proc/cpuinfo | sort -u | wc -l1查看核心数量grep
syscall实现
06-20
linux c syscall 简单实现
syscall指令_使用 syscall/sysret 指令
weixin_39619478的博客
12-28 726
void sysret(){if (EFER.SCE == 0) /* System Call Extension is disable */do_exception_UD();if (CR0.PE == 0 || CS.attribute.DPL != 0) /* protected mode is disable or CPL != 0 */do_exception_GP(...
Syscall系统调用Linux内核跟踪
weixin_33802505的博客
04-11 204
    在Linux的用户空间,我们经常会调用系统调用,下面我们跟踪一下read系统调用,使用的Linux内核版本为Linux2.6.37。不同的Linux版本其中的实现略有不同。 在一些应用中我们可以看到下面的一些定义: #define real_read(fd, buf, count ) (syscall(SYS_read, (fd), (buf), (count))) ...
Linux系统调用(syscall)原理(转载)
lqw198421的专栏
09-09 1761
转载链接: http://gityuan.com/2016/05/21/syscall/ 引言:分析Android源码的过程中,要想从上至下完全明白一行代码,往往涉及app、framework、native一直到kernel,可能迷失到代码世界,明白了系统调用原理,或许能帮你峰回路转,找到进入kernel函数的入口。本文主要讲解ARM架构相关源码: /bionic/libc/kernel/uapi/asm-arm/asm/unistd.h /bionic/libc/arch-arm
曹春晖:谈一谈 Go Syscall
cmqsbon24073的博客
04-22 988
桔妹导读:syscall 是语言与系统交互的唯一手段,理解 Go 语言中的 syscall,本文可以帮助读者理解 Go 语言怎么与系统打交道,同时了解底层 runtime 在 syscall 优化方面的一些小心思,从而更为深入地...
inter机器码对照表_686
10-11
Intel 686,也被称为 Pentium Pro 或 Pentium II,是Intel公司推出的一种32位微处理器,它在80486(486)的基础上进行了重大改进,引入了许多新的特性指令集。这个686指令代码对照表主要列出了在该处理器架构中...
关于Linux内核级后门的原理简单实战
08-02
然而,从2.1.x内核版本开始,Linux引入了更复杂的内存管理系统调用机制,如`copy_to_user``copy_from_user`等函数,以及使用`sysenter``sysexit`指令优化系统调用性能。这些改变增加了内核级后门的实现难度,...
Windows内核情景分析 第二章 从用户空间发起系统调用的过程(仅供自赏)
For Geek
05-15 980
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一种服务。所以系统调用也称为系统服务。 从程序运行的角度来看:进程是主动的,有活性的,是发出调用请求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
Node.js-Windows系统调用(syscall)表从xp~10rs2
08-10
Windows系统调用(syscall)表从xp ~ 10 rs2
x64-syscall:C ++中的x64 syscall调用程序
05-11
x64系统调用 C ++中的x64 syscall调用程序。 使用示例(来自Windows 10的索引,内部版本1803): ObjectAttributes.Length = sizeof ( OBJECT_ATTRIBUTES ); ClientId.UniqueProcess = HANDLE( 1000 ); // PID // NtOpenProcess Syscall ( 0x26 , & Handle , PROCESS_TERMINATE, &ObjectAttributes, &ClientId ); // NtTerminateProcess Syscall ( 0x2C , Handle ); // NtQuerySystemInformation const auto Status = Syscall< NTSTATUS>( 0x36 , SystemProc
Windows Syscall Shellcode
爱.NET
08-23 592
Windows Syscall Shellcode Piotr Bania 2005-08-04 IntroductionThis article has been written to show that is possible to write shellcode for Windows operating systems that doesn't use standard API call...
syscall()
m0_51551385的博客
06-03 4054
syscall函数
【pwnable.kr】 syscall
子曰小玖的博客
06-10 752
1. Challenge I made a new system call for Linux kernel. It converts lowercase letters to upper case letters. would you like to see the implementation? Download : http://pwnable.kr/bin/syscall.c ...
