内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式.

一丶IDT解析.

我们知道.IDT表中存放着各种中断信息.比如当我们调用int 3的时候,则会调用IDT表中的第三项来进行调用. 而函数地址则是操作系统给的.

因为中断是CPU和操作系统通信的一种方式.

查看IDTR  (IDT表)第三项.

IDT首地址给出了,其中表项是7ff

我们每一项是8个字节,所以 7ff/8 = 255 项.也就是IDT表中是0-256

其中重要的是有个int 3

我们对其 u,则可以看int 3的指令的.

当然,我们也可以自己计算.不用通过  !idt 3给.

我们说过,IDT表中存放的是门描述符号,也就是说真正的函数地址我们要自己查分.拆分开和上面一样.

,可以简单看下下面这张表.

其中微软以前用到的是 2E的区域, 也就是说. 2E的表项是微软放函数地址的地方.

二丶查看int 2E 区域. 对其反汇编.

API,是我们的 KiSystemService

我们可以看一下 zw系列的API,其内部调用的就是这个.

而这个函数的作用,就是查表.取0环的函数地址.  上面的push 8就是函数的下表.

1.反汇编KiSystemService

首先通过汇编代码得出. 操作了FS,

1.保存FS

2.取得_KPRCB结构体中的第四项. 也就是CurrentThread.

3.取得_KThread的 CPU运行模式.

核心代码

其中 EDI是我们传入的调用函数的序号.

首先EDI右移8位. 并且and 30h,但是其实.微软这样做,主要是有两个表. 先看第一个表把.

ESI + 0E0的位置.

ESI =  当前的CurretThread, 当ESI + 0E0的时候,则会找到 KThread结构体的SSDT表.

,我们进去内存查看.则可以看到SSDT表. 注意,是当前线程的SSDT表.

其中第一项,是函数地址指针数组表,这里面存储的都是函数的地址, 而11c,则是函数指针数组的大小.  11c = 284项.

2.显示SSDT函数的反汇编.

进去函数指针表中,随便取出函数地址,则是一个函数.那么这个函数则是NT开头的函数.

也就是说,我们的函数调用ZW函数的时候.会调用NT函数.

三丶快速调用

Syseneter指令, 我们从3环调用API的时候,底层会调用这个API指令.

我们知道,ring3调用API的时候,会用INT 2E指令进行切换. 也就是说调用IDT表中的第2E项,也就是我们上面介绍的那个函数.

但是这样现在不用这给了.原因是太慢了.

int 2E调用图:

当切换函数的是否,会保存三环的栈,SS EIP CS 等等.而这些保存和恢复的时候.都会造成大量的内存访问.

int 2E 切换图

但是为了减少内存访问.所以CPU添加了新的指令以及新的寄存器.来保存这些内容.

添加的寄存器:

   MSR 174

  MSR  175

  MSR  176

174MSR寄存器,保存了0环的代码段.  而三环的代码段没有保存,原因是,采用GDT表的相邻结构.所以当切换的时候只需要加10或者-xx即可.

176MSR寄存器则保存了EIP

至于参数,当返回的是时候则会放到EDX和ECX中.

四丶SSDT表,以及Show SSDT表.

什么事ShowSSDT表?

在SSDT表中,API都是没有和UI相关的.但是微软为了支持UI,所以放到showSSDT表中了.

首先SSDT表在XP中,是导出的. 到处的是一个全局变量.

KeServicePescriPtorTable;

我们可以在WinDbg中直接输入. u 或者dd一下都可以查看的.

而SSDT表 -0x30,也就是就是全局的SSDT表.

而全局的SSDT表+0x10就是ShowSSDT表了.

内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式.的更多相关文章

  1. linux内核分析第四周-使用库函数API和C代码中嵌入汇编代码两种方式使用同一个系统调用

    本周作业的主要内容就是采用gcc嵌入汇编的方式调用system call.系统调用其实就是操作系统提供的服务.我们平时编写的程序,如果仅仅是数值计算,那么所有的过程都是在用户态完成的,但是我们想将变量 ...

  2. 内核知识第八讲,PDE,PTE,页目录表,页表的内存管理

    内核知识第八讲,PDE,PTE,页目录表,页表的内存管理 一丶查看GDT表. 我们通过WinDbg + 虚拟机可以进行双机调试.调试一下看下GDT表 我们知道,GDT表中.存储的是存储段信息. 保存了 ...

  3. 内核知识第六讲,内核编写规范,以及获取GDT表

    内核知识第六讲,内核编写规范,以及获取GDT表 一丶内核驱动编写规范 我们都知道,在ring3下,如果我们的程序出错了.那么就崩溃了.但是在ring0下,只要我们的程序崩溃了.那么直接就蓝屏了. 那么 ...

