初窥Windows内核——学习Windows Research Kernel手记(四)

最新推荐文章于 2025-02-26 23:00:17 发布
最新推荐文章于 2025-02-26 23:00:17 发布
阅读量3.7k 收藏 2
点赞数
分类专栏: Windows内核学习 文章标签: windows struct thread exception user 64bit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/saict/article/details/3564815
版权
本文介绍了如何在Windows中记录和恢复用户栈。通过获取TrapFrame中的esp寄存器状态来找到栈顶地址,从TEB的NtTib结构中获取栈底地址,从而计算出栈大小。利用PspRecordOrCopyData函数实现记录/恢复操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

STEP 3——记录/恢复用户栈

    有了前面的基础,要完成用户栈的记录也不是难事了。基本思路就是想办法找到用户栈的栈底地址,再找到栈顶地址,计算出栈的大小,然后调用函数PspRecordOrCopyData即可。

    栈顶的地址是由栈顶指针esp寄存器保存的。前面已经说过,在系统调用时,使用的是内核栈,所以当前的esp寄存器并不是我们所期望的。那么这个栈顶地址应该去哪儿找呢。答案还是在那个“陷阱帧”TrapFrame里。TrapFrame记录了用户线程的寄存器状态,里面自然就包括esp寄存器的状态了。

    剩下的就是获得栈底地址了。在Windows里,一个线程的用户空间的信息都记录在了TEB中,而TEB中又有一个域叫做NtTib,这里面就存放着有关用户站的信息。由于TEB结构过于复杂,这里只列举涉及到的,完整的定义在这一部分的末尾给出。

typedef struct PEBTEB_STRUCT(_TEB) {

PEBTEB_STRUCT(NT_TIB) NtTib;

….

}

typedef struct _NT_TIB {

    struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList;

    PVOID StackBase;

    PVOID StackLimit;

    PVOID SubSystemTib;

    union {

        PVOID FiberData;

        ULONG Version;

    };

    PVOID ArbitraryUserPointer;

    struct _NT_TIB *Self;

