抗艾龚伦强讲windows系统调用

最新推荐文章于 2024-10-07 13:59:56 发布
最新推荐文章于 2024-10-07 13:59:56 发布
阅读量411 收藏 5
点赞数 16
分类专栏: 龚伦强的C++学习笔记 文章标签: windows
湖北抗艾程序员龚伦强
本文链接:https://blog.csdn.net/2401_83595951/article/details/138546729
版权

3.1.系统调用

OpenProcess和ReadProcessMemory从3环进0环的过程

kernel32.OpenProcess KernelBase.OpenProcess Ntdll.NtOpenProcess 7FFE0300(获取KiFastCallEntry) sysenter

ZwOpenProcess

edx,esp

KiFastSystemCall

main.cpp

kd> dt _KPCR

dt _KPCR 每个cpu逻辑核的状态

5.KUSER_SHARED_DATA

6.KUSER_SHARED_DATA FFDF0000

304位置是 SystemCallReturn

7.ntdll.dll --> ZwOpenProcess

ServiceTable:指向函数地址表,KeServiceDescriptorTable+服务号*4 = 函数地址 Count:系统服务表被调用的次数

ServiceLimit:函数数量

ArgmentTable:函数参数表,每个参数4个字节.获取字节数后处以4,得到函数参数个数

kd> .thread

kd> dd 0x83fbcb00 83fbcb00 83ed052c 00000000 00000191 83ed0b74 83fbcb10 00000000 00000000 00000000 00000000

3.3.系统调用返回R3

在Ring0 代码执行完毕,调用SYSEXIT 指令退回Ring3 时,CPU 会做出如下操作

3.4.SSDThook

tools.h

tools.c

}

KdPrint(("找到函数%s addr %p\r\n", funcName, funcAddr));

}

{

#include #include "tools.h"

