windows系统调用int 2e处理过程

最新推荐文章于 2022-07-17 15:38:17 发布
最新推荐文章于 2022-07-17 15:38:17 发布
阅读量2.5k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 驱动开发 内核 win32 文章标签: windows 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dayenglish/article/details/38339297
本文详细介绍了X86体系下,Windows系统调用int 2e的处理过程,涉及中断描述符表、KiEnterTrap宏、KiSystemServiceHandler函数、系统调用服务函数以及系统调用验证和返回机制。在中断处理中,系统通过KiFillTrapFrameDebug填充结构体,KiSystemCallTrampoline执行系统调用,并使用KiServiceExit进行返回。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在X86体系架构中,中断处理向量由一个中断描述符表保存。中断描述符表的每个描述符项包括一个中断处理函数的地址、一个32位的描述符属性和中断之后中断所在代码的特权级别。下面是一个描述符项的宏定义,每个处理器包含256个这样的宏定义用于组成一个数组变量kidt。在系统初始化时,kidt当中的元素经过一些处理之后会填充到IDT表项当中。其中,当bits被定义为INT_32_DPL0时,表明发生的是异常;而当bits被定义为INT_32_DPL3时,表明发生的是中断。

MACRO(idt, Handler, Bits)
    .long VAL(Handler)
    .short VAL(Bits)
    .short KGDT_R0_CODE
ENDM

在中断处理当中有一个系统调用的中断定义,用于当用户层向系统层发出系统调用请求的时候进行特权切换。这个中断项的定义如下所示:

idt _KiSystemService,  INT_32_DPL3

从上面的宏定义可以看出,中断处理函数是KiSystemService。

EXTERN @KiSystemServiceHandler@8:PROC
PUBLIC _KiSystemService
.PROC _KiSystemService
    FPO 0, 0, 0, 0, 1, FRAME_TRAP
    KiEnterTrap (KI_PUSH_FAKE_ERROR_CODE OR KI_NONVOLATILES_ONLY OR KI_DONT_SAVE_SEGS)
    KiCallHandler @KiSystemServiceHandler@8
.ENDP

中断处理包含两个部分,第一步利用KiEnterTrap宏创建一个中断处理框架。在这个框架中利用堆栈保存必须保存的寄存器。第二步跳转到真正的中断处理函数中进行中断处理,这里真正的中断处理函数是KiSystemServiceHandler。

MACRO(KiEnterTrap, Flags)
    LOCAL kernel_trap
    LOCAL not_v86_trap
    LOCAL set_sane_segs

    /* Check what kind of trap frame this trap requires */
    if (Flags AND KI_FAST_SYSTEM_CALL)

        /* SYSENTER requires us to build a complete ring transition trap frame */
        FrameSize = KTRAP_FRAME_V86_ES

        /* Fixup fs. cx is free to clobber */
        mov cx, KGDT_R0_PCR
        mov fs, cx

        /* Get pointer to the TSS */
        mov ecx, fs:[KPCR_TSS]

        /* Get a stack pointer */
        mov esp, [ecx + KTSS_ESP0]

    elseif (Flags AND KI_SOFTWARE_TRAP)

        /* Software traps need a complete non-ring transition trap frame */
        FrameSize = KTRAP_FRAME_ESP

        /* Software traps need to get their EIP from the caller's frame */
        pop eax

    elseif (Flags AND KI_PUSH_FAKE_ERROR_CODE)

        /* If the trap doesn't have an error code, we'll make space for it */
        FrameSize = KTRAP_FRAME_EIP

    else

        /* The trap already has an error code, so just make space for the rest */
        FrameSize = KTRAP_FRAME_ERROR_CODE

