xp下用sysenter指令代替了int 2eh来进入ring0,似乎所有的sysenter都是通过KiFastSystemCall来调用的
KiFastSystemCall()
{
sysenter
}
这样是不是可以通过Hook KiFastSystemCall来了解哪些是需要调用内核的API了
xp下用sysenter指令代替了int 2eh来进入ring0,似乎所有的sysenter都是通过KiFastSystemCall来调用的
KiFastSystemCall()
{
sysenter
}
这样是不是可以通过Hook KiFastSystemCall来了解哪些是需要调用内核的API了