Windows内核情景分析 内核发起系统调用的过程

最新推荐文章于 2024-05-12 19:48:40 发布
最新推荐文章于 2024-05-12 19:48:40 发布
阅读量591 收藏
点赞数
分类专栏: Windows操作系统 文章标签: Windows 内核 系统调用 函数"模板"
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40890756/article/details/90240289
版权

从内核中发起系统调用

系统调用一般是来自于用户空间,但是系统有时也会在内核进行系统调用。内核中无法直接调用NtReadFile一类的函数。

  1. 这一方面是因为Windows内核并不导出这些函数
  2. 另一方面,这些函数调用时是需要系统调用框架/自陷框架,而从内核直接调用显然没有这样一个框架

所以这就是为什么在内核中只能通过ZwReadFile一类函数进行系统调用的原因。这里真的是非常的鞭辟入里!!!,让我豁然开朗Zw前缀函数的意义所在

那么下面就来看看ZwReadFile所做的事情吧

ZwReadFile的系统调用过程

在这里插入图片描述
依旧是eax存放调用号,edx指向堆栈上的参数块。因为是在内核,所以无需保存CS,SS,ESP等寄存器映像。之所以压入一个KGDT_R0_CODE是因为在最后验证的时候取的是[esp + 4],这是为了保证跟从用户空间发出的系统调用保持兼容。

到了要系统调用的返回的时候,即在TRAP_EPILOG的末尾处,上次并没有看CS & 1 == 0时候的分支。那里会有一个验证,会取CS的段选择子,然后&1,来判断PreviousMode是否之前来自用户空间,我们下面来详细看看。
在这里插入图片描述当程序返回执行到这,堆栈上面的情况应该是KiSystemService的返回地址,CS段选择子(KGDT_R0_CODE),EFLAGS,正好跟分支的出栈的情况一一对应。

类似于ZwReadFile的中介函数大概有两百多个,它们在内核也只是类似于stub的函数体,其内部并没有真正实现的代码,仍然是跳到了SSDT的相关调用例程里,那里才是Nt和Zw函数真正索引且提供服务的地方。
这种函数是由ReactOS提供了生成的工具。这个工具根据sysfunc.lst生成用户空间的中介函数NtReadFile和内核版的中介函数ZwReadFile。

先讲内核版本中介函数ZwReadFile的生成模板代码。
在这里插入图片描述
作为中介函数,传递两个参数即可实现相应的模板,一个是调用号,第二个是ret 平衡堆栈需要的参数个数
类似的,虽然书上未说,但是我们把用户模式下的模板先自己写一个加深印象。

//NtReadFile测试 9个参数 调用号为153
#include "stdafx.h"
#include <Windows.h>

#define USER_MODE_STUB_X86(functionName, callNum, retArg) \
	#functionName"(int dummy0, int dummy1, int dummy2)\n" \
	"{\n"\
	"\tasm {\n"\
	"\t\tpush ebp\n" \
	"\t\tmov ebp, esp\n" \
	"\t\tmov eax, "#callNum"\n" \
	"\t\tlea edx, [esp + 8]\n" \
	"\t\tint 0x2e\n" \
	"\t\tmov esp,ebp\n" \
	"\t\tpop ebp\n" \
	"\t\tret "#retArg"\n" \
	"\t}\n" \
	"}\n"
	
//NtReadFile测试 9个参数 调用号为153
int _tmain(int argc, _TCHAR* argv[])
{
	printf("%s\n", USER_MODE_STUB_X86(NtReadFile, 153, 9));
	return 0;
}