  4. jquery ajax提交表单数据的两种方式

    http://www.kwstu.com/ArticleView/kwstu_201331316441313 貌似AJAX越来越火了,作为一个WEB程序开发者要是不会这个感觉就要落伍,甚至有可能在求职 ...

  5. yum和编译两种方式升级or降级Centos内核

    http://blog.51cto.com/renzhiyuan/1882599 今天探讨用yum和编译两种方式升级或者降级内核版本: 升级:比如玩kvm,docker等虚拟化,centos内核则升级 ...

  6. LInux内核分析--使用库函数API和C代码中嵌入汇编代码两种方式使用同一个系统调用

    实验者:江军 ID:fuchen1994 实验描述: 选择一个系统调用(13号系统调用time除外),系统调用列表参见http://codelab.shiyanlou.com/xref/linux-3 ...

  7. [操作系统知识储备,进程相关概念,开启进程的两种方式、 进程Queue介绍]

    [操作系统知识储备,进程相关概念,开启进程的两种方式.进程Queue介绍] 操作系统知识回顾 为什么要有操作系统. 程序员无法把所有的硬件操作细节都了解到,管理这些硬件并且加以优化使用是非常繁琐的工作 ...

  8. linux内核分析作业4:使用库函数API和C代码中嵌入汇编代码两种方式使用同一个系统调用

    系统调用:库函数封装了系统调用,通过库函数和系统调用打交道 用户态:低级别执行状态,代码的掌控范围会受到限制. 内核态:高执行级别,代码可移植性特权指令,访问任意物理地址 为什么划分级别:如果全部特权 ...

  9. strus2中获取表单数据 两种方式 属性驱动 和模型驱动

    strus2中获取表单数据 两种方式 属性驱动 和模型驱动 属性驱动 /** * 当前请求的action在栈顶,ss是栈顶的元素,所以可以利用setValue方法赋值 * 如果一个属性在对象栈,在页面 ...

随机推荐

  1. 【深度学习系列】一起来参加百度 PaddlePaddle AI 大赛吧!

    写这个系列写了两个月了,对paddlepaddle的使用和越来越熟悉,不过一直没找到合适的应用场景.最近百度搞了个AI大赛,据说有四个赛题,现在是第一个----综艺节目精彩片段预测 ,大家可以去检测一 ...

  2. 欢迎大家走进我的园子 ( ^___^ )y 本博客文章目录整理

    "记录"是见证成长:"成长"则意味着蜕变:“变",创造无限可能! ------致自己 文章越来越多,不容易查看,特整理了一个目录,方便快速查找 坚持的是分享,搬运的是知识,图的是大家的进步,欢迎更多的 ...

  3. csv文件转json

    http://stackoverflow.com/questions/19766266/directly-convert-csv-file-to-json-file-using-the-jackson ...

  4. Q:记学习枚举过程中的一个小问题

    在学习有关java枚举的时候,我们知道了所有的枚举类型均是继承自java.lang.Enum类的,且所有的枚举常量均是该枚举类型的一个对象,且对象名即为该枚举常量的名称.例子如下:源码: public ...

  5. 基于编辑距离来判断词语相似度方法(scala版)

    词语相似性比较,最容易想到的就是编辑距离,也叫做Levenshtein Distance算法.在Python中是有现成的模块可以帮助做这个的,不过代码也很简单,我这边就用scala实现了一版. 编辑距 ...

  6. php中const与define的区别

    1 版本差异: const 要求php的版本>5.3.0 define 可以兼容php4,php5 等版本 2 定义的位置区别: const关键字定义的常量是在编译时定义的,因此const关键字 ...

  7. [Spark内核] 第30课:Master的注册机制和状态管理解密

    本課主題 Master 接收 Worker, Driver, Application Master 处理 Driver 狀态变换 Master 处理 Executor 狀态变换 [引言部份:你希望读者 ...

  8. c# socket 粘包 其实。。。

    文章内容有错,请直接关闭~~~不要看了.丢人. private static Dictionary<string, Packet> cache = new Dictionary<st ...

  9. Python中function(函数)和methon(方法)的区别

    在Python中,对这两个东西有明确的规定: 函数function —— A series of statements which returns some value to a caller. It ...

  10. python文件处理相关函数

    用open()创建文件 open('a.txt','wt') 用exists()检查文件是否存在 os.path.exists() 用isfile()检查是否为文件 os.path.isfile(na ...