![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Windows系统调用
文章平均质量分 66
My classmates
QQ349561280
展开
-
4.API的调用过程(系统服务表)
SystemServiceTable(系统服务表) typedef struct _SYSTEM_SERVICE_TABLE { PVOID ServiceTableBase; //这个指向系统服务函数地址表 PULONG ServiceCounterTableBase;//系统这个服务表调用了几次 ULONG NumberOfService; //服务函数的个数 ...原创 2018-10-18 08:29:11 · 739 阅读 · 0 评论 -
5.API的调用过程(SSDT)
SSDT的全称是System Services Descriptor Table,系统服务描述符表 他是在ntoskrnl.exe中导出的函数 kd> dd KeServiceDescriptorTable (SSDT) 导出的声明一下就可以使用了 kd> dd KeServiceDescriptorTableShadow (SSDT Shadow) 未导出需要用其他的方式来查找 k.原创 2018-10-18 09:58:42 · 940 阅读 · 0 评论 -
1.API的调用过程(3环部分)
Application Programming Interface,简称API函数。 主要是存放在C:\WINDOWS\system32下面所有的dll 几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数等… User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等. GDI32.dll:全称是Graphical Dev...原创 2018-10-16 14:18:00 · 2223 阅读 · 0 评论 -
2.API的调用过程(3环进0环)
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 0环与3环共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...原创 2018-10-16 19:09:33 · 1558 阅读 · 0 评论 -
3.API的调用过程(保存现场)
_KTrap_Frame 结构 kd> dt _KTrap_Frame ntdll!_KTRAP_FRAME +0x000 DbgEbp : Uint4B +0x004 DbgEip : Uint4B +0x008 DbgArgMark : Uint4B +0x00c DbgArgPointer : Uint4...原创 2018-10-17 20:52:53 · 1226 阅读 · 0 评论