Windows中系统调用的流程

最新推荐文章于 2024-05-08 21:15:01 发布
最新推荐文章于 2024-05-08 21:15:01 发布
阅读量2.4w 收藏 56
点赞数 3
文章标签: windows c 2010
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panaimin/article/details/5903432
版权

Windows中系统调用的流程

潘爱民,2010.9.24

在《Windows内核原理与实现》一书,我曾经详细地解析了Windows应用程序发出的系统调用,经过ntdll.dll中的stub函数,再通过sysenter/syscallint 2eh指令,调用到内核的完整过程。图8.5中有一个错误(感谢读者liucy指出这一错误),正确的图应该如下所示。

图中红色文字是改正之后的函数名称。这里实际上把通过sysenterint 2eh两种情形的系统调用流程画在一起,所以显得较为复杂。如果拆开来,画成两个图,可能会更加容易理解。下面是按照sysenter/sysexit指令的系统调用流程:

control flow with sysenter/sysexit

而按照int 2eh来进入内核的流程更加简单一些:

control with int 2e/iretd

无论是哪一种情形,对于ntdll.dll中的NtCreateFilentoskrnl.exe中的NtCreateFile函数,它们无 须关心系统调用是怎样发生的。

关于这两种情形下系统调用的详细穿透过程,请参考这本书的8.1.2节,这里不再进一步介绍。最后看一个系统调用栈:

f5484c94 808e3375 nt!IopCreateFile
f5484cf0 808e50ec nt!IoCreateFile
f5484d30 80882a2c nt!NtCreateFile
007deed8 7c8211f4 ntdll!KiFastSystemCallRet
007deedc 76cf2707 ntdll!ZwCreateFile+0xc
007def54 76cf276b iphlpapi!OpenTCPDriver+0xad
007def64 76cf278f iphlpapi!CheckTcpipState+0x62
007def98 76cf299a iphlpapi!GetIpStatsFromStack+0xd
007df00c 76cf32de iphlpapi!GetInterfaceInfo+0x38
007df028 76cf3230 iphlpapi!GetAdapterNameToIndexInfo+0x1e
007df060 76cf6a6b iphlpapi!GetAdapterInfo+0x18
007df0b4 4e7fdf36 iphlpapi!GetAdapterInfoEx+0x1c
007df504 4e7fe2f9 WINHTTP!CIpConfig::GetAdapterListOnNT5+0x6e
007dfac4 4e7fe938 WINHTTP!CIpConfig::GetAdapterList+0x58
...

