PspGetBaseTrapFrame(x64)

已于 2023-11-01 23:33:24 修改
阅读量2.1k 收藏 2
点赞数
分类专栏: Sys 文章标签: windows
于 2014-04-05 22:26:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Sidyhe/article/details/22999797
版权 
typedef struct _KERNEL_STACK_SEGMENT
{
	ULONG_PTR StackBase;
	ULONG_PTR StackLimit;
	ULONG_PTR KernelStack;
	ULONG_PTR InitialStack;
	ULONG_PTR ActualLimit;
} KERNEL_STACK_SEGMENT, *PKERNEL_STACK_SEGMENT;
typedef struct _KERNEL_STACK_CONTROL
{
	union {
		XMM_SAVE_AREA32 XmmSaveArea;
		struct {
			UCHAR Fill[sizeof(XMM_SAVE_AREA32) - 2 * sizeof(KERNEL_STACK_SEGMENT)];
			KERNEL_STACK_SEGMENT Current;
			KERNEL_STACK_SEGMENT Previous;
		};
	};

} KERNEL_STACK_CONTROL, *PKERNEL_STACK_CONTROL;
typedef struct _KTHREAD {
	DISPATCHER_HEADER Header;
	LIST_ENTRY MutantListHead;
	PVOID InitialStack;
	PVOID StackLimit;
	PVOID KernelStack;
} KTHREAD, *PKTHREAD, *PRKTHREAD;
typedef struct _ETHREAD {
	KTHREAD Tcb;
} ETHREAD, *PETHREAD;

#define KERNEL_STACK_CONTROL_LENGTH sizeof(KERNEL_STACK_CONTROL)
#define KTRAP_FRAME_LENGTH sizeof(KTRAP_FRAME)

FORCEINLINE PKTRAP_FRAME PspGetBaseTrapFrame(PETHREAD Thread)
{
	ULONG64 InitialStack;
	PKERNEL_STACK_CONTROL StackControl;

	InitialStack = (ULONG64)Thread->Tcb.InitialStack;
	StackControl = (PKERNEL_STACK_CONTROL)InitialStack;
	while (StackControl->Previous.StackBase != 0)
	{
		InitialStack = StackControl->Previous.InitialStack;
		StackControl = (PKERNEL_STACK_CONTROL)InitialStack;
	}
	return (PKTRAP_FRAME)(InitialStack - KTRAP_FRAME_LENGTH);
}

