Win64 驱动内核编程-9.系统调用、WOW64与兼容模式

最新推荐文章于 2019-09-28 07:16:00 发布
最新推荐文章于 2019-09-28 07:16:00 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: 驱动内核编程 文章标签: 驱动 系统调用WOW64与兼容模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/60892564
版权

系统调用、WOW64与兼容模式

    这种东西都是偏向于概念的,我就把资料上的东西整理下粘贴过来,资料来源于胡文亮,感谢这位前辈。

    WIN64 的系统调用比 WIN32 要复杂很多,原因很简单,因为 WIN64 系统可以运行两种 EXE,而且 WIN32EXE 的执行效率并不差(据我本人用 3DMARK06 实测,在一台电脑上分别安装 WIN7X86 WIN7X64,使用同样版本的显卡驱动,3DMARK06在 WIN7X86 的系统得分比在 WIN7X64 系统的得分高 3%左右,性能损失还算少),因此判断出 WIN32EXE 在 WIN64 系统上绝对不是模拟执行的,而是经过了某种转换后直接执行。在本文中,先讲解 WIN64 进程(或称 64 位进程)的系统函数的执行过程,再讲解 WOW64 进程(或称 32 位进程)的系统函数的执行过程。

 

W W4 IN64  进程 的 系统 函数执行 流程、W W OW4 64  进程的系统 函数执行 流程。

最低0.47元/天 解锁文章
TK13
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win64DriverStudy_Src:WIN64驱动编程基础教程-源码作者:胡文亮
03-24
#### WIN64驱动编程基础教程作者:胡文亮 原始码的编译环境是WDK7600 以下是记者介绍 【原创+福利+源码包】WIN64驱动编程基础教程(含PASS DSE的文件) 大家好,我的是Tesla.Angela。 这份指南本来是拿来出售的,不过由于某些原因导致部分章节出现在了互联网上,于是决定彻底公开了。 详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld 2.内核编程基础 | -WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其他常用代码 3.内核HOOK与UNHOOK |-系统调用WOW64兼容模式 |-编程
Windows WOW64 nativeapi 逆向详解,32程序兼容剖析
qq_31314583的博客
11-19 1299
前言 windows有很多核心的原生api,其中包含sdk声明的和文档未声明的。主要由于ntdll.dll和win32u.dll(服务号0x1000-0x1FFF)导出。 WOW64 (Windows-on-Windows 64-bit)是一个Windows操作系统的子系统,用于模拟32位环境,使得32位执行程序在x64系统正常运行。 而64系统字长变为64位,因此是无法直接执行32位的可执行代码的。因此x64引入了兼容32位执行程序的wow64 子系...
windows系统调用
rosykee的专栏
03-01 1821
windows内核情景笔记(-) 系统调用 1.通过中断向量0x2e进行系统调用 从用户空间通过自陷指令进入内核时,CPU自动将下列信息压入系统空间堆栈: 用户空间的堆栈位置,包括堆栈段寄存器SS和堆栈指针ESP的内容; CPU中 标志寄存器 的内容; 用户空间的指令位置,包括代码段寄存器CS和指令指针EIP的内容。 系统空间堆栈的内容保存在“任务状态段”(TSS)的数据结构里。CPU
Windows 系统调用
nailgo的专栏
03-08 637
Windows 系统调用   Windows 2K 通过 2Eh 中断来实现系统调用的,但是在 XP 后使用 SysEnter 来实现系统调用了,同时 2Eh 中断还是保存着的。不管是 2EH 中断还是 SYSENTER , Windows 对所有的系统调用都会生成下面的 KTRAP_FRAME 堆栈框架。     KTRAP_FRAME 框架结构图   用户态下使用
WIN64驱动编程基础教程
12-06
详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ------------------------------ 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld ------------------------------ 2.内核编程基础 |-WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其它常用代码 ------------------------------ 3.内核HOOK与UNHOOK |-系统调用WOW64兼容模式 |-编程实现突破WIN7的PatchGuard |-系统服务描述表结构详解 |-SSDT HOOK和UNHOOK |-SHADOW SSDT HOOK和UNHOOK |-INLINE HOOK和UNHOOK ------------------------------ 4.无HOOK监控技术 |-无HOOK监控进线程启动和退出 |-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5.零散内容 |-驱动里实现内嵌汇编 |-DKOM隐藏进程+保护进程 |-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK ------------------------------ 7.反回调 |-枚举与删除创建进线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册表回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
kernel-devel-3.10.0-1160.el7.x86-64.rpm 及其他版本下载地址信息
最新发布
03-21
在Linux世界中,内核是操作系统的核心部分,负责管理硬件资源,提供系统调用接口供应用程序使用。`kernel-devel`包对于Linux开发者来说至关重要,它为构建针对特定内核版本的模块或驱动程序提供了必要的头文件和符号...