注意,这里ntdll!ZwCreateFile的符号地址等同于ntdll!NtCreateFile。

panaimin
关注
  • 3
    点赞
  • 56
    收藏
    觉得还不错? 一键收藏
  • 35
    评论
使用c++调用windows打印api进行打印的示例代码
12-17
在客户的使用过程,遇到一个问题,如果机器安装了打印机驱动,那么调用厂商提供的 sdk 进行打印的话,会导致出现小票只打印一半的情况,对此,需要绕过厂商 sdk 使用系统的打印才能够解决这一问题。 在 web 端...
系统调用流程---Windows
junda753a的专栏
09-26 348
<br />在《Windows内核原理与实现》一书,我曾经详细地解析了Windows应用程序发出的系统调用,经过ntdll.dll的stub函数,再通过sysenter/syscall或int 2eh指令,调用到内核的完整过程。图8.5有一个错误(感谢读者liucy指出这一错误),正确的图应该如下所示。<br /> <br />图红色文字是改正之后的函数名称。这里实际上把通过sysenter或int 2eh两种情形的系统调用流程画在一起,所以显得较为复杂。如果拆开来,画成两个图,可能会更加容易理解。下
windows系统调用
rosykee的专栏
03-01 1811
windows内核情景笔记(-) 系统调用 1.通过断向量0x2e进行系统调用 从用户空间通过自陷指令进入内核时,CPU自动将下列信息压入系统空间堆栈: 用户空间的堆栈位置,包括堆栈段寄存器SS和堆栈指针ESP的内容; CPU 标志寄存器 的内容; 用户空间的指令位置,包括代码段寄存器CS和指令指针EIP的内容。 系统空间堆栈的内容保存在“任务状态段”(TSS)的数据结构里。CPU
windows系统调用 进程终止
weixin_34357436的博客
05-17 169
1 #include "windows.h" 2 #include "iostream" 3 #include "stdio.h" 4 using namespace std; 5 6 static LPCTSTR q_szMutexName="w2kdg.ProcTerm.mutex.Suicide"; 7 8 HANDLE StartClone(){ ...
WINDOWS系统调用
jinghuainfo
07-15 245
Windows 系统调用 Windows 2K 通过 2Eh 断来实现系统调用的,但是在 XP 后使用 SysEnter 来实现系统调用了,同时 2Eh 断还是保存着的。不管是 2EH 断还是 SYSENTER , Windows 对所有的系统调用都会生成下面的 KTRAP_FRAME 堆栈框架...
Windows系统调用机制
dre4merp
05-15 729
记录一下自己学习Windows系统调用机制的过程。 当调用一个Windows API时,系统会由用户态切入到内核态,从ring3进入到ring0层。下面结合一个例子来学习一下具体过程。 这是一个Demo程序,只调用了CreateFile,我们用OllyDbg看一下,它的具体流程是怎样的。 #include "pch.h" #include <iostream> #include <algorithm> #include <Windows.h&gt...
深入解析Windows操作系统文.part2.rar
05-22
Windows系统之父Jim Allchin亲自撰文推荐! ■ Windows NT首席设计师David N. Cutler亲自撰文推荐! ■ 深入解析Windows操作系统!彻底揭开Windows技术内幕! ■ Csdn、博客堂、博客园、《程序员》杂志鼎力推荐!...
Detours:Detours是一个软件包,用于监视和检测Windows上的API调用。 它以源代码形式分发-windows source code
03-25
Detours与Windows NT操作系统家族兼容:Windows NT,Windows XP,Windows Server 2003,Windows 7,Windows 8和Windows10。WindowsStore应用程序无法使用它,因为Detours需要这些应用程序不可用的API。 此存储库...
深入解析Windows操作系统 文版 第四版 part 4
06-02
深入解析Windows操作系统 4/5 第1章 概念和工具 1.1 Windows操作系统的版本 1.2 基础概念和术语 1.3 挖掘Windows内部机理 1.4 本章总结 第2章 系统结构 2.1 需求和设计目标 2.2 操作系统模型 2.3 总体结构 2.4 关键...
《深入解析Windows操作系统文版 第四版 part1
06-02
《深入解析Windows操作系统文版 第四版 1/5 第1章 概念和工具 1.1 Windows操作系统的版本 1.2 基础概念和术语 1.3 挖掘Windows内部机理 1.4 本章总结 第2章 系统结构 2.1 需求和设计目标 2.2 操作系统模型 2.3 ...
windows系统调用 进程快照
weixin_34197488的博客
05-16 421
1 #include "windows.h" 2 #include "tlhelp32.h" 3 #include "iostream" 4 using namespace std; 5 6 #pragma comment(lib,"kernel32.lib") 7 8 DWORD GetKernelModePercentage(const FILETIME&...
windows系统调用自动任务
一只胡萝卜
07-31 886
最近做的一个项目,涉及到自动任务,在网上百度了bat文件,尝试之后,发现直接把系统整崩溃了,不敢轻易尝试网上的代码,毕竟这种自动任务相当于自己攻击自己的网站,所以进行各种尝试之前一定要备份服务器的文件和数据库。。 现在终于找到一款可以使用的自动任务,这里记录一下。 我这里使用的UrlCron3.0 1.首先需要在cron.ini 里面填写需要自动调用的url,格式按照他给的示例来写就可以...
系统调用那些事儿
该用户还没想到好的昵称的博客
04-26 1461
系统调用总结:WIN32 API对系统调用进行了一个封装;系统调用的过程及分类。
Windows XP/2003 系统调用(一)
井底之蛙
06-15 2933
    今天在这里主要想了解一下Windows如何从ring3下的Win32 API转到ring0下的Kernel Routine。以NtReadFile为例:kd> u ntdll!NtReadFile (Win 2003 SP1)ntdll!ZwReadFile:7c821b78 b8bf000000      mov     eax,0BFh;(系统调用号)7c821b7d ba00
操作系统——系统调用
漫长IT路
08-09 6637
系统调用 1)概念:   在计算机系统调用(英语:system call),又称为系统呼叫,指运行在使用者空间的程序向操作系统内核请求需要更高权限运行的服务。系统调用提供了用户程序与操作系统之间的接口(即系统调用是用户程序和内核交互的接口)。   操作系统的状态分为管态(核心态)和目态(用户态)。大多数系统交互式操作需求在内核态执行。如设备IO操作或者进程间通信。特权指令:一类只能在核心态下运行而不能在用户态下运行的特殊指令。不同的操作系统特权指令会有所差异,但是一般来说主要是和硬件相关的一些指令。用
Windows系统调用的界面
dayenglish的专栏
05-15 1374
#define SVC_(name, argcount) STUB_U name, argcount
【隧道篇 / WAN优化】(7.4) ❀ 01. 启动WAN优化 ❀ FortiGate 防火墙
防火墙技术专栏
05-06 563
几乎所有的人都知道,防火墙自带的硬盘是用来保存日志,以方便在出现问题时能找到原因。但是很少的人知道,防火墙自带的硬盘其实还有另一个功能,那就是用于WAN优化。
27_Scala功能函数
最新发布
m0_52474839的博客
05-08 502
num => {0} else {1API使用groupby,传参传入的是一个函数对象类型传入指定标记,标记没有指定写法。
【C++】详解STL的容器之一:list
2301_79796701的博客
05-05 1284
本篇的内容有:list简单的介绍,形象化的模型,优缺点,源码思路,模拟实现。希望本篇内容能帮助读者更好的认识list
调用windows系统打印流程
05-29
调用Windows系统打印流程,可以按照以下步骤进行: 1. 打开需要打印的文档或文件。 2. 在文件菜单选择“打印”,或按下快捷键Ctrl+P。 3. 在弹出的打印对话框,选择打印机和打印设置,如纸张大小、打印质量等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 35
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值