Trap Frame
weixin_33860737的博客
06-29 2632
Trap Frame是指中断、自陷、异常进入内核后,在堆栈上形成的一种数据结构。对于Windows操作系统,是 kd> dt nt!_KTRAP_FRAME +0x000 DbgEbp : Uint4B +0x004 DbgEip : Uint4B +0x008 DbgArgMark : Uint4B ...
【xv6学习之番外篇】详解struct Env 与 struct Trapframe
mick_seu的博客
01-23 4649
鉴于我们有必要对struct Env和struct Trapframe 这两个用户环境的关键结构体有个细致的了解,这篇博文应运而生。主要借鉴张弛的report。(内联汇编参见 http://grid.hust.edu.cn/zyshao/OSEngineering.htm 第二章) 首先是 Env 结构体: inc/env.h 这其中的 env_tf 存储了各寄存器内容
Windows内核-_Trap_Frame/ETHREAD/KPCR/KiSystemService
qq_40712959的博客
12-07 1948
_Trap_Frame 无论3环是中断门还是systementer进入0环,3环的寄存器都会寄存在_Trap_Frame结构体中,结构体如下: ETHREAD 每个线程有一个ETHREAD结构体,该结构体保存了线程的状态 ...
xv6 trapframe定义的位置
Fudanqqqqq的博客
11-30 747
在x86.h的最下面,真是把我找吐了,MD
linux 帧 数据结构,linux – 什么是陷阱帧?陷阱框架和task_struct有什么区别?
weixin_34036075的博客
05-13 411
task_struct用于存储CPU的状态和陷阱帧做同样的事情,它们如何区别?陷阱框架是数据结构还是公正和概念?解决方法:cpu状态 – 关于上下文切换,而trapframe保存在异常或irq出现之后保存在tcb中的用户空间状态.这是task struct,它存储上下文和陷阱框架:class task {private:public:uint32_t pid;pde_t *pgd;tstate s...
6.S081——陷阱部分(一文读懂xv6系统调用)——xv6源码完全解析系列(5)
zheyuan的博客
05-03 4008
在动笔写下这篇博客时,我只是想把Xv6的系统调用过程一点点弄清楚梳理下来,在这个过程中我查阅了许多RISC-V规范和相关书籍,并一直参阅Xv6 Book。结果没想到弄清一个小小的write系统调用,我竟然写了1.2万字,才将这过程中每一行代码研究清楚。即便如此,这个过程中还是有一些残留的问题,比如开关中断的时机(intr_on,intr_off),以及为什么要在usertrap中再保留一份epc的值,这些要完全搞明白需要后面中断、调度的相关知识。
WINDOWS系统调用 和 SYSENTER系统服务调用过程
weixin_34186128的博客
11-06 281
Windows 2K通过2Eh中断来实现系统调用的,但是在XP后使用SysEnter来实现系统调用了,同时2Eh中断还是保存着的。不管是2EH中断还是SYSENTER,Windows对所有的系统调用都会生成下面的KTRAP_FRAME堆栈框架。 KTRAP_FRAME框架结构图 用户态下使用2EH中断时,CPU会自动产生0x78和0x74 以保存用户态下...
2.逆向分析KiFastCallEntry(填充 _KTRAP_FRAME 部分)
Mikasys的博客
11-04 920
每个线程KTRAP_FRAME 一个ESP0 TSS一个核一个 如果只有一个核,那么TSS存的ESP0永远是正在运行的线程的堆栈
KiFastCallEntry() 机制分析
无本之木
05-28 1249
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
Winodws x64系统服务调用的那头4个参数
muy的专栏
07-03 4351
前几天有朋友遇到一个问题来问我。他有一个Windows 7 x64下的minidump文件,经过初步分析,知道系统崩溃最初是因用户态调用了NtDeviceIoControlFile造成的,KeBugCheckEx调用已经位于多重函数调用的深处,问如何找到最初NtDeviceIoControlFile的参数,尤其是头4个参数。经过一番努力,我总算是把问题解决了,其中得到一些领悟,想趁热记录。
Windows11_22H2下的异常机制分析
最新发布
lkylky123789的博客
12-08 1387
Windows11_22H2异常分析
Windows系统调用学习笔记(四)—— 系统服务表&SSDT
lzyddf的博客
11-11 3321
Windows系统调用学习笔记(四)—— 系统服务表前言要点回顾系统服务表实验:分析 KiSystemService 与 KiFastCallEntry 共同代码 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 API进入0环后调用的函数: 中断门 – KiSystemService 快速调用 – KiFastCallEnt...
SYSENTER系统服务调用过程
jinghuainfo
07-15 170
SYSENTER系统服务调用过程 以NtReadFile调用为例。 一.NtDll.Dll中,NtReadFile过程如下: ntdll!NtReadFile: 7c92d9b0 b8b7000000 mov eax,0B7h 7c92d9b5 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300) ...
WinNT.h
it技术学习
04-22 5323
/*++ BUILD Version: 0066     Increment this if a change has global effects Copyright (c) Microsoft Corporation. All rights reserved. Module Name:     winnt.h Abstract:     Thi
通过 Windows 用户模式回调实施的内核攻击
顶峰
12-16 362
十五年之前,Windows NT 4.0 引入了 win32k.sys 来应对旧的客户端-服务端图形子系统模型的固有限制。至今为止,win32k.sys 仍旧是 Windows 架构的基础组件之一,管理着窗口管理器(User)和图形设备接口(GDI)。为了更精确地与用户模式数据相连接,win32k.sys 使用了用户模式回调:一种允许内核反向调用到用户模式的机制。用户模式回调启用各种任务,例如调用应用程序定义的挂钩、提供事件通知,以及向/从用户模式拷贝数据等。
x64内核实验7-线程
qq_43147121的博客
10-07 1161
ETHREAD和KPCR都有点大就不全贴出来了只说一些常用的字段,一般熟悉了内核机制的话看名字很多都能猜出来跟之前的进程结构体一样是可等待对象都有的头部结构体KTHREAD + 0x018 VOID* SListFaultAddress 上一次用户模式互锁单链表POP操作发生页面错误的地址。内核栈的原始栈位置(高地址)内核栈低地址内核栈的栈基址内核调用栈开始位置KTHREAD + 0x0C8 INT64 WaitStatus 等待的结果状态。
3.API的调用过程(保存现场)
My classmates
10-17 1280
_KTrap_Frame 结构 kd> dt _KTrap_Frame ntdll!_KTRAP_FRAME +0x000 DbgEbp : Uint4B +0x004 DbgEip : Uint4B +0x008 DbgArgMark : Uint4B +0x00c DbgArgPointer : Uint4...
CONTEXT structure
当蝴蝶在南半球拍了两下翅膀,它就会稍微飞高一些。
01-23 2934
原文链接:http://msdn.microsoft.com/en-us/library/windows/desktop/ms679284%28v=vs.85%29.aspx 本文链接: 参考资料:1、来自互联网http://www.bitscn.com/plus/view.php?aid=48915中的部分内容。                     2、微软的WinNT.h头文件。
数据结构与算法——4. 线性结构之栈(Stack)
花城的博客
11-15 1074
文章目录一、栈(Stack)1. 栈的定义2. 栈的特性:反转次序3. 使用python实现栈二、栈的应用:括号的嵌套匹配1. 括号的使用规则2. 识别括号的嵌套是否正确 一、栈(Stack) 1. 栈的定义 栈是一种有次序的数据项集合,在栈中,数据项的添加和移除都仅发生在同一端,这一端叫“栈顶stack top”。而另一端叫“栈底stack base”。 在读取数据时,最后加入的数据项放在栈顶,会被第一个取出。而最先加入的数据项放在栈低,只能在所有数据项被取完后,最后一个取出。这种次序被称为“先进后出LI
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值