KeQueryTickCount宏的展开

最新推荐文章于 2020-02-14 17:06:16 发布
最新推荐文章于 2020-02-14 17:06:16 发布
阅读量474 收藏
点赞数
文章标签: c/c++
原文链接:http://www.cnblogs.com/fanzi2009/archive/2009/12/12/1622722.html
版权 
#define KeQueryTickCount(CurrentCount ) { \
    volatile PKSYSTEM_TIME _TickCount = *((PKSYSTEM_TIME *)(&KeTickCount)); \
    while (TRUE) {                                                          \
        (CurrentCount)->HighPart = _TickCount->High1Time;                   \
        (CurrentCount)->LowPart = _TickCount->LowPart;                      \
        if ((CurrentCount)->HighPart == _TickCount->High2Time) break;       \
        _asm { rep nop }                                                    \
    }                                                                       \
}

 

一下是c语言代码

	LARGE_INTEGER testNumber;
	_asm nop;
	KeQueryTickCount(&testNumber);
	_asm nop;

 

下面是编译的汇编代码

.text:000104C9                 nop
.text:000104CA                 mov     eax, ds:KeTickCount
.text:000104CF                 mov     [ebp+var_18], eax
.text:000104D2
.text:000104D2 loc_104D2:                              ; CODE XREF: DriverEntry+3Bj
.text:000104D2                 mov     ecx, 1
.text:000104D7                 test    ecx, ecx
.text:000104D9                 jz      short loc_104FD
.text:000104DB                 mov     edx, [ebp+var_18]
.text:000104DE                 mov     eax, [edx+4]
.text:000104E1                 mov     [ebp+var_C], eax
.text:000104E4                 mov     ecx, [ebp+var_18]
.text:000104E7                 mov     edx, [ecx]
.text:000104E9                 mov     [ebp+var_10], edx//var_10就是testNumber
.text:000104EC                 mov     eax, [ebp+var_18]
.text:000104EF                 mov     ecx, [ebp+var_C]
.text:000104F2                 cmp     ecx, [eax+8]
.text:000104F5                 jnz     short loc_104F9
.text:000104F7                 jmp     short loc_104FD
.text:000104F9 ; ---------------------------------------------------------------------------
.text:000104F9
.text:000104F9 loc_104F9:                              ; CODE XREF: DriverEntry+35j
.text:000104F9                 pause
.text:000104FB                 jmp     short loc_104D2
.text:000104FD ; ---------------------------------------------------------------------------
.text:000104FD
.text:000104FD loc_104FD:                              ; CODE XREF: DriverEntry+19j
.text:000104FD                                         ; DriverEntry+37j
.text:000104FD                 nop