windows 7 x64 下的 System Call
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-04 5556
很自然地 windows 7 x64 版本会使用 processor 提供的 syscall/sysret 指令来构造一个快速的调用系统服务例程机制。 ntdll!NtCreateDebugObject: 00000000`76d70680 4c8bd1          mov     r10,rcx 00000000`76d70683 b890000000      mov 
syscall函数(调用底层,非windowsAPI)去执行shellcode
bring_coco的博客
08-30 616
首先使用github提供的项目https://github.com/klezVirus/SysWhispers3。ConsoleApplication3.c:(该payload是弹出计算器,还需要后续去改成上线cs)因为syscall特征非常明显,静态特征就很容易被识别到。syscalls_mem.h也是需要编译的,也是默认的。其他三个都是自动生成的,位置放好相应路径即可。因为这个文件要生成,所以不需要做下面的改动。然后我放到360杀毒中,会报毒。应该是检测到了syscall。可以看到成功弹出计算器。
syscall是什么
斯坦福-MIT-Harvard-CMU
11-06 1534
系统调用(Syscall)是操作系统提供给应用程序的编程接口,允许应用程序与操作系统内核进行交互,以访问操作系统提供的服务资源。系统调用是操作系统内核的一部分,通过系统调用,应用程序可以执行一些特权操作,例如文件访问、进程管理、网络通信等。在RISC-V体系结构中,系统调用通常以ecall指令的形式出现,作为从用户态进入内核态的一种方式。ecall指令用于触发异常,操作系统内核会在异常处理程序中执行相应的系统调用服务。
尚硅谷2020最新版宋红康JVM教程-中篇-第2章Class文件结构-1-概述
admin741admin的博客
09-28 427
引言 Java字节码对于虚拟机,就好像汇编语言对于计算机,属于基本执行指令。 Java虚拟机的指令由一个字节长度的、代表着某种特定操作含义的数字(称为操作码,Opcode)以及跟随其后的零至多个代表此操作所需参数(称为操作数,Operands)而构成。由于Java虚拟机采用面向操作数栈而不是寄存器的结构,所以大多数的指令都不包含操作数,只有一个操作码。 由于限制了Java虚拟机操作码的长度为一个字节(即0~255),这意味着指令集的操作码总数不可能超过256条。 官方文档:https://docs.ora
configMAX_SYSCALL_INTERRUPT_PRIORITY BASEPRI
最新发布
02-14
### configMAX_SYSCALL_INTERRUPT_PRIORITY BASEPRI 的含义 `configMAX_SYSCALL_INTERRUPT_PRIORITY` 是 FreeRTOS 配置参数之一,用于指定允许调用 FreeRTOS API 函数的最大中断优先级[^1]。这意味着任何具有等于或低于此值的中断都可以安全地中调用特定的 FreeRTOS API 函数(即那些带有 `FromISR` 后缀的函数)。对于 ARM Cortex-M 系列处理器而言,较低的数值代表更高的优先级。 #### BASEPRI 寄存器的作用 `BASEPRI` 是 ARM Cortex-M 处理器的一个特殊寄存器,用来屏蔽掉优先级低于其设定值的所有可屏蔽中断请求。当 `BASE PRIORITIES` 被设置为某个值时,所有优先级小于该值的中断都将被阻止进入处理状态;而高于或等于这个级别的中断仍然能够触发并被执行[^3]。 ### 使用场景及配置方法 为了确保系统的稳定性安全性,在使用 FreeRTOS 时应当合理规划各个外设以及内核自身的中断优先级: - **定义最大系统调用中断优先级** ```c #define configLIBRARY_MAX_SYSCALL_INTERRUPT_PRIORITY 5 #define configMAX_SYSCALL_INTERRUPT_PRIORITY \ (configLIBRARY_MAX_SYSCALL_INTERRUPT_PRIORITY << (8 - configPRIO_BITS)) ``` 这段代码片段展示了如何通过位移操作来计算实际使用的优先级值,其中 `configPRIO_BITS` 表示硬件支持的有效优先级位数。 - **调整 BASEPRI 来保护临界区** 在执行关键任务期间,可以通过修改 `BASEPRI` 来临时提高当前线程的安全等级,防止低优先级中断打断正在进行的操作。例如,在进入一段不允许被打断的代码之前,可以将 `BASEPRI` 设置成大于或等于 `configMAX_SYSCALL_INTERRUPT_PRIORITY` 的值,从而只让更紧急的任务得以响应。 ```c void enter_critical_section(void){ __set_BASEPRI(configMAX_SYSCALL_INTERRUPT_PRIORITY); } void exit_critical_section(void){ __set_BASEPRI(0); /* 清除 BASEPRI */ } ``` 需要注意的是,不同型号的微控制器可能会有不同的实现细节,因此建议查阅具体的设备手册以获取最准确的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值