linux内核4.19.12-1.el7升级包
05-25
而`kernel-ml-devel-4.19.12-1.el7.elrepo.x86_64`则是开发包,包含了头文件和开发工具,供开发者编译与内核相关的模块或驱动程序。 在升级Linux内核时,你需要遵循以下步骤: 1. **备份**:在进行任何重大系统...
sigar-amd64-winnt.dll
06-07
标题中的"sigar-amd64-winnt.dll"是一个动态链接库文件,它在Windows 10(包括Windows Server)操作系统上运行,并且与AMD64架构兼容。这个文件是系统性能监控工具SIGAR(System Information Gatherer and Reporter...
api-ms-win-core-path-l1-1-0.dll.zip
01-27
标签 "api-ms-win core-path l1-1-0.dll" 进一步强调了文件的关键特性,即与路径处理相关的API,并且是Windows内核的核心部分。 在压缩包中的文件 "api_ms_win_core_path_l1_1_0dll" 应该就是实际的DLL文件,用于...
kernel-lt-4.4.210-1.el6.elrepo.x86_64.zip
03-17
安装完成后,需要重启系统以切换到新内核,并确保所有的驱动程序和系统服务能够与新内核兼容。 总的来说,"kernel-lt-4.4.210-1.el6.elrepo.x86_64.zip"为RHEL6用户提供了一个长期支持的内核升级选项,以获取最新的...
WIN64内核编程入门手册
08-09
本教程以 WIN64 内核编程为主线,加入了与 WIN32 内核编程的对比、对微软一些做法的看法,以及对 X86架构的评价
WIN64内核编程-的基础知识
墨鱼菜鸡
09-28 259
  WIN64内核编程基础班(作者:胡文亮) https://www.dbgpro.com/x64driver   我们先从一份“简历”说起:   姓名:X86或80x86   性别:?   出生年月:1978   出生地点:美国   所属公司:主要是INTEL和AMD   主要历史(摘自维基百科):x86架构于1978年推出的Intel 8086中央处理器中首度出   现,它是从Intel...
驱动Wow64栈回溯和进程模块枚举
anhkgg的专栏
09-27 2811
很久没写驱动代码,最近又摸了一下。 在驱动中回溯调用栈,找到特定模块,获取模块地址、大小、路径等信息,然后…。 堆栈回溯 驱动中通常使用RtlWalkFrameChain来获取调用栈信息,接口如下: ULONG RtlWalkFrameChain(OUT PVOID *Callers, IN ULONG Count, IN ULONG Flags); //Callers一个PVOID数组,保存栈中...
Win64 驱动内核编程-24.64驱动里内嵌汇编
天使也掉毛
03-26 2202
64驱动里内嵌汇编     讲道理64驱动是不能直接内链汇编的,遇到这种问题,可以考虑直接把机器码拷贝到内存里,然后直接执行。 获得机器码的方式,可以写好代码之后,直接通过vs看反汇编,然后根据地址在看内存内容,再把内存内容复制出来。或者是去我看的资料上的那个作者提供的一个工具: http://www.vbasm.com/thread-5651-1-1.html)直接把汇编编程机器码。
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
热门推荐
天使也掉毛
03-14 1万+
WFP驱动监控网络     WFP 是微软推出来替代 TDI HOOK、NDIS HOOK 等拦截网络通信的方案,WFP 的框架非常庞大,在 RING3 和 RING0 各有一套类似的函数,令人兴奋的是,即使在 R3 使用 WFP,也可以做到全局拦截访问网络。由于 WFP 的范围太广,实在难以一言概括,感兴趣的朋友可以自行到 MSDN 上查看微软对它的官方概述。本文的目的,是给大家理顺 WFP 
Win64 驱动内核编程-17. MINIFILTER(文件保护)
天使也掉毛
03-18 1万+
MINIFILTER(文件保护)     使用 HOOK 来监控文件操作的方法有很多,可以在 SSDT 上 HOOK 一堆和 FILE 有关的函数,也可以对 FSD 进行 IRP HOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在 VISTA 之后,推荐使用 MINIFILTER (字面翻译是迷你过滤器)。MINIFILTER 基于标准的文件过滤驱动,但是微软
RtlGetVersion获取操作系统版本
125096
03-08 7255
#include #include //操作系统版本 #define WINXP 51 #define WINXP2600 512600 #define WIN7 61 #define WIN77600 617600 #define WIN77601 617601 #define WIN8 62 #define WIN89200 62920
驱动里执行应用层代码之KeUserModeCallBack,支持64win7(包括WOW64
fanxiushu的专栏
07-26 1万+
by Fanxiushu            2014-07-26 在驱动层(ring0)里执行应用层(ring3)代码,这是个老生常谈的技术,而且方法也挺多。 这种技术的本质:其实就是想方设法在驱动层里把应用层代码弄到应用层去执行。 比如在APC异步调用中,KeInsertQueueApc,KeInitializeApc等函数中可设置一个在ring3层执行一个回调函数,这样就可以
学习windows驱动(内存对象)
mofabang的专栏
10-28 1195
IRP里的用户缓冲区有:METHOD_BUFFERED、METHOD_DIRECT、METHOD_NEITHER三类。 对于METHOD_BUFFERED和METHOD_DIRECT两种缓冲类型的IO请求,使用下面的方法获取对应的内存指针。 获取输入缓冲区对应的内存对象:_Must_inspect_result_ _IRQL_requires_max_(DISPATCH_LEVEL) NTSTA

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值