系统服务调用与异常分发

最新推荐文章于 2023-12-08 20:43:48 发布
最新推荐文章于 2023-12-08 20:43:48 发布
阅读量4.8k 收藏 4
点赞数
分类专栏: 内核研究 文章标签: exception parameters compilation access null struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shevacoming/article/details/7580350
版权
本文详细介绍了系统服务调用的过程,包括CPU的内部支持,如int 0x2e和sysenter/sysexit指令,以及系统如何在KiSystemService中处理调用。同时,文章还探讨了异常分发机制,从KiTrap开始,经过CommonDispatchException和KiDispatchException,最终通过KiExceptionExit退出。
摘要由CSDN通过智能技术生成

系统服务的调用过程

一、CPU的内部支持

1. int 0x2e 进入 iret返回 (中断门切换)

★.利用中断进入内核,0x2e对应的是KiSystemService

★.每个处理器有一个任务环境,初始化时系统会给CPU在GDT中构造TSS段,并且记录在KPCR中,其中记录着内核栈的地址。线程切换的时候会把处理器的TSS.ESP0 设置为当前的内核栈地址
   所以r3和r0使用的是不同的栈

★.iret从内核栈中弹出eip cs eflag esp ss 返回用户态

2. sysenter sysexit

★.IA32_SYSENTER_CS IA32_SYSENTER_ESP IA32_SYSENTER_EIP在系统初始化时被设置,分别保存指定跳转后的 cs、ss; esp ; eip

★.sysenter指令将装载这些寄存器 切换到r0。 继续执行sysexit则负责恢复这些寄存器并且回到r3,ecx是用户态的esp,edx是eip

二、系统的切换实现

NtCreateFile

kd> u ntdll!ntcreatefile
ntdll!ZwCreateFile:
7c9511f8 b827000000      mov     eax,27h     ;系统服务号
7c9511fd ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300) 
7c951202 ff12            call    dword ptr [edx]
7c951204 c22c00          ret     2Ch

支持快速系统调用的话,edx里存的是这个值
kd> u 7c95ed50 ntdll!KiFastSystemCall:
7c95ed50 8bd4            mov     edx,esp
7c95ed52 0f34            sysenter ;走KiFastCallEntry
ntdll!KiFastSystemCallRet:
7c95ed54 c3              ret
不支持的话,调用到这里
ntdll!KiIntSystemCall:
7c95ed60 8d542408        lea     edx,[esp+8]
7c95ed64 cd2e            int     2Eh   ;走KiSystemService
7c95ed66 c3              ret