转载于:https://www.cnblogs.com/fanzi2009/archive/2009/12/12/1622722.html

weixin_33943836
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内核程序中的KeTickCount
weixin_34404393的博客
06-29 716
在逆向的时候发现有KeTickCount,它其实是应该调用KeQueryTickCount时产生的。 KeQueryTickCount其实是个 #define KeQueryTickCount(CurrentCount ) { \ volatile PKSYSTEM_TIME _TickCount = *((PKSYSTEM_TIME *)(&KeTickCount)); ...
《Windows内核编程》---系统时间和定时器
ASCE1885
06-18 5962
内核编程与应用程序编程一个很重要的不同点在于:应用编程中,多数情况下只需考虑单线程就可以;在内核编程中,绝大多数情况下所写的代码都位于多线程环境中。获得当前“滴答数”:获得系统日前和时间往往是为了写日志,获得启动毫秒数则很适合用来做一个随机数的种子。有时也使用时间相关的函数来寻找程序的性能瓶颈。在Win32开发中,我们使用GetTickCount()函数来返回系统自启动之后经历的毫秒数。在驱动开发中,对应的函数是KeQueryTickCount():VOID KeQueryTickCount(       
Windows内核编程基础篇之获得当前滴答数
知其所以然
09-03 2775
获得系统日期和时间往往是为了写日志,获得启动毫秒数则很适合用来做一个随机数的种子。有时也是用时间相关函数来寻找程序的性能瓶颈。     比如API函数 GetTickcountry() , 这个函数返回系统自启动之后经历的毫秒数。在驱动开发中有一个对一个的函数KeQueryTickCount() ,原型如下: VOID KeQueryTickCount( _Out_ PLARGE_INTE
内核与驱动_06_时间与定时器
hskull的博客
02-14 212
文章目录获取当前“滴答”数获取当前系统时间使用示例定时器书中封装的定时器 获取当前“滴答”数 获取系统日期和时间往往是为了写日志,获得启动毫秒数则常用来做随机数种子。 有时也使用时间相关的函数来寻找程序的性能瓶颈。 在内核中有一个函数KeQueryTickCount,返回系统自启动之后经历的毫秒数。 VOID KeQueryTickCount( OUT PLARGE_INTEGE...
测试程序运行时间
12-22
功 能: 返回处理器调用某个进程或函数所花费的时间。   用 法: clock_t clock(void);   说明:clock_t其实就是long,即长整形。该函数返回值是硬件滴答数,要换算成秒或者毫秒,需要除以CLK_TCK或者 CLK_TCK CLOCKS_PER_SEC。比如,在VC++6.0下,这两个量的值都是1000,这表示硬件滴答1000下是1秒,因此要计算一个进程的时间,用clock()除以1000即可
Windows驱动编程基础教程.pdf
03-02
获取当前系统的滴答数可以使用`KeQueryTickCount`函数。这可以用来计算时间间隔。 **5.2 获得当前系统时间** 获取当前系统时间通常使用`KeQuerySystemTime`函数。该函数返回一个`FILETIME`结构体,表示当前的...
windows 驱动系统时
05-04 313
    在编程中,我们经常需要获得系统时间或是从启动开始的毫秒数,启动毫秒数在ring3我们可以使用GetTickCount()函数来获得,在ring0中也有一个对应的函数KeQueryTickCount(),不过单靠这个函数还不够,因为它参数中返回的不是直接的“毫秒”数,而是“滴答”数,而一个“滴答”在不同的环境中表示的时间是不同的,因此我们还要先使用另一个函数来辅助:KeQueryTimeIn
MiCreatePebOrTeb函数注释
misterliwei的专栏
12-17 2504
MiCreatePebOrTeb 函数注释 修改订正日期:2009-7-29 Normal 0 7.8 磅 0 2 false false false MicrosoftInte
Windows驱动开发之获取系统时间
enjoy5512的博客
07-06 5608
驱动开发之获取系统时间
MyGetCurrentTime 驱动获取当前时间
qingye
04-22 1425
MyGetCurrentTime 驱动获取当前时间//比 __TIME__ 精准VOID MyGetCurrentTime(){ LARGE_INTEGER snow,now; TIME_FIELDS now_fields; NTSTATUS status; //获取标准时间 KeQuerySystemTime(&snow); //转为当地时间 ExSystemTimeToLocalTime(&snow,&now); //转为可视时间 RtlTimeToTimeFields(&now,&now_fields
My Windows Driver Study Notes
mdcire的专栏
05-13 993
* 字符串的表示 驱动开发中没有用C/C++的方法来表示一个字符串,因为为了避免一些以非'\0'出现的情况。 typedef struct _UNICODE_STRING { USHORT Length; // 字符串的长度(字节数) USHORT MaximumLength; // 字符串缓冲区的长度(字节数) PWSTR Buffer; // 字符串缓冲区 } UNICODE_STRING
Int 2Ah - KiGetTickCount
04-28 1107
Int 2Ah - KiGetTickCountReWolf^HTBhttp://www.rewolf.prv.plDate: 16.III.2007I. BACKGROUNDEverybody knows that GetTickCount is often used as anti-debug trick,also everybody has patched that function. Th
关于GetTickCountQueryPerformanceCounter的精度区别
David的专栏
08-18 3966
<br />其实差别不大,写了两个类来测试:<br /><br /> <br />class TimeCounter<br />{<br />private:<br />DWORD start;<br />public:<br />TimeCounter() {Start();}<br />void Start(){start = GetTickCount(); }<br />DWORD Now() <br />{ <br />DWORD end = GetTickCount(); <br />return
Windows驱动学习(八)-- 通过InlineHook实现变速齿轮
安全杂货铺
01-04 3781
教程参考自:https://www.bilibili.com/video/av26193169/?p=9 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT_InlineHook 1. 概述 之前的章节我们介绍了FSD Hook技术,这章我们来讲解一下更底层一点的Inline Hook技术。 2. 原理介绍 Inline Hoo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值