内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式.
内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式.
一丶IDT解析.
我们知道.IDT表中存放着各种中断信息.比如当我们调用int 3的时候,则会调用IDT表中的第三项来进行调用. 而函数地址则是操作系统给的.
因为中断是CPU和操作系统通信的一种方式.
查看IDTR (IDT表)第三项.
IDT首地址给出了,其中表项是7ff
我们每一项是8个字节,所以 7ff/8 = 255 项.也就是IDT表中是0-256
其中重要的是有个int 3
我们对其 u,则可以看int 3的指令的.
当然,我们也可以自己计算.不用通过 !idt 3给.
我们说过,IDT表中存放的是门描述符号,也就是说真正的函数地址我们要自己查分.拆分开和上面一样.
,可以简单看下下面这张表.
其中微软以前用到的是 2E的区域, 也就是说. 2E的表项是微软放函数地址的地方.
二丶查看int 2E 区域. 对其反汇编.
API,是我们的 KiSystemService
我们可以看一下 zw系列的API,其内部调用的就是这个.
而这个函数的作用,就是查表.取0环的函数地址. 上面的push 8就是函数的下表.
1.反汇编KiSystemService
首先通过汇编代码得出. 操作了FS,
1.保存FS
2.取得_KPRCB结构体中的第四项. 也就是CurrentThread.
3.取得_KThread的 CPU运行模式.
核心代码
其中 EDI是我们传入的调用函数的序号.
首先EDI右移8位. 并且and 30h,但是其实.微软这样做,主要是有两个表. 先看第一个表把.
ESI + 0E0的位置.
ESI = 当前的CurretThread, 当ESI + 0E0的时候,则会找到 KThread结构体的SSDT表.
,我们进去内存查看.则可以看到SSDT表. 注意,是当前线程的SSDT表.
其中第一项,是函数地址指针数组表,这里面存储的都是函数的地址, 而11c,则是函数指针数组的大小. 11c = 284项.
2.显示SSDT函数的反汇编.
进去函数指针表中,随便取出函数地址,则是一个函数.那么这个函数则是NT开头的函数.
也就是说,我们的函数调用ZW函数的时候.会调用NT函数.
三丶快速调用
Syseneter指令, 我们从3环调用API的时候,底层会调用这个API指令.
我们知道,ring3调用API的时候,会用INT 2E指令进行切换. 也就是说调用IDT表中的第2E项,也就是我们上面介绍的那个函数.
但是这样现在不用这给了.原因是太慢了.
int 2E调用图:
当切换函数的是否,会保存三环的栈,SS EIP CS 等等.而这些保存和恢复的时候.都会造成大量的内存访问.
int 2E 切换图
但是为了减少内存访问.所以CPU添加了新的指令以及新的寄存器.来保存这些内容.
添加的寄存器:
MSR 174
MSR 175
MSR 176
174MSR寄存器,保存了0环的代码段. 而三环的代码段没有保存,原因是,采用GDT表的相邻结构.所以当切换的时候只需要加10或者-xx即可.
176MSR寄存器则保存了EIP
至于参数,当返回的是时候则会放到EDX和ECX中.
四丶SSDT表,以及Show SSDT表.
什么事ShowSSDT表?
在SSDT表中,API都是没有和UI相关的.但是微软为了支持UI,所以放到showSSDT表中了.
首先SSDT表在XP中,是导出的. 到处的是一个全局变量.
KeServicePescriPtorTable;
我们可以在WinDbg中直接输入. u 或者dd一下都可以查看的.
而SSDT表 -0x30,也就是就是全局的SSDT表.
而全局的SSDT表+0x10就是ShowSSDT表了.
内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式.的更多相关文章
- linux内核分析第四周-使用库函数API和C代码中嵌入汇编代码两种方式使用同一个系统调用
本周作业的主要内容就是采用gcc嵌入汇编的方式调用system call.系统调用其实就是操作系统提供的服务.我们平时编写的程序,如果仅仅是数值计算,那么所有的过程都是在用户态完成的,但是我们想将变量 ...
- 内核知识第八讲,PDE,PTE,页目录表,页表的内存管理
内核知识第八讲,PDE,PTE,页目录表,页表的内存管理 一丶查看GDT表. 我们通过WinDbg + 虚拟机可以进行双机调试.调试一下看下GDT表 我们知道,GDT表中.存储的是存储段信息. 保存了 ...
