GetTickCount的实现

GetTickCount的实现

Kernel32.dll的GetTickCount返回机器启动后的毫秒数。一直不知原理，今天看了资料才知道。写下来。

反汇编GetTickCount函数：
kernel32!GetTickCount:
7c80932e ba0000fe7f mov edx,offset SharedUserData (7ffe0000)
7c809333 8b02 mov eax,dword ptr [edx]
7c809335 f76204 mul eax,dword ptr [edx+4]
7c809338 0facd018 shrd eax,edx,18h
7c80933c c3 ret

代码很简单：
将KUSE_SHARED_DATA的第一、二成员相乘后右移24位后，返回就是结果。
KUSE_SHARED_DATA定义如下：
ntdll!_KUSER_SHARED_DATA
+0x000 TickCountLow : Uint4B
+0x004 TickCountMultiplier : Uint4B
+0x008 InterruptTime : _KSYSTEM_TIME
+0x014 SystemTime : _KSYSTEM_TIME
+0x020 TimeZoneBias : _KSYSTEM_TIME
+0x02c ImageNumberLow : Uint2B
+0x02e ImageNumberHigh : Uint2B
+0x030 NtSystemRoot : [260] Uint2B
+0x238 MaxStackTraceDepth : Uint4B
+0x23c CryptoExponent : Uint4B
+0x240 TimeZoneId : Uint4B
+0x244 Reserved2 : [8] Uint4B
+0x264 NtProductType : _NT_PRODUCT_TYPE
+0x268 ProductTypeIsValid : UChar
+0x26c NtMajorVersion : Uint4B
+0x270 NtMinorVersion : Uint4B
+0x274 ProcessorFeatures : [64] UChar
+0x2b4 Reserved1 : Uint4B
+0x2b8 Reserved3 : Uint4B
+0x2bc TimeSlip : Uint4B
+0x2c0 AlternativeArchitecture : _ALTERNATIVE_ARCHITECTURE_TYPE
+0x2c8 SystemExpirationDate : _LARGE_INTEGER
+0x2d0 SuiteMask : Uint4B
+0x2d4 KdDebuggerEnabled : UChar
+0x2d5 NXSupportPolicy : UChar
+0x2d8 ActiveConsoleId : Uint4B
+0x2dc DismountCount : Uint4B
+0x2e0 ComPlusPackage : Uint4B
+0x2e4 LastSystemRITEventTickCount : Uint4B
+0x2e8 NumberOfPhysicalPages : Uint4B
+0x2ec SafeBootMode : UChar
+0x2f0 TraceLogging : Uint4B
+0x2f8 TestRetInstruction : Uint8B
+0x300 SystemCall : Uint4B
+0x304 SystemCallReturn : Uint4B
+0x308 SystemCallPad : [3] Uint8B
+0x320 TickCount : _KSYSTEM_TIME
+0x320 TickCountQuad : Uint8B
+0x330 Cookie : Uint4B

其中：TickCountLow 表示机器启动后的滴答数（tick）。TickCountMultiplier表示每个滴答数的时间间隔：1毫秒的2^(-24)。
所以要取毫秒数时两值相乘后右移24位就可以了。

参考资料：
http://forum.sysinternals.com/forum_posts.asp?TID=16229