windows内核中,在什么情况下不能用call,而只能用 push xxxx, jmp xxx来模拟call

GKatHere 2018-09-03 01:59:04
如题:windows内核中,在什么情况下不能用call,而只能用 push 返回地址, jmp xxx来模拟call。
今天晕了,在nt!KiSystemServiceRepeat一转call就出错
...全文
151 1 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
Linux Kernel sys_call_table、Kernel Symbols Export Table Generation Principle、Difference Between Syst...
转自:http://www.cnblogs.com/LittleHann/p/4127096.html 目录 1. sys_call_table:系统调用表 2. 内核符号导出表:Kernel-Symbol-Table 3. Linux 32bit、64bit环境下系统调用入口的异同 4. Linux 32bit、64bit环境下sys_call_table ...
windows内核驱动基础功能
本层权限更低层2层任何库函数的机器代码DLL动态链接库函数的引用地址函数调用装入内存导入库Ntdll.dllSSDTWin32k.sys首先CreateFile API是被封装在的API,然后会被进一步封装成Ntdll.dllAPI(Native的缩写,原生的意思。CreateFile在Ntdll.dll对应的或者是(NtCreateFile和ZwCreateFile是一对而且完全一样的),主要这里的Zw*和Nt*是在Ntdll.dll里面的和的Zw*和Nt*不一样)然后会通过。
内核断与异常详解
内核断 以32位的2.6.11版本来讲解 处理断的代码其实不是一个函数,为了区分开,文章用 断例程 表示 断定义 断被定义为一个事件,该事件可以改变CPU指令的执行顺序。这个事件与CPU内部产生的电信号相对应。断可分为: 同步断(异常)由CPU指令产生,只能发生在一条指令执行之后。它通常由程序错误产生,通常通过内核发出Unix信号来处理,比如除0;或者由内核必须处理的异常产生,比如缺页和系统调用。 异步断(断)由物理设备产生,随时可能发生在每条指令执行之间。通常由外部硬件产生,用
在EXE创建、加载内核驱动
 其实这个想法来自一个程序。当时想试验一下arp攻击,还以为win32下有相关的系统调用,google了一把,不,baidu了一把,google看 不懂,说win32下发包IpPacket到可以,Arp只能用IpHlpApi提供的SendARP()函数发送(可能孤陋寡闻),而且不能手动构造 arp包,而且SP2下发送TCP SYN是不允许的。晕。借助工具的话就要使用WinPcap,或者自己写驱动。
80x86汇编—指令系统
如果不指明的话就按照目的操作数的单位进行存放,比如MOV AX,6的话肯定6进去AX就变成了16位二进制的6,同理内存也是,没有指明的话就是看你操作数大小,操作数能够用8086单位存的下的话,单位是一个字节,也就是8位bit能够放得下的话就是一个B单元,大于8bit即大于1B的话我们就用一个word几一个字单元,也就是16bit存,有点内存对齐的意思,反正这是汇编器翻译的。
Windows客户端使用

18,141

社区成员

13,242

社区内容

发帖
与我相关
我的任务
社区描述
Windows客户端使用相关问题交流社区
社区管理员
  • Windows客户端使用社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章