「已注销」
关注
专栏目录
Windows系统调用的流程
潘爱民的专栏
09-24 2万+
在《Windows内核原理与实现》一书,我曾经详细地解析了Windows应用程序发出的系统调用,经过ntdll.dll中的stub函数,再通过sysenter/syscall或int 2eh指令,调用到内核的完整过程。本文修改一个错误,并稍作进一步解释。
添加一个新的系统调用;编写一个使用新增系统调用功能的应用程序。
killer655的博客
04-12 3635
添加一个新的系统调用;编写一个使用新增系统调用功能的应用程序。
windows系统调用
rosykee的专栏
03-01 1836
windows内核情景笔记(-) 系统调用 1.通过中断向量0x2e进行系统调用 从用户空间通过自陷指令进入内核时,CPU自动将下列信息压入系统空间堆栈: 用户空间的堆栈位置,包括堆栈段寄存器SS和堆栈指针ESP的内容; CPU中 标志寄存器 的内容; 用户空间的指令位置,包括代码段寄存器CS和指令指针EIP的内容。 系统空间堆栈的内容保存在“任务状态段”(TSS)的数据结构里。CPU
WINDOWS系统调用
jinghuainfo
07-15 280
Windows 系统调用 Windows 2K 通过 2Eh 中断来实现系统调用的,但是在 XP 后使用 SysEnter 来实现系统调用了,同时 2Eh 中断还是保存着的。不管是 2EH 中断还是 SYSENTER , Windows 对所有的系统调用都会生成下面的 KTRAP_FRAME 堆栈框架...
Windows系统调用机制
dre4merp
05-15 775
记录一下自己学习Windows系统调用机制的过程。 当调用一个Windows API时,系统会由用户态切入到内核态,从ring3进入到ring0层。下面结合一个例子来学习一下具体过程。 这是一个Demo程序,只调用了CreateFile,我们用OllyDbg看一下,它的具体流程是怎样的。 #include "pch.h" #include <iostream> #include <algorithm> #include <Windows.h&gt...
windows系统调用 进程快照
weixin_34197488的博客
05-16 437
1 #include "windows.h" 2 #include "tlhelp32.h" 3 #include "iostream" 4 using namespace std; 5 6 #pragma comment(lib,"kernel32.lib") 7 8 DWORD GetKernelModePercentage(const FILETIME&...
Python调用windows系统自带触控键盘TabTip.exe
hex450652229的博客
07-26 3782
Pyqt/PySide实现点击输入框自动弹出触控键盘
android 调用系统自带录音机
10-10
在Android平台上,调用系统自带的录音机是开发者经常遇到的需求,这可以帮助用户方便地录制音频并集成到应用中。本文将深入探讨如何在Android应用中实现这一功能,并结合"AutoRecoder"这个示例来解相关知识点。 ...
C#调用Windows自身的API开发摄像头拍照和摄像功能
12-03
总之,C#调用Windows API进行摄像头操作虽然涉及较多底层细节,但通过合理的封装和抽象,可以使代码保持清晰和易于维护。在实际项目中,还可以考虑使用第三方库如AForge.NET或Emgu CV,它们提供了更高级别的接口,...
Linux4.18.9添加系统调用传递参数示例
刹那清枫
10-18 4919
Linux4.18.9添加系统调用传递参数示例 做过系统调用的朋友们应该都注意到了,在Linux4.15之后的版本因为KPTI(内核页表隔离)的出现,添加自己的系统调用传递参数时并不能像以前版本一样处理,这里我介绍下自己的解决方案(完整步骤)。 1.下载最新源码 在https://www.kernel.org/上下载最新内核源码 本文编辑时最新稳定版本为4.18.9,下载后拷贝到/usr/src目...
系统调用那些事儿
该用户还没想到好的昵称的博客
04-26 1578
系统调用总结:WIN32 API对系统调用进行了一个封装;系统调用的过程及分类。
Windows(IA-32e模式)系统调用
m0_43422086的博客
11-16 1874
一、本文主题 Windows NT是一个面向分层的操作系统,最底层是硬件,最高层使用户接口,Windows采用这种模式来保护内核不被应用程序错误的波及,操作系统核心运行在内核层(Ring 0 ),用户模式运行在应用层(Ring 3)。这只是操作系统分层的抽象概念。而本文旨在讨论Windows操作系统在IA-32e模式下从Ring3进入Ring0的部分具体实现过程,也会对比IA-32模式下的部分差异。本文IA-32e测试系统Windows 10 2004。 二、系统调用 ...
win10系统调用架构分析
weixin_33904756的博客
08-02 1024
1.  操作系统模型 大多数操作系统中,都会把应用程序和内核代码分离执行在不同的模式下。内核模式訪问系统数据和硬件,应用程序执行在没有特权的模式下(用户模式),仅仅能使用有限的API,且不能直接訪问硬件。当用户模式调用系统服务时。CPU执行一个特殊的指令以切换到内核模式(Ring0),当系统服务调用完毕时。操作系统切换回用户模式(Ring3)。 Windows与大多数UNIX系统类...
【Java】Java 8 Stream API
鹏啊鹏
09-30 891
Stream 是对数据源(如集合、数组等)元素的序列化抽象,支持许多操作,如过滤、排序、映射等。sorted 方法对流中的元素进行自然排序,或者你可以传递一个自定义的比较器(Comparator)。(中间操作):一系列可以连接起来的操作,比如 filter、map、flatMap 等,这些操作不会执行任何处理,而是生成一个新的流。(终端操作):会触发之前所有的中间操作,并且产生结果,如 collect、forEach、reduce 等。(流):是一个来自某种数据源的元素队列,它支持连续的管道式操作。
【数据结构】【单链表算法】链表基本算法
Indigo____的博客
10-04 388
【代码】【数据结构】【单链表算法】链表基本算法。
数据结构--List的介绍
最新发布
2301_80176093的博客
10-07 555
在集合框架中,
Linux内核添加自定义系统调用:进程资源检测
"添加系统调用至Linux内核的实践教程" 在Linux操作系统中,系统调用是用户空间程序与内核交互的主要接口。本教程详细介绍了如何为Linux内核添加一个新的系统调用,以实现对进程资源使用状况的检测。这是一项针对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值