首页 > 其他 > 详细

8.3.3 快速系统调用 —— XP SP3上SystemCallStub的奇怪问题

时间:2016-01-14 07:25:32      阅读:147      评论:0      收藏:0      [点我收藏+]

依书上的例子,ReadFile()函数会调用ntdll!NtReadFile(),后者将服务号放到eax之中,然后调用SharedUserData!SystemCallStub(),由此函数执行sysenter指令来切入内核。

但是实际操作查看反汇编却是这个样子:

技术分享

指令完全是错乱的,猜测此处应该是不是指令,回看一下ntdll!NtReadFile()处的调用代码:

技术分享

发现是将SharedUserData!SystemCallStub()处的地址写入edx寄存器,再通过edx间接寻址调用,所以推测该处数据应该为函数指针:

技术分享

反汇编此地址:

技术分享

发现是名为ntdll!KiFastSystemCall()的函数,其内部正是执行了sysenter指令来切入内核。

可能由于实际操作的系统为XP SP3,而书中使用的系统为XP SP1,故有所偏差。

最后在网上搜索,找到了《软件调试》作者张银奎老师的本人回答:

技术分享

疑问解决!

8.3.3 快速系统调用 —— XP SP3上SystemCallStub的奇怪问题

原文:http://www.cnblogs.com/Chameleon/p/5129057.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!