Windows XP/2003 系统调用(一)

最新推荐文章于 2021-11-16 23:02:49 发布
VIP文章 最新推荐文章于 2021-11-16 23:02:49 发布
阅读量2.9k 收藏
点赞数
分类专栏: 内核、驱动 文章标签: windows descriptor c integer 数据结构 interface
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/better0332/article/details/4269554
版权

    今天在这里主要想了解一下Windows如何从ring3下的Win32 API转到ring0下的Kernel Routine。

以NtReadFile为例:

kd> u ntdll!NtReadFile (Win 2003 SP1)
ntdll!ZwReadFile:
7c821b78 b8bf000000      mov     eax,0BFh;(系统调用号)
7c821b7d ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
7c821b82 ff12            call    dword ptr [edx]

 

可以看到NtReadFile被WinDBG自动转成了ZwReadFile,其实这两个函数都在ntdll中导出,实际指向的是同一个地址(7c821b78)。在kernel模式下对应的Routine也叫NtReadFile

kd> u nt!NtReadFile
nt!NtReadFile [e:/windowsresearchkernel-wrk/wrk-v1.2/base/ntos/io/iomgr/read.c @ 90]:
808e8552 6a58            push    58h
808e8554 68b8318080      push    offset nt!GUID_DOCK_INTERFACE+0x34c (808031b8)
808e8559 e852c9f8ff      call    nt!__SEH_prolog (80874eb0)
808e855e 33f6            xor     esi,esi
808e8560 8975e0          mov     dword ptr [ebp-20h],esi
808e8563 8975d0          mov     dword ptr [ebp-30h],esi
…………

 

但是kernel中也有一个叫ZwReadFile的函数
kd> u nt!ZwReadFile
nt!ZwReadFile [E:/WindowsResearchKernel-WRK/WRK-v1.2/base/ntos/ke/i386/sysstubs.asm @ 1644]:
8082cbd4 b8bf000000      mov     eax,0BFh;(系统调用号)
8082cbd9 8d542404        lea     edx,[esp+4]
8082cbdd 9c              pushfd
8082cbde 6a08            push    8
8082cbe0 e8a55b0500      call    nt!_KiSystemService (8088278a)
8082cbe5 c22400          ret     24h

这个函数其实是个stub,不做真正的事情,最终仍然要调用NtReadFile,所以内核中的NtReadFile才是真正干活的有用的函数!!

回到ntdll下的NtReadFile(ZwReadFile),0BFh是win 2003下的系统调用号(系统调用号其实就是一个索引,后面会讲到)。SharedUserData 是操作系统为每个进程提供的个共享数据结构,里面存放有很多重要的系统信息,如TickCount、系统时间、SystemRoot等……
其在DDK定义为:
#define KI

