聚合Vip网络社区 集合 HK共享吧 合购VIP等精品教程

 找回密码
 立即注册

QQ登录

只需一步,快速开始

关闭
聚合Vip社区
欢迎QQ或来电咨询
工作时间:周一至周五
AM9:00-PM22:00
淘宝店铺 淘宝皇冠店铺
论坛邀请码
查看: 396|回复: 396

[病毒分析区] 学习用户与内核模式笔记

  [复制链接]

1万

主题

14

听众

2万

积分

管理员

Rank: 9Rank: 9Rank: 9

  • TA的每日心情
    郁闷
    2014-12-12 09:43
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2015-5-7 17:38:14 |显示全部楼层

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    立即注册 已有账号?点击登录 或者 用QQ帐号登录

    x
    小菜成长记:

    内核与用户模式:

    两者之间在可以等效的达到一个功能,区别只在于权限;


    用户模式:对每个进程都分配有指定的内存、安全权限、以及资源(就算执行了无效指令也不会出现系统崩溃,而是终止该线程收回赋予他的相关资源)且不能直接访问硬件,只能被限制在CPU上所有的寄存器和可用程序的一个子集

    如果用户模式想访问硬件,则必须先转换为内核模式,在访问硬件,而跳转硬件就必须依赖WindowAPI


    用户模式转换为内核模式:

    一般会通过SYSEBTER、SYSCALL、INT 0x2E 几个调用进入内核(通过指令查找表来定位一个预定义函数)


    内核模式:

    安全性比较低,而且运行在整个内核中的所有进程只有一个是活跃的,所以如果活跃中的进程有无效代码被执行,就将会出现蓝屏
    而且运行在内核上的程序可以访问、监控在系统上的所有程序(杀毒软件、防火墙),也就是获得最高权限


    内核代码:

    比一般的用户模式执行的代码难开发:
    1.内核代码调试时容易出现无效代码,使系统崩溃;
    2.很多windows常用的函数在在内核中无法使用;
    3.开发内核代码的编译和调试的工具少



    原生API:
    原生API是用于和Windows 进行交互的底层API

    一个函数从调用到执行流程:
    User Application ==》Kernel32.dll==》Ntdll.dll==》||Ntosknl.exe==》Kernel Data Structure
                用户层                                            内核层

    Ntdll.dll正是用户层和内核层之间的桥梁,用户层必须通过ntdll.dll才能调用内核层的相关函数

    原生API的功能相对一般的API比较开放,可以允许达到一般的API无法达到的功能所以原生API很直接

    如果一般的杀毒软件只是设置对Kernel32.dll等单个调用进行监测的话,也能很有效的躲过杀毒软件监测

    除了Ntdll.dll原生API,经常还调用到NtContinue,这是被用于从一个异常处理返回的函数,这个函数里面装有返回上一个被中断的现场出的地址,这个地址可以编辑。恶意代码可以触发异常然后在调用NtContinue函数改变返回值,使其返回目标执行地址。
    回复

    使用道具 举报

    11

    主题

    0

    听众

    500

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 17:38:17 |显示全部楼层
    支持,赞一个
    回复

    使用道具 举报

    15

    主题

    0

    听众

    725

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 17:38:17 |显示全部楼层
    沙发怎么能少了我?!
    回复

    使用道具 举报

    12

    主题

    0

    听众

    434

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 17:48:41 |显示全部楼层
    为保住菊花,这个一定得回复!
    回复

    使用道具 举报

    9

    主题

    0

    听众

    791

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 17:49:55 |显示全部楼层
    前排支持下了哦~
    回复

    使用道具 举报

    18

    主题

    0

    听众

    531

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 18:14:07 |显示全部楼层
    小白一个 顶一下
    回复

    使用道具 举报

    23

    主题

    0

    听众

    634

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 18:53:06 |显示全部楼层
    这么强,支持楼主,佩服
    回复

    使用道具 举报

    13

    主题

    0

    听众

    444

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 18:58:53 |显示全部楼层
    我也来顶一下..
    回复

    使用道具 举报

    18

    主题

    0

    听众

    450

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 19:01:47 |显示全部楼层
    支持,楼下的跟上哈~
    回复

    使用道具 举报

    14

    主题

    0

    听众

    461

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 19:06:35 |显示全部楼层
    介是神马?!!
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    回帖奖励

    [详情]

  • * 每天自己主题被回复3次可获得额外2金钱奖励。
  • * 每天回复他人主题5次可获得额外3贡献的奖励。
  • * 奖励每天都可领取,一定要多参与论坛讨论哦。
  • * 同一主题的重复回复不计。
  • 手机版|Archiver|聚合Vip网络社区 ( 鲁ICP备14030129号-2 )Discuz超级管家   

    GMT+8, 2018-5-26 23:54 , Processed in 0.275140 second(s), 62 queries .

    Powered by Discuz! X2.5

    © 2001-2012 Comsenz Inc. Template by A3cn

    回顶部