软件调试笔记11 - Windows概要:内核模式和用户模式

本文介绍了Windows操作系统中的两种访问模式——用户模式和内核模式,并详细解释了如何通过软中断或快速系统调用指令进行模式切换。此外,还讨论了逆向调用的过程,即内核态代码如何调用用户态的代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

WINDOWS有两种访问模式:用户模式和内核模式。用户模式下的代码不可以直接访问系统空间的数据,也不可以直接调用系统空间中的任何函数,否则会导致保护性错误。但用户程序可以通过调用系统服务来间接访问系统空间的数据或者间接调用执行系统空间的代码。当调用系统服务时,调用线程会从用户模式切换到内核模式,调用结束后再返回到用户模式,也就是所谓额的模式切换,即上下文切换。在每个线程的KTHREAD结构中,有一个名为ContextSwitches的字段,专门用来记录这个线程模式切换的次数。

模式切换是通过软中断或者专门的快速系统调用Fast System Call指令来实现的。


使用INT 2E切换到内核模式

下图是一个应用程序调用ReadFile API的过程。



在用户模式切换到内核态之前,会做好一些工作:

1. 权限检查,检查源位置和目标位置所在的代码段权限,核实是否可以转移

2. 准备内核态使用的栈,为了保证内核安全,所有线程在内核态执行时都必须使用内核空间的内核栈,kernel stack, 一般大小是8KB或者12KB。


快速系统调用流程



逆向调用

内核态的代码也可以调用用户态的代码,即所谓的逆向调用。逆向调用的过程大致如下,首先内核代码使用内核函数KiCallUserMode发起调用,接下来的执行过程与从系统调用返回时类似,不过进入用户态执行的是NtDll的KiUserCallbackDispatcher。然后会调用内核希望调用的用户态函数。当用户态工作完成后,执行返回动作的函数会执行INT 2B指令,触发一个0X2B异常,这个异常的处理函数是内核态的KiCallbackReturn函数,于是通过INT 2B异常,CPU又回到了内核态。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值