在这里插入图片描述

_Nigel_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 内核情景分析 下》(毛德操)
09-15
2. **系统调用与异常处理**:讲解了如何通过系统调用来实现用户程序与操作系统内核的交互,以及异常处理机制,帮助开发者理解和处理系统运行中的错误情况。 3. **内存管理**:深入剖析了Windows内核的虚拟内存管理...
Windows 内核情景分析 上》(毛德操)
09-15
Windows 内核情景分析 上》的PDF版本(《Windows 内核情景分析 上》.(毛德操).[PDF]&amp;ckook.pdf)可能是扫描版或电子版,方便读者在电子设备上查阅学习,便于随时查阅和做笔记,加深对Windows内核的理解。...
Windows消息机制学习笔记(四)—— 内核回调机制
qq_41988448的博客
06-24 1014
消息机制学习笔记(四)—— 内核回调机制要点回顾内核调用实验1:理解内核调用第一步:编译并运行以下代码第二步:修改窗口过程函数,重新运行结论KeUserModeCallback分析KeUserModeCallback 要点回顾 1)GetMessage不仅能够取出消息,还能处理SentMessagesListHead队列中的消息 2)DispatchMessage()用于处理其它队列中的消息。 内核调用 描述:窗口过程函数除了会在消息循环中被调用,一些0环的代码也可以直接发起调用。 例如:窗口初始化时、窗口
Windows内核--裸调系统调用(4.1)
编程语言技巧经验分享
11-12 1024
ntdll.dll NtCreateProcess将服务号0x82传入,通过syscall调入内核系统调用例程。syscall在做什么?在64位系统上,Windows使用syscall指令实现系统服务分发。syscall实现和int 2E类似的作用,只不过它更快速,看它名字"快速调用"。 本文将新增一个系统调用来加深对syscal的理解。
系统调用系统调用过程
最新发布
weixin_72224952的博客
05-12 1633
操作系统为用户态运行的进程与硬件设备之间进行交互提供了一组接口,这组接口就是所谓的系统调用
Windows系统调用工作原理
tq1086的博客
05-29 1342
关于WordPress tommwq.tech/blog 自定义 32个插件更新, 翻译更新 00条评论待审 新建 编辑文章 SEO SEO分数:好 搜索 您好,tommwq 注销 跳至内容 TOMMWQ.TECH/BLOG 原文标题 How Do Windows NT System Calls REALLY Work? 原文 https://www.codeguru.com/cpp/w-p/system/devicedriverdevelo..
Windows内核系统调用分析
bcbobo21cn的专栏
05-10 709
系统调用 进程 ——> 调用OS API;OS进程管理 ——> 调配进程。 仅从用户进程角度,OS就像是一个被动响应的运行时库。Windows提供了一个系统调用界面作为外层,即Win32API;Linux的CRuntime库标准,Windows也支持。用户进程通过调用这些OS接口,可以部分操作系统内核。 硬件] 设备驱动] 核心层] 管理层] 系统服务界面,中断入口(不公开)] 系统DLL(公开)] ——>API 用户进程没有调用内核函数(特权指令)...
Linux内核分析(五)系统调用过程解析
小博鱼的专栏
04-04 3306
本次的文章主要是继续讲解系统调用过程,会更为详细的分析系统调用过程中的细节,包括进程调度的实际,实际服务程序的调用过程,现场的保存和恢复等等,与此同时简述了启动过程的调试以及实验过程。本次的文章中会着重为大家带来图解过程,希望可以更为清晰的看到这个系统调用过程
windows内核情景分析
12-26
windows内核情景分析,毛德操老师作品,喜欢的就下载吧!!
Windows内核情景分析下.zip
07-12
Windows内核情景分析下.zip
Windows内核情景分析上.rar
07-12
Windows内核情景分析》是深入理解Windows操作系统内核的重要参考资料,主要涵盖了Windows操作系统的核心机制、系统调用、进程管理、线程调度、内存管理、设备驱动等方面的知识。本资料集将围绕这些主题进行详细...
Windows系统调用学习笔记(一)—— API函数调用过程
qq_41988448的博客
10-29 6567
Windows系统调用学习笔记(一)—— API函数调用过程前言Windows API实验:分析ReadProcessMemory第一步:定位函数第二步:开始分析 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! Windows API 描述: Application Programming Interface,简称 API 函数。...
WINDOWS系统调用
misterliwei的专栏
07-15 9638
Windows系统调用 Windows 2K通过2Eh中断来实现系统调用的,但是在XP后使用SysEnter来实现系统调用了,同时2Eh中断还是保存着的。不管是2EH中断还是SYSENTER,Windows对所有的系统调用都会生成下面的KTRAP_FRAME堆栈框
调用Windows内核命令
huapro.vip的程序人生
04-06 704
对程序员而言,有一句至理名言就是:“写得好就是写得少!(Writing better is writing less)”。 以下命令可以直接在Windows的运行窗口直接执行,在Delphi中你要这样使用: winexec(Pchar('ABCD'),sw_Show); 其中"ABCD"代表以下命令之一: [@more@]"rundll32 shell32,Control_Ru
windows内核情景分析--系统调用
maomao171314的专栏
04-04 1689
Windows的地址空间分用户模式与内核模式,低2GB的部分叫用户模式,高2G的部分叫内核模式,位于用户空间的代码不能访问内核空间,位于内核空间的代码却可以访问用户空间 一个线程的运行状态分内核态与用户态,当指令位于用户空间时,就表示当前处于内核态,当指令位于内核空间时,就处于内核态. 一个线程由用户态进入内核态的途径有3种典型的方式: 1、 主动通过int 2e(软中断自陷方式)或syse
深入解析Linux内核I/O剖析(open,write实现)
weixin_30872733的博客
08-10 296
Linux内核将一切视为文件,那么Linux的文件是什么呢?其既可以是事实上的真正的物理文件,也可以是设备、管道,甚至还可以是一块内存。狭义的文件是指文件系统中的物理文件,而广义的文件则可以是Linux管理的所有对象。这些广义的文件利用VFS机制,以文件系统的形式挂载在Linux内核中,对外提供一致的文件操作接口。从数值上看,文件描述符是一个非负整数,其本质就是一个句柄,所以也可以认为文件描述符就...
系统调用那些事儿
该用户还没想到好的昵称的博客
04-26 1511
系统调用总结:WIN32 API对系统调用进行了一个封装;系统调用过程及分类。
[linux内核] 3.系统调用处理过程
H4ppyD0g的博客
11-22 401
本文为庖丁解牛教材学习笔记系列文章,如本书作者认为有损权益,请联系博主删除! 文章目录程序运行级别int指令-中断隐指令触发系统调用及参数传递方式嵌入汇编修饰符系统调用内核代码中的处理过程 程序运行级别 Intel x86 CPU 有 4 种不同的执行级别,分别是 0、1、2、3,数字越小,特权越高。 按照 Intel 的设想,操作系统内核运行在 Ring0 级别,驱动程序运行在 Ring1和Ring2级别,应用程序运行在 Ring3 级别,实际的操作系统(如 Linux、Windows)都没有用到图中

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值