_KTRAP_FRAME

最新推荐文章于 2023-12-08 20:43:48 发布
最新推荐文章于 2023-12-08 20:43:48 发布
阅读量1.1k 收藏
点赞数
分类专栏: 滴水中级上 # 内核结构体
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/106723114
版权

函数从3环到0环时的保存现场
操作系统维护了一个结构 _KTRAP_FRAME ,在该结构里保存了一个线程3环的寄存器的值。每一个线程有一个该结构体

Trap Frame是指中断、自陷、异常进入内核后,在堆栈上形成的一种数据结构。用来存储三环的寄存器。

typedef struct _KTRAP_FRAME //Trap现场帧

{

  // ------------------这些是KiSystemService保存的---------------------------

    ULONG DbgEbp;

    ULONG DbgEip;

    ULONG DbgArgMark;

    ULONG DbgArgPointer;

    ULONG TempSegCs;

    ULONG TempEsp;

    ULONG Dr0;	//调试寄存器

    ULONG Dr1;

    ULONG Dr2;

    ULONG Dr3;

    ULONG Dr6;

    ULONG Dr7;

    ULONG SegGs;

    ULONG SegEs;

    ULONG SegDs;

    ULONG Edx;//xy 这个位置不是用来保存edx的,而是用来保存上个Trap帧,因为Trap帧是可以嵌套的

    ULONG Ecx; //中断和异常引起的自陷要保存eax,系统调用则不需保存ecx

    ULONG Eax;//中断和异常引起的自陷要保存eax,系统调用则不需保存eax

    ULONG PreviousPreviousMode;

    struct _EXCEPTION_REGISTRATION_RECORD FAR *ExceptionList;//上次seh链表的开头地址

    ULONG SegFs;

    ULONG Edi;

    ULONG Esi;

    ULONG Ebx;

	ULONG Ebp;

//----------------------------------------------------------------------------------------

ULONG ErrCode;//发生的不是中断,而是异常时,cpu还会自动在栈中压入对应的具体异常码在这儿

//-----------下面5个寄存器是由int 2e内部本身保存的或KiFastCallEntry模拟保存的现场---------

    ULONG Eip;

    ULONG SegCs;

    ULONG EFlags;

    ULONG HardwareEsp;

	ULONG HardwareSegSs;

//---------------以下用于用于保存V86模式的4个寄存器也是cpu自动压入的-------------------

    ULONG V86Es;

    ULONG V86Ds;

    ULONG V86Fs;

	ULONG V86Gs;

