WINDOWS有两种访问模式:用户模式和内核模式。用户模式下的代码不可以直接访问系统空间的数据,也不可以直接调用系统空间中的任何函数,否则会导致保护性错误。但用户程序可以通过调用系统服务来间接访问系统空间的数据或者间接调用执行系统空间的代码。当调用系统服务时,调用线程会从用户模式切换到内核模式,调用结束后再返回到用户模式,也就是所谓额的模式切换,即上下文切换。在每个线程的KTHREAD结构中,有一个名为ContextSwitches的字段,专门用来记录这个线程模式切换的次数。
模式切换是通过软中断或者专门的快速系统调用Fast System Call指令来实现的。
使用INT 2E切换到内核模式:
下图是一个应用程序调用ReadFile API的过程。
在用户模式切换到内核态之前,会做好一些工作:
1. 权限检查,检查源位置和目标位置所在的代码段权限,核实是否可以转移
2. 准备内核态使用的栈,为了保证内核安全,所有线程在内核态执行时都必须使用内核空间的内核栈,kernel stack, 一般大小是8KB或者12KB。
快速系统调用流程:
逆向调用:
内核态的代码也可以调用用户态的代码,即所谓的逆向调用。逆向调用的过程大致如下,首先内核代码使用内核函数KiCallUserMode发起调用,接下来的执行过程与从系统调用返回时类似,不过进入用户态执行的是NtDll的KiUserCallbackDispatcher。然后会调用内核希望调用的用户态函数。当用户态工作完成后,执行返回动作的函数会执行INT 2B指令,触发一个0X2B异常,这个异常的处理函数是内核态的KiCallbackReturn函数,于是通过INT 2B异常,CPU又回到了内核态。