windows系统调用int 2e处理过程

最新推荐文章于 2022-07-17 15:38:17 发布
最新推荐文章于 2022-07-17 15:38:17 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: 驱动开发 内核 win32 文章标签: windows 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dayenglish/article/details/38339297
版权

在X86体系架构中,中断处理向量由一个中断描述符表保存。中断描述符表的每个描述符项包括一个中断处理函数的地址、一个32位的描述符属性和中断之后中断所在代码的特权级别。下面是一个描述符项的宏定义,每个处理器包含256个这样的宏定义用于组成一个数组变量kidt。在系统初始化时,kidt当中的元素经过一些处理之后会填充到IDT表项当中。其中,当bits被定义为INT_32_DPL0时,表明发生的是异常;而当bits被定义为INT_32_DPL3时,表明发生的是中断。

MACRO(idt, Handler, Bits)
    .long VAL(Handler)
    .short VAL(Bits)
    .short KGDT_R0_CODE
ENDM

在中断处理当中有一个系统调用的中断定义,用于当用户层向系统层发出系统调用请求的时候进行特权切换。这个中断项的定义如下所示:

idt _KiSystemService,  INT_32_DPL3

从上面的宏定义可以看出,中断处理函数是KiSystemService。

EXTERN @KiSystemServiceHandler@8:PROC
PUBLIC _KiSystemService
.PROC _KiSystemService
    FPO 0, 0, 0, 0, 1, FRAME_TRAP
    KiEnterTrap (KI_PUSH_FAKE_ERROR_CODE OR KI_NONVOLATILES_ONLY OR KI_DONT_SAVE_SEGS)
    KiCallHandler @KiSystemServiceHandler@8
.ENDP

中断处理包含两个部分,第一步利用KiEnterTrap宏创建一个中断处理框架。在这个框架中利用堆栈保存必须保存的寄存器。第二步跳转到真正的中断处理函数中进行中断处理,这里真正的中断处理函数是KiSystemServiceHandler。

MACRO(KiEnterTrap, Flags)
    LOCAL kernel_trap
    LOCAL not_v86_trap
    LOCAL set_sane_segs

    /* Check what kind of trap frame this trap requires */
    if (Flags AND KI_FAST_SYSTEM_CALL)

        /* SYSENTER requires us to build a complete ring transition trap frame */
        FrameSize = KTRAP_FRAME_V86_ES

        /* Fixup fs. cx is free to clobber */
        mov cx, KGDT_R0_PCR
        mov fs, cx

        /* Get pointer to the TSS */
        mov ecx, fs:[KPCR_TSS]

        /* Get a stack pointer */
        mov esp, [ecx + KTSS_ESP0]

    elseif (Flags AND KI_SOFTWARE_TRAP)

        /* Software traps need a complete non-ring transition trap frame */
        FrameSize = KTRAP_FRAME_ESP

        /* Software traps need to get their EIP from the caller's frame */
        pop eax

    elseif (Flags AND KI_PUSH_FAKE_ERROR_CODE)

        /* If the trap doesn't have an error code, we'll make space for it */
        FrameSize = KTRAP_FRAME_EIP

    else

        /* The trap already has an error code, so just make space for the rest */
        FrameSize = KTRAP_FRAME_ERROR_CODE