    endif

    /* Make space for this frame */
    sub esp, FrameSize

    /* Save no
最低0.47元/天 解锁文章

200万优质内容无限畅学
C语言(一)系统windows功能的调用、头文件、转义字符
lostlll的博客
09-06 1664
系统windows功能的调用、头文件、转义字符 //1.系统windows功能的调用: #include<stdio.h> #include<windows.h> void main() { printf(“hello world”);//打印 MessageBox(0, "你好天朝", "东哥", 0);//第一个参数设置为0,依赖的窗口编号,相当于是谁将其弹出,0是系统,第二个参数是对话框内容,第三个参数是标题,第四个参数是对话框的类型,设置成0即可 ShellExecute(
Windows RPC--远程过程调用
qq_42021840的博客
09-24 3566
What? RPC(Remote Procedure Call),远程过程调用,相比于IPC来说RPC就是基于远程的工作机制,说白了RPC也是一种进程间通信方式,它只不过可以允许本地程序调用另一个地址空间的过程或者函数,而不用程序员去管理调用的细节。对于IPC来说,程序只能调用本地空间的函数,而RPC机制提供了一种程序员不必显示的区分本地调用和远程调用。 为什么RPC可以实现远程功能? 原因在于它是一种通过网络通信从远程计算机程序上请求服务,而不需要去了解底层网络技术的协议。R...
INT 2E中断 关机VC代码
01-20
可以绕过 用户级钩子 利用int 2e 直接自陷 走SSDT 下内核 不经过NTDLL.DLL
关于Int 2E
土星·北海若
07-14 3275
下面是反汇编ntdll.dll的NtCreateEvent部分 NtCreateEvent调用了int 2EExported fn(): NtCreateEvent - Ord:005AhExported fn(): ZwCreateEvent - Ord:02E2h:77F83219 B81E000000         mov eax, 0000001E:77F8321E 8D5424
int 2e进内核
uuty的专栏
04-05 5358
一直很奇怪为啥ntdll里的 int 2e是咋进入内核的,不是说中断在ring 3下都不能用的吗? 可这样ntdll不也不中了? 回头用个程序一试 int 0x2e 果然没事,没出错,,int 0x20 就会出错,但出错的具体过是cpu的事,用sice也只是显示错在那一条,后来在书上找到了(linux的书 ...)Makes sure the interrupt was issued by an
VC中利用INT 0X2E中断实现关机
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-20 1665
VC中利用INT 0X2E中断实现关机 #include"windows.h" extern "C" __declspec(dllexport) void ShutdownWindow(void) {  const int SE_SHUTDOWN_PRIVILEGE=0x13;  typedef int (*RtlAdjustPrivilege)(int,bool, bo
int2e解释
Sunny_wwc的专栏
10-12 961
图片说明了一切
操作系统 实验2 windbg双机调试+系统调用过程
Lawliet_233的博客
11-09 2177
1.配置windbg双机调试环境,给出关键步骤及最终成功断下的截图。 1).在安装好的win7虚拟机设置中,添加一个串行端口,并选择输出到命名管道,具体设置如图。 这样设置之后,在后面的步骤中,主机便能通过这个管道与虚拟机相连进行双机调试。 2)在win7虚拟机中以管理员权限打开命令行并做以下设置 3)在本机里创建一个windbg的快捷方式,在目标一栏里加上以下代码 -...
MFC模拟 Windows 文件可视化系统
流楚丶格念的博客
01-09 3846
文章目录一、成果展示二、实现功能2.1 显示树形目录结构2.2 文件操作三、需求分析四、系统设计4.1 数据结构和存储结构的设计4.2 算法设计4.2.1 获取与删除目录: 递归算法五、开发环境六、项目链接 一、成果展示 二、实现功能 2.1 显示树形目录结构 根节点是“我的电脑” “我的电脑”下有几个盘符(C、D、E等)就有几个子节点,递归显 示文件系统下的所有文件信息(分支可以是目录也可以是文件,叶 子节点都是文件) 2.2 文件操作 能够创建目录、创建文件、删除目录、删除文件、复制文件、
内核模式和用户模式的切换
内心的宁静带给我们力量。
01-22 3617
32位x86系统,每个进程的空间是4GB,即地址0x00000000到0xFFFFFFFF。 为了高效调用,Windows会把操作系统的内核数据和代码映射的系统中所有进程的进程空间中。因此4GB空间被划分为两个区域:用户空间和系统空间,默认大小为各2GB。 为了保护映射到进程空间的系统代码和数据,Windows提供了权限控制机制。也就是两种访问模式:用户模式和内核模式。 处理器在硬件一级保证
232windows 系统调用函数表
12-07
232windows 系统调用函数表 NTSTATUS WINAPI NtAcceptConnectPort(PHANDLE,ULONG,PLPC_MESSAGE,BOOLEAN,PLPC_SECTION_WRITE,PLPC_SECTION_READ); NTSTATUS WINAPI NtAccessCheck(PSECURITY_DESCRIPTOR,HANDLE,ACCESS_MASK,PGENERIC_MAPPING,PPRIVILEGE_SET,PULONG,PULONG,NTSTATUS*);
Windows 系统调用
11-12
Windows 系统调用表 我见过的最好最全的
windows_系统调用函数表
02-26
