windbg跟踪NtOpenProcess

过程: OpenProcess->NtOpenProcess->KiFastSystemCall->sysenter

kd> u ntdll!NtOpenProcess
ntdll!ZwOpenProcess:
7c92d5fe b87a000000      mov     eax,7Ah
7c92d603 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
7c92d608 ff12            call    dword ptr [edx] //进入SystemCall eax装载的是函数调用号
7c92d60a c21000          ret     10h
7c92d60d 90              nop

嗯,NtOpenProcess调用了SharedUserData!SystemCallStub (7ffe0300)


而SharedUserData是一个数据结构
#define SharedUserData ((KUSER_SHARED_DATA * const) KI_USER_SHARED_DATA)


每个进程用户空间的0x7ffe0000都以只读方式映射到相同的物理页面上,而这个物理页面上就是KUSER_SHARED_DATA结构的数据 [0x7ffe0300]=[KUSER_SHARED_DATA偏移0x300处]=SystemCall=KiFastSystemCall


验证一下
kd> dd 7ffe0300
7ffe0300  7c92e510 7c92e514 00000000 00000000


kd> u 7c92e510
ntdll!KiFastSystemCall:
7c92e510 8bd4            mov     edx,esp // 把栈指针(ESP)放到EDX中,可以传递参数,也作为从内核模式返回时的栈地址。再执行SYSENTER指令。 


7c92e512 0f34            sysenter 




当执行SYSENTER指令时,CPU进入系统态,并且: 


把寄存器SYSENTER_CS_MSR的内容复制到段寄存器CS中。 
把寄存器SYSENTER_EIP_MSR的内容复制到寄存器EIP中。 
把寄存器SYSENTER_CS_MSR的内容+8写入堆栈段寄存器SS中。 
把寄存器SYSENTER_ESP_MSR的内容复制到堆栈指针ESP中。 
这样,只要预先设置好三个MSR寄存器的内容中,CPU在执行SYSENTER后就可以进入系统空间并从预定的地址执行程序,同时开始使用系统空间的堆栈。通过WinDbg中rdmsr命令可以查看到MSR寄存器的内容,可以看到SYSENTER_EIP_MSR指向nt!KiFastCallEntry,这就是系统空间中快速系统调用的总入口。nt!KiFastCallEntry中再进入nt!KiSystemService。 

kd> rdmsr 176 //#define SYSENTER_EIP_MSR=176
msr[176] = 00000000`804df6f0 
进入内核中首先执行EIP指向的代码804df6f0->KiFastCallEntry
kd> u 804df6f0
nt!KiFastCallEntry:
804df6f0 b923000000      mov     ecx,23h
804df6f5 6a30            push    30h
804df6f7 0fa1            pop     fs
804df6f9 8ed9            mov     ds,cx
804df6fb 8ec1            mov     es,cx
804df6fd 8b0d40f0dfff    mov     ecx,dword ptr ds:[0FFDFF040h]
804df703 8b6104          mov     esp,dword ptr [ecx+4]
804df706 6a23            push    23h



阅读更多
换一批

没有更多推荐了,返回首页