dre4merp

Windows API的真正实现都是在内核中，那么这些函数是如何组织，实现精准调用的呢？这就需要用到系统服务表（SDT）表。　　Windows一共有两张表，每张表大小10h，每个成员占4h。　　如图，其中函数地址表每成员四字节，函数参数表每成员一字节。　　参数的数值是以字节为单位。基本上我们使用的都是第一张表如何找到系统服务表呢？　　在Win7 32位中存于 [KTHREAD+0xbc]　　kd> dt _KTHREAD　　　　ntdll!_KTHREAD　　　　

记录一下自己学习Windows系统调用机制的过程。 当调用一个Windows API时，系统会由用户态切入到内核态，从ring3进入到ring0层。下面结合一个例子来学习一下具体过程。 这是一个Demo程序，只调用了CreateFile，我们用OllyDbg看一下，它的具体流程是怎样的。#include "pch.h"#include <iostream>#include <algorithm>#include <Windows.h&gt...