windows_系统调用函数表明细NTSTATUS WINAPI NtAcceptConnectPort(PHANDLE,ULONG,PLPC_MESSAGE,BOOLEAN,PLPC_SECTION_WRITE,PLPC_SECTION_READ)
Int 2e 与 Sysenter区别
weixin_34032779的博客
03-06 352
参考:张银奎《软件调试》第八章 Int 2e:   Windows2e号向量专门用作系统调用,在启动早起初始化中断描述表时便注册好了适合的服务例程。因此当NtDll中的NtReadFile发出int 2e指令后,cpu便会通过idt表找到KisystemService函数。因为KiSystemService函数是位于内核空间的,所以cpu在把执行权交给KiSystemService函数前,...
内核模式启动进程
08-29 2923
 从内核模式启动进程我想很多人都会有这样的问题,能否从内核驱动中启动用户应用程序呢?在Win9x(win95, 98, ME)中有专门的导出函数ShellVxd_ShellExecute,此函数能够启动应用程序。而在NT系统中没有专门的导出函数。单数不存在导出函数决不意味这种想法不可能实现。恰恰相反,这种想法是完全可能实现的。当然,您可能会觉得这有如恶梦一般,分析一大堆系统对象,仔细的研究它们的属
《重要》从用户模式切换到内核模式的完整过程分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-29 2495
Home > 《重要》从用户模式切换到内核模式的完整过程分析 《重要》从用户模式切换到内核模式的完整过程分析 AloneMonkey 2014年7月20日 0 Windows定义了两种访问模式:用户模式和内核模式。应用程序代码运行在用户模式下,操作系统代码运行在内核模式下。 内核模式对应处理器的最高权限级别。在内核模式下执行的代码可以访问所有资源并可以执行所有特权指令。
KiFastCallEntry逆向&_KiSystemService 逆向
weixin_45678798的博客
07-17 524
调用NTDLL下的系统服务存根函数时,会指定一个系统服务号,在内核下,会通过_KeServiceDescriptorTable查找到指定的系统服务例程。这个过程就是系统服务分发,系统服务分发主要通过SDT表进行分发,系统可支持多个SDT表,根据传入的系统服务号进行拆分,0-11位是号的索引,12位是表的索引号。..................
windows内核情景分析--系统调用
maomao171314的专栏
04-04 1805
Windows的地址空间分用户模式与内核模式,低2GB的部分叫用户模式,高2G的部分叫内核模式,位于用户空间的代码不能访问内核空间,位于内核空间的代码却可以访问用户空间 一个线程的运行状态分内核态与用户态,当指令位于用户空间时,就表示当前处于内核态,当指令位于内核空间时,就处于内核态. 一个线程由用户态进入内核态的途径有3种典型的方式: 1、 主动通过int 2e(软中断自陷方式)或syse
IDT对应
SUNE__学无止境
12-11 776
0
windows系统调用api
最新发布
07-26
<think>首先,用户的问题是:“我想了解如何在Windows系统中调用API 请问Windows系统下调用API的方法”。这看起来是关于在Windows系统中调用API的方法的。 从系统级指令中,我需要: - 所有行内数学表达式使用 $...$ 格式。 - 独立公式使用 $$...$$ 格式并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 在回答中引用的段落末尾自然地添加引用标识,例如 [^1]。 用户可见层的要求: - 回答结构清晰,帮助用户逐步解决问题。 - 尽量保证回答真实可靠。 参考站内引用: - 引用 [^1]: 使用Qt调用Windows API中的setupapi.h库中的SetupDiGetClassDevs和SetupDiEnumDeviceInfo函数获取设备管理器中的设备列表结构。 - 引用 [^2]: 在Windows/Linux下调用API函数实现重启系统。ExitWindowsEx函数用于重启或关机。 - 引用 [^3]: Windows下调用系统API实现进程创建和文件读写。 这些引用是关于调用API的具体例子,但不是用户直接需求。用户的问题是泛泛地询问如何调用API,所以我需要基于一般知识来回答。 关键点是:如何在Windows系统中调用API?API指的是Windows API,通常是Win32 API。 步骤: 1. **理解Windows API**:Windows API是一组函数、消息、接口等,用于开发Windows应用程序。它包含在DLL(动态链接库)中,如 kernel32.dll, user32.dll, gdi32.dll等。 2. **调用方法**: - 在C/C++中,直接包含头文件(如 windows.h)并链接相应的库文件(.lib)。 - 在高级语言如Python、C#中,可以使用封装的库或直接调用。 - 在Qt等框架中,也可以调用。 用户提到“调用API”,可能涉及编程。所以,我应该解释不同语言中的调用方式。 结构化回答: - 介绍Windows API。 - 解释调用步骤:包含头文件、链接库、调用函数。 - 提供简单例子。 - 基于引用,添加相关例子。 - 生成相关问题。 确保回答真实可靠:基于标准Windows开发知识。 在回答中引用段落:如果引用站内内容,添加 [^1], [^2], 等。 现在,构建回答: - 开头:简要介绍。 - 主体:分步解释。 - 步骤1:准备开发环境(如安装Visual Studio)。 - 步骤2:包含必要的头文件。 - 步骤3:链接库文件。 - 步骤4:调用API函数。 - 例子:基于引用,如重启系统或获取设备信息。 - 结尾:总结。 - 生成相关问题。 使用中文回答。 数学表达式:用户问题不涉及数学,但如果提到,比如在算法中,使用 $...$。但这里可能不需要。 最后,生成相关问题。