系统服务调用与异常分发

最新推荐文章于 2023-12-08 20:43:48 发布
最新推荐文章于 2023-12-08 20:43:48 发布
阅读量4.8k 收藏 4
点赞数
分类专栏: 内核研究 文章标签: exception parameters compilation access null struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7580350
版权

系统服务的调用过程

一、CPU的内部支持

1. int 0x2e 进入 iret返回 (中断门切换)

★.利用中断进入内核,0x2e对应的是KiSystemService

★.每个处理器有一个任务环境,初始化时系统会给CPU在GDT中构造TSS段,并且记录在KPCR中,其中记录着内核栈的地址。线程切换的时候会把处理器的TSS.ESP0 设置为当前的内核栈地址
   所以r3和r0使用的是不同的栈

★.iret从内核栈中弹出eip cs eflag esp ss 返回用户态

2. sysenter sysexit

★.IA32_SYSENTER_CS IA32_SYSENTER_ESP IA32_SYSENTER_EIP在系统初始化时被设置,分别保存指定跳转后的 cs、ss; esp ; eip

★.sysenter指令将装载这些寄存器 切换到r0。 继续执行sysexit则负责恢复这些寄存器并且回到r3,ecx是用户态的esp,edx是eip

二、系统的切换实现

NtCreateFile

kd> u ntdll!ntcreatefile
ntdll!ZwCreateFile:
7c9511f8 b827000000      mov     eax,27h     ;系统服务号
7c9511fd ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300) 
7c951202 ff12            call    dword ptr [edx]
7c951204 c22c00          ret     2Ch

支持快速系统调用的话,edx里存的是这个值
kd> u 7c95ed50 ntdll!KiFastSystemCall:
7c95ed50 8bd4            mov     edx,esp
7c95ed52 0f34            sysenter ;走KiFastCallEntry
ntdll!KiFastSystemCallRet:
7c95ed54 c3              ret
不支持的话,调用到这里
ntdll!KiIntSystemCall:
7c95ed60 8d542408        lea     edx,[esp+8]
7c95ed64 cd2e            int     2Eh   ;走KiSystemService
7c95ed66 c3              ret