最低0.47元/天 解锁文章
Windows内核——学习Windows Research Kernel手记(一)
SaiCT的专栏
12-19 8787
 小序 当只是抱着试一试的想法去找老师的,结果就这么开始了。从一开始拿到Windows Research Kernel(以后简称WRK)我就知道这些材料,包括源码、文档、实例范例等等,都是十分难得的。使用是有限制的,只能用于教学研究,微软对于这些是有版权的,我们都要遵循其协议的要求种种。其实老师也说过,他自己对这个版权上的事也不是很清楚。那我当然就更不清楚了。大概知道不能用于商业,最
Windows内核——学习Windows Research Kernel手记(二)
SaiCT的专栏
12-19 3715
STEP 1——编写一个最简单的系统调用最简单的系统调用当然是调了它之后什么都不干了,但是我还是决定让它干一件很是经典的事情,想调试器输出一条语句“Hello World!”。几乎每种编程技术的开始都有由一个名为“HelloWorld”的程序开始,我不想破坏这一传统。下面我们就来一步步完成这个系统调用。完成这个系统掉用共需要修改2个内核文件,并要编写一个用户程序来调用这个系统调用。首先
汇编语言学习笔记!个人详细总结版!
最新发布
qq_62554190的博客
02-26 936
汇编语言学习笔记!个人详细总结版!
Windows内核学习(1)
Air_cat的博客
11-12 379
Windows内核学习 内存、进程、线程、I/O等 核心体 设备驱动 硬件抽象层(HAL) 内存布局 2GB内核空间 0xffffffff 64kb非法空间 0X7FFFFFFF 进程空间 0X7FFF000 64kbNULL空间 ...
windows research kernel
03-25
windows research kernel project,包含 WRK代码,NT design 文档, CRK教程PPT
Windows内核学习:I/O系统
shenzi的天空
10-12 5793
作者:shenzi链接:http://blog.youkuaiyun.com/shenziWindows内核学习:I/O系统1.I/O系统组件    Windows的I/O系统如图1所示,由几个可执行模块和设备驱动程序组成。图1:I/O系统组件I/O管理器将应用程序和系统组件连接到虚拟的、逻辑的以及物理的设备上
Windows内核学习:OS体系结构
shenzi的天空
09-17 7023
作者:shenzi链接:http://blog.youkuaiyun.com/shenziWindows内核学习:OS体系结构Windows发展史      Windows NT(New Technology)Windows核心内核Windows操作系统的演化也就是Windows NT内核的演化。我们最为熟悉的Windows XP系统是基于NT5.1内核
Windows系统架构(winddows内核学习)
u013677637的博客
07-04 5955
1.strcat_s要求字符串数组不能是未进行任何操作的 比如char szText[256]; char szTemp[256]=“hahahah”; strcat(szText,szTemp);会报错
Windows Research Kernel
井底之蛙
11-26 6361
Windows Research Kernel - WRK The Windows Research Kernel (WRK) packages core Microsoft Windows XP x64/Server 2003 SP1 kernel source code with an environment for building and testing experimental vers
windows内核对象学习
程序员沙子的专栏
09-23 1055
何为内核对象和句柄: Windows程序开发,需要创建和操作内核对象。内核对象的本质是一个内存块,由操作系统的内核进行分配,并且只可以由操作系统内核来访问。这个内存块存放一个特定的数据结构,结构成员维护与对象相关的信息。我们的应用程序无法直接访问这个数据结构,需要调用特定的函数,这些特定的函数将操作这些数据结构。在创建内核对象的函数返回时,都会得到一个handle(句柄),句柄标示一个内核对象,
Windows内核学习笔记(一)
Christine2008的专栏
11-19 799
Windows采用了双内核结构,操作系统核心运行在内核模式下,应用程序运行在用户模式下。当应用程序需要用到内核内核扩展模块的服务时,使用硬件指令从用户模式切换至内核模式,等服务完成再切回用户模式。Windows支持多环境子系统,除了Windows子系统外,还支持POSIX和OS/2环境子系统。
Windows 内核研究学习全资料 精华
07-23
想深入理解windows内核机制的一些好资料集结。 通过这些,可以让我们从内核理解windows的行为和机制。 对以后的编程和项目有很大的帮助。 也是走向“高手”的必读!
Windows-Research-Kernel-WRK-:Windows研究内核源代码-windows source code
03-25
Windows研究内核WRK- Windows研究内核源代码 版权所有(c)Microsoft Corporation。 版权所有。 如果您同意Windows Research Kernel源代码许可协议的条款(请参阅License.txt),则只能使用此代码。 如果您不同意这些条款,请不要使用该代码。 WRK v1.2 Windows Research Kernel v1.2包含Windows(NTOS)内核核心的源以及将在x86(Windows Server 2003 Service Pack 1)和amd64Windows XP x64 Professional)上运行的内核的构建环境。该版本可能还支持在Windows XP x86系统上引导WRK内核,但是由于某些共享结构的差异,当前内核将无法引导。 NTOS内核实现了用于进程,线程,虚拟内存和缓存管理器,I / O管理
Windows内核编程学习1:构建HelloWorld
github_66363853的博客
02-01 989
#include <ntddk.h> VOID DriverUnload(PDRIVER_OBJECT driver) { DbgPrint("HW: Our driver is unloading...\r\n"); driver = driver; } NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path) { DbgPrint("HW: Hello, World!\r\n"); reg_path = reg_
windows内核学习-内存管理
weixin_45880501的博客
09-29 1392
内存管理 使用virtualkd+windbg+winxp sp3 进行双机调试, kd> ! process 0 0 查看所有进程 查看notepad.exe进程EPROCESS结构体 kd> dt _EPROCESS 81c502a0 0x11c VADRoot :是一个搜索二叉树的入口点 ,树的每一个节点记录了被占用的虚拟内存地址空间,这个搜索二叉树就是VAD树。 VAD的属性以及遍历 VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树 使用VirtualAlloca
ObpLookupEntryDirectory(Windows内核学习笔记)
KOOKNUT的博客
04-08 331
/*++ * @name ObpLookupEntryDirectory * * The ObpLookupEntryDirectory routine <FILLMEIN>. * * @param Directory * <FILLMEIN>. * * @param Name * <FILLMEIN>. * * @param...
内核句柄表(Windows内核学习笔记)
KOOKNUT的博客
04-05 884
每个有效的句柄都对应着句柄表中的一个表项,表项在句柄表中的位置取决于句柄的值。每当进程创建或者打开一个对象,要为之创建句柄并将其插入句柄表的时候,需要一个临时的HANDLE_TABLE_ENTRY数据结构,用ExCreateHandle将其安装到句柄表中,而该函数返回句柄,句柄的值表明了安装的位置,也是目标表项在句柄表中的下标。
内核对象(Windows内核学习笔记)
KOOKNUT的博客
04-07 495
对象,是一个特殊的数据结构,用来定义受保护得实体,我们平时所说得对象实际上是对象体,例如进程对象,就是EPROCESS。所以内核对象不能直接被用户层进行操作,那我们只能通过句柄。句柄是一个指向对象得指针。对象具有唯一性,但是句柄可以有多个,也就是说一个对象可以有多个句柄来引用它,对它进行操作。用来管理命名对象的东西,叫做对象目录,对象目录我在后面会做介绍。
WINDOWS内核学习步骤
weixin_30552811的博客
11-09 743
(一)内核驱动入门 1.驱动级HelloWorld 2.驱动框架理解 (二)内核开发基础 3.驱动级文件与注册表操作 4.中断运行级别 5.同步与多线程 6.内核数据结构 7.应用程序与驱动通信与弹窗 (三)内核高级技术 8.DKOM 9.HOOK/DKOH 10.回调(进程/线程/模块/注册表等) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值