不管走哪种方式

最低0.47元/天 解锁文章
Shevacoming
关注
专栏目录
手机App应用内容分发系统存在的问题及对策解决方案
appmao的博客
01-12 507
流媒体分发 在流媒体分发中,通常对flv的支持会更好。原因是flv根据文件偏移量执行快进和快退。 mp4编码会随着时间的推移而快进和快退。一些CDN供应商可能不正确支持mp4,或者可能根本不支持mp4。但是,flv通常可以直接应用。实际上,flv格式是由播放器计算的,这降低了分发服务器的技术要求。这里的困难主要是由作为上述来源的返回模块的复杂性引起的。如果需要进一步处理索引,则程序级别将变得更加复杂。 另外,如果分布式流媒体的容量相对较大,建议主动拆分文件(小于100MB)。这样,您可以对某些配置错误的服务
Windows异常分发
weixin_30699235的博客
07-20 156
当有异常发生时,CPU会通过IDT表找到异常处理函数,即内核中的KiTrapXX系列函数,然后转去执行。但是,KiTrapXX函数通常只是对异常做简单的表征和描述,为了支持调试和软件自己定义的异常处理函数,系统需要将异常分发给调试器或应用程序的处理函数。 为了更好的管理异常,Windows系统定义了专门的数据结构EXCEPTION_RECORD来描述异常。 typedef struct _...
Windows内核读书笔记——Windows异常分发处理机制
weixin_30920853的博客
04-10 302
本篇读书笔记主要参考自《深入解析Windows操作系统》和《软件调试》这两本书。 IDT是处理异常,实现操作系统与CPU的交互的关口。 系统在初始化阶段会去填写这个结构。 IDT的每一个表项都成为门描述符,因为IDT的功能就像大门一样,从一个空间跳到另一个空间去执行。 IDT中包含三种门描述符 任务门描述符:用于任务切换 中断门描述符:用于描述中断处理例程 陷阱们描述符:用于描述...
Windows对异常的管理(描述、分发和处理)及源码剖析
qq_42814021的博客
11-17 1248
异常 Windows中异常处理分为两种: 硬件异常:CPU产生的异常。 软件异常:通过软件方式模拟出的异常,RaiseException 或 throw。 先来介绍一下软件异常,throw抛出异常底层也是通过RaiseException实现的,因此我们从throw开始! C++异常处理 C++中的异常处理机制由try、throw、catch组成。 try语句块负责监视异常; throw语句用于异常信息的发送,也称为抛出异常; catch语句用于异常的捕获,并作出相应的处理。 代码结构如下: try { /
windows 异常分发流程图
weixin_33756418的博客
05-01 483
转载于:https://blog.51cto.com/haidragon/2109472
可被系统服务调用的EXE.rar
03-17
2. **VB6与系统服务交互**:VB6本身并不直接支持创建系统服务,但可以通过第三方库或组件,如SCCreateService API函数,来实现创建、控制和管理服务的功能。 3. **权限问题**:VB6程序若要被系统服务调用,必须克服...
分布式事务+远程调用服务异常事务回滚
ss123mlk的博客
06-22 3531
同一个商品在很多仓库都有库存 库存-锁定是剩余的商品数量 下了一个订单 里面有多件商品 要分别找每个商品是否还有库存没有 在一个订单下的多个商品只要有一个是没有库存的 整个订单就要回滚 写Sql语句的时候 先不用找到具体的字段关系 可以先用数字来代替 然后在数据库哪里好使了就焕 抛异常来判断返回的值是什么 而不是用 if else来判断 分布式事务 异常回滚在同一个服务器中很简单 如果在一个逻辑下包含本服务自身事务异常回滚+远程服务器里的事务异常回滚 就涉及到分布式异常 在分布式事务中 A1 .
服务续约保活、下线和服务调用负载均衡.zip
03-06
在分布式系统中,服务实例可能会因为网络问题、硬件故障等原因突然不可用,如果没有及时发现,其他服务仍然会尝试向这些失效的服务发送请求,导致系统异常。为了解决这个问题,Spring Cloud引入了Eureka服务注册与...
主数据同步与分发实现
数通畅联
11-25 3904
随着企业的发展,各项数据的权威性显得尤为重要,针对解决企业的基础数据治理以及传输问题,数通畅联开发出了MDM主数据管理平台。主数据治理方案可以将企业的组织、人员、客户、供应商等高度共享的数据进行统一管理,对需要的业务系统进行同步分发,使数据易采集、易理解、易分析,提高部门与部门之间的沟通效率。 近期工作主要是为某装备制造企业的主数据治理项目做准备,熟悉主数据治理方案中数据的同步分发以及数据初始化全过程,以组织主数据为案例在本地搭建整套组织主数据功能模型、数据同步流程、分发流程以及数据初始化导入流程,为后续
隐藏调试器的代码
03-04
隐藏调试器的功能代码,解决屏蔽双机调试的驱动代码,使双机调试可以顺利进行。
调用地图路径规划服务提示000002 调用服务发生异常
shiluankuang5671的博客
12-30 306
调用地图路径规划服务提示000002 调用服务发生异常(时好时坏) 代码如下:     MARouteSearchOption *searchOption=[[MARouteSearchOption alloc] init];     searchOption.routeType = @"0";     [searchOption setConfig:@"R"];     [search
一次SYSTEM_SERVICE_EXCEPION问题的解决记录
toseekin的专栏
10-07 132
现象:旧硬盘插入加入新机器后,开机成功,但在启动虚拟机后,win10系统蓝屏报错,且不断循环无法进入系统。2.重启,在bios中打开虚拟化选项,成功进入系统,卸载虚拟机后重新安装。1.安全模式进入系统后,将vmware服务全部禁用,成功进入系统。3.开启虚拟机,没有蓝屏退出,问题成功解决
某驱动的内核调试检测学习内核调试引擎加载机制
04-08 1607
标 题: 【原创】某驱动的内核调试检测学习内核调试引擎加载机制 作 者: 毁灭 时 间: 2014-03-29,02:13:41 链 接: http://bbs.pediy.com/showthread.php?t=186091 作者:Tiany QQ:304400230 如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入
Windows调试2.异常产生详细流程
weixin_30509393的博客
07-09 512
程序设置了int3断点函数 CPU获取后,根据IDT表中的int3的处理函数 主要工作大概是 填充 _KTRAP_FRAME 结构体, 保存的是异常发生时的寄存器环境, 因为在异常处理完毕之后,需要返回产生异常的地方继续执行 然后把异常给CommonDispatchException //总结如下几个顺序 __asm int 3; ​ -> IDT[3]...
Windows11_22H2下的异常机制分析
最新发布
lkylky123789的博客
12-08 787
Windows11_22H2异常分析
64位使用windbg获取Shadow SSDT
weixin_30508309的博客
01-14 390
首先选择一个带界面的程序explorer.exe进行附加 kd> !process 0 0 explorer.exe PROCESS ffff86893dd075c0 SessionId: 1 Cid: 0d48 Peb: 00d50000 ParentCid: 0d30 DirBase: 42d9a000 ObjectTable: ffffe28598bb1800 Hand...
CPU漏洞补丁修复导致KeServiceDescriptorTable获取变更
weixin_30784501的博客
01-11 643
  一、前言   2018年元旦,出现的cpu的漏洞,可以在windows环三直接读取内核数据,windows对该漏洞提供补丁,补丁增加了一个页表,对应的内核处理也增加了,接下来我们看下补丁修复的表象以及对KeServiceDescriptorTable获取的变更。   可参考https://bbs.kafan.cn/thread-2112833-1-1.html   二、补丁修...
异常派发研究KiDispatchException
ADADQDQQ的博客
10-14 1140
系统Debug模式下: KdDebuggerEnabled1 KdPitchDebugger0 KiDebugRoutine==KdpTrap 此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死 当系统正常模式下: KdDebuggerEnabled0 KdPitchDebugger1 KiDebugRoutine==KdpStub 此模式下R3触发异常若没有异常处理接管,则程序崩溃 KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1 KdEnteredDebugge
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值