不管走哪种方式

最低0.47元/天 解锁文章
Shevacoming
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手机App应用内容分发系统存在的问题及对策解决方案
appmao的博客
01-12 494
流媒体分发 在流媒体分发中,通常对flv的支持会更好。原因是flv根据文件偏移量执行快进和快退。 mp4编码会随着时间的推移而快进和快退。一些CDN供应商可能不正确支持mp4,或者可能根本不支持mp4。但是,flv通常可以直接应用。实际上,flv格式是由播放器计算的,这降低了分发服务器的技术要求。这里的困难主要是由作为上述来源的返回模块的复杂性引起的。如果需要进一步处理索引,则程序级别将变得更加复杂。 另外,如果分布式流媒体的容量相对较大,建议主动拆分文件(小于100MB)。这样,您可以对某些配置错误的服务
百度API调用失败解决方案
IRay21的博客
03-19 6426
目录概述领取免费接口资源 概述 由于收到反馈,近几天百度API接口调用失败,报错提示为Open api qps request limit reached或者KeyError:‘result’,解决方法如下。 领取免费接口资源 首先打开百度智能云官网登录。 登录之后选择一项产品查看该API的调用量限制和QPS限制,如图所示QPS显示2为正常可调用状态,双横线则是没有领取免费资源的不可调用状态。 然后点击图上所示领取免费资源即可选择免费接口资源进行领取。注意不用的接口在不同的分组下,例如车牌识别在文字
Windows调试2.异常产生详细流程
weixin_30509393的博客
07-09 491
程序设置了int3断点函数 CPU获取后,根据IDT表中的int3的处理函数 主要工作大概是 填充 _KTRAP_FRAME 结构体, 保存的是异常发生时的寄存器环境, 因为在异常处理完毕之后,需要返回产生异常的地方继续执行 然后把异常给CommonDispatchException //总结如下几个顺序 __asm int 3; ​ -> IDT[3]...
某驱动的内核调试检测学习内核调试引擎加载机制
04-08 1563
标 题: 【原创】某驱动的内核调试检测学习内核调试引擎加载机制 作 者: 毁灭 时 间: 2014-03-29,02:13:41 链 接: http://bbs.pediy.com/showthread.php?t=186091 作者:Tiany QQ:304400230 如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入
Windows11_22H2下的异常机制分析
lkylky123789的博客
12-08 641
Windows11_22H2异常分析
可被系统服务调用的EXE.rar
03-17
2. **VB6与系统服务交互**:VB6本身并不直接支持创建系统服务,但可以通过第三方库或组件,如SCCreateService API函数,来实现创建、控制和管理服务的功能。 3. **权限问题**:VB6程序若要被系统服务调用,必须克服...
服务续约保活、下线和服务调用负载均衡.zip
03-06
在分布式系统中,服务实例可能会因为网络问题、硬件故障等原因突然不可用,如果没有及时发现,其他服务仍然会尝试向这些失效的服务发送请求,导致系统异常。为了解决这个问题,Spring Cloud引入了Eureka服务注册与...
SpringCloud-OpenFeign服务接口调用及代码
06-01
这些方法通常与服务提供者提供的RESTful API对应。 2. 注解声明:在接口方法上添加注解,如`@GetMapping`、`@PostMapping`等,指定HTTP操作类型和URL路径。还可以使用`@RequestHeader`、`@RequestParam`等注解来传递...
中山大学工资信息管理系统.zip
最新发布
03-04
2. **信息管理系统**:信息管理系统(IMS)是用于收集、存储、处理和分发信息的软件平台。在中山大学工资信息管理系统中,它负责整合员工数据,如基本信息、工作职责、薪资结构等,并确保这些信息的安全和有效性。 ...
springmvc实现httpclient调用服务
04-15
在IT行业中,Spring MVC是一个广泛使用的Java Web框架,它提供了...通过合理的配置和编程,我们可以构建稳定、高效的远程服务调用系统。在实际开发中,还应根据具体需求进行定制化设计,确保系统的健壮性和可扩展性。
异常派发研究KiDispatchException
ADADQDQQ的博客
10-14 1038
系统Debug模式下: KdDebuggerEnabled1 KdPitchDebugger0 KiDebugRoutine==KdpTrap 此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死 当系统正常模式下: KdDebuggerEnabled0 KdPitchDebugger1 KiDebugRoutine==KdpStub 此模式下R3触发异常若没有异常处理接管,则程序崩溃 KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1 KdEnteredDebugge
KiDispatchException
FadeTrack
03-09 2356
VOID KiDispatchException ( IN PEXCEPTION_RECORD ExceptionRecord, IN PKEXCEPTION_FRAME ExceptionFrame, IN PKTRAP_FRAME TrapFrame, IN KPROCESSOR_MODE PreviousMode, IN BOOLEAN FirstCha
64位使用windbg获取Shadow SSDT
weixin_30508309的博客
01-14 380
首先选择一个带界面的程序explorer.exe进行附加 kd> !process 0 0 explorer.exe PROCESS ffff86893dd075c0 SessionId: 1 Cid: 0d48 Peb: 00d50000 ParentCid: 0d30 DirBase: 42d9a000 ObjectTable: ffffe28598bb1800 Hand...
Windows异常学习笔记(二)—— 内核异常处理流程&用户异常分发
qq_41988448的博客
01-11 1670
Windows异常学习笔记(一)—— CPU异常记录前言软件模拟异常实验:分析模拟异常第一步:编译并运行以下代码第二步:查看汇编代码第三步:分析 __CxxThrowException第四步:分析 RaiseException 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 软件模拟异常 实验:分析模拟异常 第一步:编译并运行以下代码 ...
系统调用002 KiSystemService函数逆向分析
鬼手的博客
12-22 1745
文章目录前言保存现场_KTRAP_FRAMEKRPCExceptionList_KTHREAD结构体先前模式抬高堆栈判断当前权限更新_KTRAP_FRAME保存三环的寄存器环境判断调试状态 前言 之前我们详细了解了API从三环进到零环的过程,API会通过两种方式进入到零环,如果通过中断门的方式进入零环,最终会进入到KiSystemService这个函数。接下来就来分析KiSystemService...
中断和异常
u012138730的专栏
05-10 3023
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
CPU漏洞补丁修复导致KeServiceDescriptorTable获取变更
weixin_30784501的博客
01-11 616
  一、前言   2018年元旦,出现的cpu的漏洞,可以在windows环三直接读取内核数据,windows对该漏洞提供补丁,补丁增加了一个页表,对应的内核处理也增加了,接下来我们看下补丁修复的表象以及对KeServiceDescriptorTable获取的变更。   可参考https://bbs.kafan.cn/thread-2112833-1-1.html   二、补丁修...
初探windows异常处理
hongduilanjun的博客
05-09 980
windows系统里,为了保证系统内核的强壮和稳定,为了保证用户程序的强壮和稳定,提供了异常处理机制,来帮助程序员和系统使用人员处理异常。如果想要更加深入的掌握操作系统异常处理的知识是必不可少的,不仅如此,软件调试也与异常处理息息相关。 异常执行流程 CPU检测到异常 -> 查中断表执行处理函数 -> CommonDispatchException -> KiDispatchException -> KiUserExceptionDispatcher -> Rtl
操作系统的介绍
05-28
系统调用则是程序的请求操作系统服务的一种方式,用户程序可以通过系统调用接口请求操作系统完成特权操作,例如 I/O 操作等。系统调用通常是通过软中断的方式来实现,软中断是由程序内部发起的,通过中断指令(int...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值