02.sysenter进零环(保存现场)

游戏逆向 2023-01-13 02:06:47

课时名称课时知识点
02.sysenter进零环(保存现场)熟悉Windows三环API到Windows内核的执行流程,清晰的了解调用细节 是在游戏对抗中不可缺少的技术点 自写三环API(让调试器(OD,CE)断点无效) SSDT HOOK(让调试器(OD,CE)无法打开进程)
...全文
98 回复 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
Windows内核驱动-系统调用第一课
Windows内核-7.SSDT HOOK(让调试器无法打开进程)Windows内核-2.sysenter进零环(保存现场)Windows内核-6.自写三环API(让调试器断点无效)Windows内核-3.系统服务表(调用Call)Windows内核-系统调用1.API三环的流程。Windows内核-5.int 0x2E进零环。Windows内核-4.零环返回(恢复现场)Windows内核驱动-系统调用第一课。
系统调用001 API从三环进零环的过程
文章目录前言逆向分析ReadProcessMemoryNtReadVirtualMemory_KUSER_SHARED_DATASystemCall通过int 0x2E中断门进入零环通过sysenter快速调用进入零环总结总结 前言 在三环操作系统提供了各种API,这些API实际上只是一个暴露在三环的接口,真正的功能实现部分,最终都是要进到零环。 逆向分析ReadProcessMemory ###...
Windows系统调用中的现场保存
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中的现场保存   我们之前介绍过三环进零环的步骤,通过中断或者快速调用来实现。   但是我们是否考虑过CPU从三环进入零环时,其三环的寄存器该如何保存。   这一篇文件就来介绍其系统调用中的(三环)现场保存的问题。 一、几个重要的...
系统调用 1.API函数的调用过程(3环进0环)
1.API函数的调用过程(3环进0环) 一、Windows API Application Programming Interface,简称 API 函数。 Windows有多少个API? 主要是存放在 C:\WINDOWS\system32 下面所有的dll 几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数等. User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等. GDI32.dll:全称是Graphical
系统调用之_KUSER_SHARED_DATA
当操作系统在启动的时候,需要初始化_KUSER_SHARED_DATA这个结构体,其中最重要的就是初始化0x300这个位置。操作系统要往这里面写一个函数,这个函数决定了所有的三环的API进入零环的方式。该函数KiFastSystemCall,实际上就只有三行代码,首先把esp保存到edx,目的是为了在零环能够方便的找到三环的堆栈。虽然它们指向的是同一个物理页,但在User层是只读的,在Kernel层是可写的。_KUSER_SHARED_DATA(用户层与内核层分别定义了该结构,用户用户层与内核层共享数据。
孙冉的课程社区_NO_2

1

社区成员

40

社区内容

发帖
与我相关
我的任务
社区描述
游戏逆向更多视频www.yxfzedu.com
社区管理员
  • 游戏逆向
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章