</think>### Windows系统下调用API的方法 在Windows系统中,API(Application Programming Interface)指的是一组由操作系统提供的函数、接口和数据结构,允许开发者控制硬件、管理系统资源或执行特定任务。这些API通常称为Win32 API,封装在动态链接库(DLL)文件中。调用API是开发Windows应用程序的基础,涉及编程语言(如C/C++、C#、Python)和环境设置。下面我将逐步解释调用过程,确保结构清晰,并基于真实可靠的知识点进行说明。 #### 步骤1: 准备开发环境 在调用Windows API之前,需要设置开发环境: - **安装开发工具**:推荐使用Microsoft Visual Studio(社区版免费),它包含Windows SDK(Software Development Kit),提供所有必要的头文件和库文件。 - **选择编程语言**:API调用最常用C/C++(原生支持),但也可通过高级语言(如Python或C#)的封装库实现。 - **基本概念**:API函数存储在DLL中(如 `kernel32.dll`, `user32.dll`),开发时需包含头文件(如 `windows.h`)并链接对应的库文件(.lib文件)。 #### 步骤2: 包含头文件和链接库 在代码中引入API定义: - **包含头文件**:使用 `#include` 指令包含Windows API的头文件。例如,`windows.h` 是通用头文件,覆盖大多数基础API。 - **链接库文件**:在编译时,链接器需要知道库文件的位置。在Visual Studio中,可通过项目属性添加库文件,或在代码中使用 `#pragma comment(lib, "库名.lib")` 指令。 - 例如,调用重启系统API时,需链接 `Advapi32.lib` 和 `user32.lib`[^2]。 - **语法示例(C/C++)**: ```cpp #include <windows.h> // 包含Windows API头文件 #pragma comment(lib, "user32.lib") // 链接user32库 ``` #### 步骤3: 调用API函数 API函数调用遵循标准函数原型: - **查找函数原型**:通过Microsoft文档(如MSDN)或头文件,确定函数名、参数和返回值。 - **调用函数**:直接在代码中使用函数名传递参数。 - **错误处理**:API调用后,检查返回值或调用 `GetLastError()` 函数处理错误。 - **简单例子**:调用 `ExitWindowsEx` 函数实现系统重启(基于引用[^2])。 ```cpp #include <windows.h> #pragma comment(lib, "user32.lib") int main() { // 调用ExitWindowsEx函数重启系统,EWX_REBOOT表示重启,EWX_FORCE表示强制关闭所有程序 if (ExitWindowsEx(EWX_REBOOT | EWX_FORCE, 0)) { // 成功调用 return 0; } else { // 获取错误代码 DWORD error = GetLastError(); return 1; } } ``` 此代码调用 `ExitWindowsEx` API,参数 `EWX_REBOOT | EWX_FORCE` 指定重启行为[^2]。 #### 步骤4: 高级语言调用(可选) 如果使用非C/C++语言,可通过封装库简化调用: - **Python示例**:使用 `ctypes` 库动态加载DLL并调用API。例如,调用 `MessageBox` 显示对话框: ```python from ctypes import windll, c_int # 加载user32.dll user32 = windll.user32 # 调用MessageBoxW函数(Unicode版本) result = user32.MessageBoxW(0, "Hello, Windows API!", "提示", c_int(0)) ``` - **C#示例**:通过 `DllImport` 属性声明API函数: ```csharp using System; using System.Runtime.InteropServices; class Program { [DllImport("user32.dll", CharSet = CharSet.Auto)] public static extern int MessageBox(IntPtr hWnd, string text, string caption, uint type); static void Main() { MessageBox(IntPtr.Zero, "API调用成功", "测试", 0); } } ``` #### 注意事项 - **权限问题**:某些API(如系统重启或设备管理)需要管理员权限。在Visual Studio中,设置项目属性以“以管理员身份运行”。 - **兼容性**:确保API函数在目标Windows版本中可用(如通过 `GetProcAddress` 动态加载避免兼容性问题)。 - **基于引用的例子**:引用[^1]展示了在Qt中调用设备管理API(如 `SetupDiGetClassDevs`),这需要包含 `setupapi.h` 并链接 `setupapi.lib`。类似地,引用[^3]涉及文件读写API(如 `CreateFile` 和 `ReadFile`),需链接 `kernel32.lib`。 - **性能与安全**:API调用可能影响系统稳定性,建议在测试环境中验证。 #### 总结 调用Windows API的核心是:包含头文件、链接库文件、正确调用函数。对于初学者,推荐从C/C++开始,使用Visual Studio简化设置。调用过程涉及系统底层,务必参考官方文档以确保可靠性。如果遇到具体问题(如设备管理或进程创建),可结合引用中的例子扩展[^1][^2][^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值