    endif

    /* Make space for this frame */
    sub esp, Fra
最低0.47元/天 解锁文章
轩动day
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
int 2e内核
uuty的专栏
04-05 5281
一直很奇怪为啥ntdll里的 int 2e是咋进入内核的,不是说中断在ring 3下都不能用的吗? 可这样ntdll不也不中了? 回头用个程序一试 int 0x2e 果然没事,没出错,,int 0x20 就会出错,但出错的具体过是cpu的事,用sice也只是显示错在那一条,后来在书上找到了(linux的书 ...)Makes sure the interrupt was issued by an
INT 2E中断 关机VC代码
01-20
可以绕过 用户级钩子 利用int 2e 直接自陷 走SSDT 下内核 不经过NTDLL.DLL
关于Int 2E
土星·北海若
07-14 3204
下面是反汇编ntdll.dll的NtCreateEvent部分 NtCreateEvent调用int 2EExported fn(): NtCreateEvent - Ord:005AhExported fn(): ZwCreateEvent - Ord:02E2h:77F83219 B81E000000         mov eax, 0000001E:77F8321E 8D5424
int2e解释
Sunny_wwc的专栏
10-12 878
图片说明了一切
VC中利用INT 0X2E中断实现关机
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-20 1606
VC中利用INT 0X2E中断实现关机 #include"windows.h" extern "C" __declspec(dllexport) void ShutdownWindow(void) {  const int SE_SHUTDOWN_PRIVILEGE=0x13;  typedef int (*RtlAdjustPrivilege)(int,bool, bo
内核模式和用户模式的切换
内心的宁静带给我们力量。
01-22 3450
32位x86系统,每个进程的空间是4GB,即地址0x00000000到0xFFFFFFFF。 为了高效调用Windows会把操作系统内核数据和代码映射的系统中所有进程的进程空间中。因此4GB空间被划分为两个区域:用户空间和系统空间,默认大小为各2GB。 为了保护映射到进程空间的系统代码和数据,Windows提供了权限控制机制。也就是两种访问模式:用户模式和内核模式。 处理器在硬件一级保证
动态调用DLL例程.e.rar
04-06
动态链接库(DLL)是Windows操作系统中的一...这个“动态调用DLL例程.e”可能提供了更具体的实现细节,例如如何处理参数、错误处理、异步调用等。解压并研究这个示例项目,可以帮助你深入理解DLL动态调用的概念和实践。
调用系统关于窗口.rar
03-29
在IT领域,调用系统关于窗口是一个常见的操作,特别是在软件开发中。这涉及到与操作系统进行交互,以便显示关于应用程序的信息,如版本号、版权、开发者信息等。在本篇文章中,我们将深入探讨如何在不同编程语言和...
C#调用系统API指定快捷键的方法
09-03
在C#编程中,调用系统API来指定快捷键是一种常见的功能实现方式,尤其是在需要全局快捷键响应的场景下。快捷键能够提供便捷的操作体验,让用户在不使用鼠标的情况下快速执行特定任务。以下是对两种主要方法的详细...
Java调用Windows的DOS命令的方法
09-03
本文将详细介绍如何在Java程序中调用Windows的DOS命令,并以调用`ipconfig`命令为例,展示具体的实现过程。 首先,我们要理解Java中的`Runtime.exec()`方法,这是Java标准库提供用来执行系统命令的关键接口。`...
C#windows系统设置调节如音量(源码)
12-18
在本文中,我们将深入探讨如何使用C#编程语言来实现Windows系统的音量调节功能。C#是一种面向对象的、类型安全的编程语言,它在.NET框架下运行,提供了丰富的库和API来与操作系统进行交互。在Windows系统中,音量...
VC 实现调用系统关机窗口界面
04-23
在VC++编程环境中,实现调用系统关机窗口界面涉及一系列与Windows API交互的过程。Windows API是Microsoft提供的一组函数库,允许开发者访问操作系统的核心功能,包括控制硬件、管理资源和执行系统级任务,如关闭或...
Windows系统下安装Thrift的方法与使用讲解
08-26
Thrift在Windows系统下的安装和使用讲解 Thrift是一个开源的、跨语言的 RPC 框架,由Facebook开发,目前是Apache的顶级项目。Thrift允许用户定义一个IDL(Interface Definition Language),然后生成相应的服务端和...
Java调用系统执行程序(OS Command)
11-13
这个过程通常被称为调用系统执行程序,或称为进程控制。在Java中,我们可以使用`Runtime`类或者`ProcessBuilder`类来实现这个功能。下面将详细解释如何通过Java调用系统执行程序,以标题和描述中的例子作为基础进行...
java调用web2pic实现整站页面截屏(只能windows
07-26
总之,Java调用Web2Pic实现整站页面截屏是一个结合Java系统调用和特定第三方工具的解决方案,对于Windows用户来说是一个简单而有效的方法。然而,对于跨平台的需求,开发者需要寻找其他兼容的工具和策略。
KiFastCallEntry逆向&_KiSystemService 逆向
weixin_45678798的博客
07-17 436
调用NTDLL下的系统服务存根函数时,会指定一个系统服务号,在内核下,会通过_KeServiceDescriptorTable查找到指定的系统服务例程。这个过程就是系统服务分发,系统服务分发主要通过SDT表进行分发,系统可支持多个SDT表,根据传入的系统服务号进行拆分,0-11位是号的索引,12位是表的索引号。..................
系统调用002 KiSystemService函数逆向分析
鬼手的博客
12-22 1747
文章目录前言保存现场_KTRAP_FRAMEKRPCExceptionList_KTHREAD结构体先前模式抬高堆栈判断当前权限更新_KTRAP_FRAME保存三环的寄存器环境判断调试状态 前言 之前我们详细了解了API从三环进到零环的过程,API会通过两种方式进入到零环,如果通过中断门的方式进入零环,最终会进入到KiSystemService这个函数。接下来就来分析KiSystemService...
ring0下使用内核重载绕过杀软hook
hongduilanjun的博客
04-08 1271
内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢? 我们知道从ring3进入ring0需要通过int2e/sysenter(syscall)进入ring0,而进入ring0之后又会通过KiFastCallEntry/KiSystemService去找SSDT表对应响应的内核函数,那么杀软会在这两个地方进行重点盯防。 首先是对int2e/sysenter的盯防,我们知道大多数函数都是通过一系列的调用链,最终找到ntdll.dll里面的函数,找到调用号后通过int
静态分析KiSystemService
dalixux的专栏
10-27 3486
 KiSystemServiceINT 2EH 后调用的 2000所有的native api 都使用INT 2EH, xp下 GDC函数 进入内核调用INT 2EH其他native api 调用KiFastCall.text:00465651 _KiSystemService proc near              ; CODE XREF: ZwAcceptConnectPort(x,x
windowsint 0x80
最新发布
06-04
Windows中,int 0x80是非法的指令。这是因为Windows使用的是x86或x64...在Windows中,系统调用是使用其他指令进行的,比如使用int 0x2e或syscall指令。因此,在Windows中使用int 0x80指令会导致程序崩溃或出现错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值