FindNextFileW的Ring3到Ring0过程分析
FindNextFileW在微软官方看到应该是在kernel32.dll中实现,但实际调试中发现是在kernelBase.dll中。微软官方文档也不可信啊。打开IDA反汇编并加载PDB信息,可以看到_SEH_prolog4函数的使用。遂先学习下这个知识点。
SEH的prolog4函数与epilog4函数
如图所示,是FinNextFileW函数刚断下来时的堆栈以及信息。
可以看到这个函数的栈帧结构是有点不一样的。首先push了四个参数:堆栈大小、scope table entry、_except_handler4、FS:0(pExceptionList),接着开辟堆栈,并在堆栈中用原函数的ebp覆盖了堆栈大小的数据,等等一系列操作,具体实现细节不再深究。
Scope table entry会被-0x2覆盖。也就是图中的0xFFFFFFFFE覆盖。
图中紫色条杠是执行完__SEH_prolog4函数现在的ebp&#