} KTRAP_FRAME, *PKTRAP_FRAME;
qq_857305819
关注
专栏目录
2.逆向分析KiFastCallEntry(填充 _KTRAP_FRAME 部分)
Mikasys的博客
11-04 852
每个线程KTRAP_FRAME 一个ESP0 TSS一个核一个 如果只有一个核,那么TSS存的ESP0永远是正在运行的线程的堆栈
Trap Frame
weixin_33860737的博客
06-29 2551
Trap Frame是指中断、自陷、异常进入内核后,在堆栈上形成的一种数据结构。对于Windows操作系统,是 kd> dt nt!_KTRAP_FRAME +0x000 DbgEbp : Uint4B +0x004 DbgEip : Uint4B +0x008 DbgArgMark : Uint4B ...
R0-R3 现场保护(_KTrap_Frame/_KPCR/_ETHREAD)—— 分析内核函数KiSystemService
walker的博客
03-05 1164
简介 在进程由用户态进入内核态的过程中,发生了 ESP/SS/EIP/CS 的切换。因此,在进程权限切换的工程中,必然要进行寄存器的现场保护。 这里,要使用到3个内核结构体:_KTrap_Frame/_KPCR/_ETHREAD。 _KTrap_Frame 每个线程在内核中都有一个 _KTrap_Frame 结构体,用于操作系统对线程的管理,该结构体时操作系统进行维护的。 _KTrap_Frame 的结构如下: kd> dt _KTrap_Frame nt!_KTRAP_FRAME //调
Windows内核-_Trap_Frame/ETHREAD/KPCR/KiSystemService
qq_40712959的博客
12-07 1775
_Trap_Frame 无论3环是中断门还是systementer进入0环,3环的寄存器都会寄存在_Trap_Frame结构体中,结构体如下: ETHREAD 每个线程有一个ETHREAD结构体,该结构体保存了线程的状态 ...
Microsoft windows internals 学习笔记(1)
herx1的专栏
04-09 585
陷阱分发: 陷阱(trap)指的是异常或中断发生时处理器扑捉到一个执行线程,并将控制权转移到操作系统某一固定地址处。windows中控制权转移给一个 陷阱处理器(trap handler),与某个异常或中断相关联的函数。
Windows系统调用中的现场保存
songfei_dream的专栏
10-20 1357
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中的现场保存   我们之前介绍过三环进零环的步骤,通过中断或者快速调用来实现。   但是我们是否考虑过CPU从三环进入零环时,其三环的寄存器该如何保存。   这一篇文件就来介绍其系统调用中的(三环)现场保存的问题。 一、几个重要的...
typedef _KTRAP_FRAME
09-13
typedef _KTRAP_FRAME 表示定义了一个名为_KTRAP_FRAME的结构体类型的别名。这个结构体类型用来保存一个线程在从3环到0环时的寄存器的值。根据引用提供的信息,_KTRAP_FRAME结构体类型在操作系统中被使用,每个线程...
3.逆向分析KiSystemService(填充 _KTRAP_FRAME 部分)
Mikasys的博客
11-04 462
一、回顾 想要分析透彻,必须得了解之前的那些结构体(_KUSER_SHARED_DATA、_Trap_Frame、_KPCR、 _KTHREAD) 没看的同学先看一下之前的文章逆向分析ReadProcessMemory---->KiFastCallEntry 二、分析KiSystemService 由于上一篇分析KiFastCallEntry文章的难度更大,分析_KiSystemService的难度小一些,所以前面步骤省略,直接开始分析KiSystemService .text:00466481 _KiSy
3.API的调用过程(保存现场)
My classmates
10-17 1261
_KTrap_Frame 结构 kd> dt _KTrap_Frame ntdll!_KTRAP_FRAME +0x000 DbgEbp : Uint4B +0x004 DbgEip : Uint4B +0x008 DbgArgMark : Uint4B +0x00c DbgArgPointer : Uint4...
Windows系统调用学习笔记(四)—— 系统服务表&SSDT
qq_41988448的博客
11-11 2998
Windows系统调用学习笔记(四)—— 系统服务表前言要点回顾系统服务表实验:分析 KiSystemService 与 KiFastCallEntry 共同代码 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 API进入0环后调用的函数: 中断门 – KiSystemService 快速调用 – KiFastCallEnt...
Windows内核原理与实现读书笔记之异常分发
maomao171314的专栏
11-24 350
异常分发 在Intel X86 体系结构中,异常也是通过IDI(中断描述符表)分发的。 异常记录EXCEPTION_RECORD 定义: typedef struct _EXCEPTION_RECORD { DWORD ExceptionCode;//异常产生的原因 DWORD ExceptionFlags;//异常标志 struct _EXCEPTION_RECORD *ExceptionRecord;//相关联的异常记录 PVOID ExceptionAddress...
KiFastCallEntry() 机制分析
无本之木
05-28 1220
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
WINDOWS系统调用 和 SYSENTER系统服务调用过程
weixin_34186128的博客
11-06 253
Windows 2K通过2Eh中断来实现系统调用的,但是在XP后使用SysEnter来实现系统调用了,同时2Eh中断还是保存着的。不管是2EH中断还是SYSENTER,Windows对所有的系统调用都会生成下面的KTRAP_FRAME堆栈框架。 KTRAP_FRAME框架结构图 用户态下使用2EH中断时,CPU会自动产生0x78和0x74 以保存用户态下...
Windows11_22H2下的异常机制分析
最新发布
lkylky123789的博客
12-08 944
Windows11_22H2异常分析
Windows内核重要结构体
weixin_30883271的博客
03-24 1820
前言 Windows操作系统的内核代码使用C和汇编进行编写,内核中最重要的就是一些结构体和算法,了解了这些结构体后可以帮助我们对内核的代码进行分析。本文将介绍四个非常重要的结构体。TRAP_FRAME结构体是由操作系统维护的一块数据,在内核层用来保存用户层现场的结构体(例如线程在用户层进行系统服务函数调用、中断、异常和在内核层执行APC调用时线程都要暂时将用户层的现场保存在TRAP_FRAME中...
SYSENTER系统服务调用过程
jinghuainfo
07-15 155
SYSENTER系统服务调用过程 以NtReadFile调用为例。 一.NtDll.Dll中,NtReadFile过程如下: ntdll!NtReadFile: 7c92d9b0 b8b7000000 mov eax,0B7h 7c92d9b5 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300) ...
Winodws x64系统服务调用的那头4个参数
muy的专栏
07-03 4269
前几天有朋友遇到一个问题来问我。他有一个Windows 7 x64下的minidump文件,经过初步分析,知道系统崩溃最初是因用户态调用了NtDeviceIoControlFile造成的,KeBugCheckEx调用已经位于多重函数调用的深处,问如何找到最初NtDeviceIoControlFile的参数,尤其是头4个参数。经过一番努力,我总算是把问题解决了,其中得到一些领悟,想趁热记录。
Windows操作系统----进程与线程----内核层对象----KTHREAD
一个热爱逆向,喜爱学习、分享的猿。
12-09 729
typedef struct _KTHREAD { DISPATCHER_HEADER Header; UINT64 CycleTime; ULONG HighCycleTime; UINT64 QuantumTarget; PVOID InitialStack; PVOID StackLimit; PVOID KernelStack; ULONG ThreadLock; union { ...
APC计算机编程,[原创]小Win,点一份APC(Apc机制详解)(一)
weixin_29184371的博客
07-27 747
翻开翻开小Win的菜单,APC赫然在目...做工讲究,味道不错,是小Win的热门菜,我们点一来尝尝!吃了可以做很多事情...APC注入APC注入APC注入...细节来自于ReactOS源码分析。如果对这个发神经的文风有任何不适,请谅解,因为我确实神经了来一份APCring3这么做的点APC的正确姿势是使用QueueUserApc,不走寻常路的也可以使用NtQueueApcThreadDWORDW...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值