最低0.47元/天 解锁文章
better0332
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
系统调用那些事儿
该用户还没想到好的昵称的博客
04-26 1473
系统调用总结:WIN32 API对系统调用进行了一个封装;系统调用的过程及分类。
操作系统——系统调用
漫长IT路
08-09 6665
系统调用 1)概念:   在计算机中,系统调用(英语:system call),又称为系统呼叫,指运行在使用者空间的程序向操作系统内核请求需要更高权限运行的服务。系统调用提供了用户程序与操作系统之间的接口(即系统调用是用户程序和内核交互的接口)。   操作系统中的状态分为管态(核心态)和目态(用户态)。大多数系统交互式操作需求在内核态执行。如设备IO操作或者进程间通信。特权指令:一类只能在核心态下运行而不能在用户态下运行的特殊指令。不同的操作系统特权指令会有所差异,但是一般来说主要是和硬件相关的一些指令。用
Windows(IA-32e模式)系统调用
m0_43422086的博客
11-16 1803
一、本文主题 Windows NT是一个面向分层的操作系统,最底层是硬件,最高层使用户接口,Windows采用这种模式来保护内核不被应用程序错误的波及,操作系统核心运行在内核层(Ring 0 ),用户模式运行在应用层(Ring 3)。这只是操作系统分层的抽象概念。而本文旨在讨论Windows操作系统在IA-32e模式下从Ring3进入Ring0的部分具体实现过程,也会对比IA-32模式下的部分差异。本文IA-32e测试系统Windows 10 2004。 二、系统调用 ...
_KUSER_SHARED_DATA
qq_41490873的博客
07-14 434
kd> dt _KUSER_SHARED_DATA +0x000 TickCountLow : Uint4B +0x004 TickCountMultiplier : Uint4B +0x008 InterruptTime : _KSYSTEM_TIME +0x014 SystemTime : _KSYSTEM_TIME +0x020 TimeZoneBias : _KSYSTEM_TIME +0x02c ImageNumberLow : Uint2B +0x02
WINDOWS系统调用
misterliwei的专栏
07-15 9625
Windows系统调用 Windows 2K通过2Eh中断来实现系统调用的,但是在XP后使用SysEnter来实现系统调用了,同时2Eh中断还是保存着的。不管是2EH中断还是SYSENTER,Windows对所有的系统调用都会生成下面的KTRAP_FRAME堆栈框
WINDOWS xp以上 系统 易失性数据快速提取工具
最新发布
10-07
当前目录下以目标系统的当前时间建立目录,提取内容分文件存放于目录中, 最后对所有生成的TXT文件打包压缩,并生成校验码。 1.时区日期时间 2.系统信息 3.工作站信息 4.所有用户 5.用户名Administrator详情 6...
windows xp,vista,win7启动修复;自动修复XP/VISTA/WIN7系统引导
01-18
适用所有NT5.x(2000/XP/2003)和NT6.x(Vista/2008/Win7/2008r2) 2.修复其他因BCD相关引起的故障 a. Win7/2008r2中 BCD 的修复计算机(Windows Recovery Environment)菜单丢失 b. Win7/2008r2中 BCD 引起的3D...
windows系统修复/系统增强工具DirectX Repair Tool.zip
05-12
问题1:XP系统上运行软件时出现0xc0000135的错误,怎么回事? 答:Windows XP SP3系统用户需先安装Microsoft .NET Framework 2.0或更高版本才可运行本程序,详情请见“致Windows XP用户.txt”文件。 问题2:我下载...
Windows XP 中文女声语音库
03-29
Windows XP 中文女声语音库 除了语音库的安装程序外,还提供C#.Net的语音库调用程序
Windows系统调用Windows系统调用表(NT2000XP2003Vista200872012810)
02-19
Windows系统调用表 该存储库包含从Windows NT开始从所有现代和最旧版本的Windows收集的系统调用表。 分析了32位和64位版本,并从核心内核映像( ntoskrnl.exe )和图形子系统( win32k.sys )中提取了表。 格式 数据以CSV和JSON格式格式化,供程序使用,并作为HTML表格进行手动检查。 HTML文件也托管在我的博客中的以下链接下: ntoskrnl.exe ,x86: : ntoskrnl.exe ,x64: : win32k.sys ,x86: : win32k.sys win32k.sys ,x64: : win32k.sys 操作系统 表中包括以下主要Windows版本: 系统 x86版本 x64版本 Windows NT SP3终端服务器,SP3,SP4,SP5,SP6 – Windows 2000 SP0
Windows 系统调用
11-12
Windows 系统调用表 我见过的最好最全的
windows_系统调用函数表
02-26
windows_系统调用函数表明细NTSTATUS WINAPI NtAcceptConnectPort(PHANDLE,ULONG,PLPC_MESSAGE,BOOLEAN,PLPC_SECTION_WRITE,PLPC_SECTION_READ)
wrk新增系统调用并统计调用次数
04-24
wrk新增一个系统调用,并记录器调用次数。
232个windows 系统调用函数表
12-07
232个windows 系统调用函数表 NTSTATUS WINAPI NtAcceptConnectPort(PHANDLE,ULONG,PLPC_MESSAGE,BOOLEAN,PLPC_SECTION_WRITE,PLPC_SECTION_READ); NTSTATUS WINAPI NtAccessCheck(PSECURITY_DESCRIPTOR,HANDLE,ACCESS_MASK,PGENERIC_MAPPING,PPRIVILEGE_SET,PULONG,PULONG,NTSTATUS*);
Windows XP/2003 系统调用(二)
井底之蛙
06-19 2052
    上文说到sysenter后进入内核空间后的函数是_KiFastCallEntry,在/WRK-v1.2/base/ntos/ke/i386/trap.asm中,里头有好多定义常量、宏、结构,真是麻烦!先帖几个结构上来:typedef struct _KTRAP_FRAME {////  Following 4 values are only used and defined for
Windows系统调用的流程
潘爱民的专栏
09-24 2万+
在《Windows内核原理与实现》一书,我曾经详细地解析了Windows应用程序发出的系统调用,经过ntdll.dll中的stub函数,再通过sysenter/syscall或int 2eh指令,调用到内核的完整过程。本文修改一个错误,并稍作进一步解释。
linux 系统调用号表
热门推荐
jmp esp
08-15 2万+
位置位于 /usr/include/asm/unistd.h 由于我是64位系统,所以有一些额外的东西。我的这个文件为下文#ifndef _ASM_X86_UNISTD_H #define _ASM_X86_UNISTD_H/* x32 syscall flag bit */ #define __X32_SYSCALL_BIT 0x40000000# ifdef __i386__ # in
WINDOWS系统调用 和 SYSENTER系统服务调用过程
weixin_34186128的博客
11-06 219
Windows 2K通过2Eh中断来实现系统调用的,但是在XP后使用SysEnter来实现系统调用了,同时2Eh中断还是保存着的。不管是2EH中断还是SYSENTER,Windows对所有的系统调用都会生成下面的KTRAP_FRAME堆栈框架。 KTRAP_FRAME框架结构图 用户态下使用2EH中断时,CPU会自动产生0x78和0x74 以保存用户态下...
熟悉实验环境,掌握Windows 2000/XP中相关API的使用方法;用c++编写一个程序,通过使用系统调用将一个文件中的数据复制到另一个文件中;熟悉Win32 API中与文件操作相关的系统调用CreatFile、ReadFile、WriteFile。
05-31
实验5主要是让学生熟悉Windows 2000/XP中的文件管理API,并通过编写一个程序来实现文件的复制操作。下面是一些相关的信息: 1. 创建文件:使用CreateFile函数创建文件,它的原型如下: HANDLE CreateFile( LPCSTR...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值