- 内核知识第六讲,内核编写规范,以及获取GDT表
内核知识第六讲,内核编写规范,以及获取GDT表 一丶内核驱动编写规范 我们都知道,在ring3下,如果我们的程序出错了.那么就崩溃了.但是在ring0下,只要我们的程序崩溃了.那么直接就蓝屏了. 那么 ...
- jquery ajax提交表单数据的两种方式
http://www.kwstu.com/ArticleView/kwstu_201331316441313 貌似AJAX越来越火了,作为一个WEB程序开发者要是不会这个感觉就要落伍,甚至有可能在求职 ...
- yum和编译两种方式升级or降级Centos内核
http://blog.51cto.com/renzhiyuan/1882599 今天探讨用yum和编译两种方式升级或者降级内核版本: 升级:比如玩kvm,docker等虚拟化,centos内核则升级 ...
- LInux内核分析--使用库函数API和C代码中嵌入汇编代码两种方式使用同一个系统调用
实验者:江军 ID:fuchen1994 实验描述: 选择一个系统调用(13号系统调用time除外),系统调用列表参见http://codelab.shiyanlou.com/xref/linux-3 ...
- [操作系统知识储备,进程相关概念,开启进程的两种方式、 进程Queue介绍]
[操作系统知识储备,进程相关概念,开启进程的两种方式.进程Queue介绍] 操作系统知识回顾 为什么要有操作系统. 程序员无法把所有的硬件操作细节都了解到,管理这些硬件并且加以优化使用是非常繁琐的工作 ...
- linux内核分析作业4:使用库函数API和C代码中嵌入汇编代码两种方式使用同一个系统调用
系统调用:库函数封装了系统调用,通过库函数和系统调用打交道 用户态:低级别执行状态,代码的掌控范围会受到限制. 内核态:高执行级别,代码可移植性特权指令,访问任意物理地址 为什么划分级别:如果全部特权 ...
- strus2中获取表单数据 两种方式 属性驱动 和模型驱动
strus2中获取表单数据 两种方式 属性驱动 和模型驱动 属性驱动 /** * 当前请求的action在栈顶,ss是栈顶的元素,所以可以利用setValue方法赋值 * 如果一个属性在对象栈,在页面 ...
随机推荐
- 【深度学习系列】一起来参加百度 PaddlePaddle AI 大赛吧!
写这个系列写了两个月了,对paddlepaddle的使用和越来越熟悉,不过一直没找到合适的应用场景.最近百度搞了个AI大赛,据说有四个赛题,现在是第一个----综艺节目精彩片段预测 ,大家可以去检测一 ...
- 欢迎大家走进我的园子 ( ^___^ )y 本博客文章目录整理
"记录"是见证成长:"成长"则意味着蜕变:“变",创造无限可能! ------致自己 文章越来越多,不容易查看,特整理了一个目录,方便快速查找 坚持的是分享,搬运的是知识,图的是大家的进步,欢迎更多的 ...
- csv文件转json
http://stackoverflow.com/questions/19766266/directly-convert-csv-file-to-json-file-using-the-jackson ...
- Q:记学习枚举过程中的一个小问题
在学习有关java枚举的时候,我们知道了所有的枚举类型均是继承自java.lang.Enum类的,且所有的枚举常量均是该枚举类型的一个对象,且对象名即为该枚举常量的名称.例子如下:源码: public ...
- 基于编辑距离来判断词语相似度方法(scala版)
词语相似性比较,最容易想到的就是编辑距离,也叫做Levenshtein Distance算法.在Python中是有现成的模块可以帮助做这个的,不过代码也很简单,我这边就用scala实现了一版. 编辑距 ...
- php中const与define的区别
1 版本差异: const 要求php的版本>5.3.0 define 可以兼容php4,php5 等版本 2 定义的位置区别: const关键字定义的常量是在编译时定义的,因此const关键字 ...
- [Spark内核] 第30课:Master的注册机制和状态管理解密
本課主題 Master 接收 Worker, Driver, Application Master 处理 Driver 狀态变换 Master 处理 Executor 狀态变换 [引言部份:你希望读者 ...
- c# socket 粘包 其实。。。
文章内容有错,请直接关闭~~~不要看了.丢人. private static Dictionary<string, Packet> cache = new Dictionary<st ...
- Python中function(函数)和methon(方法)的区别
在Python中,对这两个东西有明确的规定: 函数function —— A series of statements which returns some value to a caller. It ...
- python文件处理相关函数
用open()创建文件 open('a.txt','wt') 用exists()检查文件是否存在 os.path.exists() 用isfile()检查是否为文件 os.path.isfile(na ...