3.API的调用过程（保存现场）

最新推荐文章于 2025-06-26 15:55:52 发布

My classmates

最新推荐文章于 2025-06-26 15:55:52 发布

阅读量1.2k

点赞数 1

CC 4.0 BY-SA版权

分类专栏： Windows系统调用

本文链接：https://blog.youkuaiyun.com/weixin_42052102/article/details/83098586

本文详细介绍了Windows操作系统中API调用的过程，特别是通过KiFastCallEntry和KiSystemService时，如何保存3环寄存器到_KTrap_Frame结构体中。涉及内容包括权限切换、TSS、KPCR、PEB结构、异常链表、先前模式以及调试状态的处理。最终，无论是快速调用还是中断进入，都会调用相同的后续代码。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

_KTrap_Frame 结构

kd> dt _KTrap_Frame
ntdll!_KTRAP_FRAME
	//调试系统服务
   +0x000 DbgEbp           : Uint4B
   +0x004 DbgEip           : Uint4B
   +0x008 DbgArgMark       : Uint4B
   +0x00c DbgArgPointer    : Uint4B
   
   //当需要调整栈时以下作为临时变量
   +0x010 TempSegCs        : Uint4B
   +0x014 TempEsp          : Uint4B

	//调试寄存器
   +0x018 Dr0              : Uint4B
   +0x01c Dr1              : Uint4B
   +0x020 Dr2              : Uint4B
   +0x024 Dr3              : Uint4B
   +0x028 Dr6              : Uint4B
   +0x02c Dr7              : Uint4B

	//段寄存器
   +0x030 SegGs            : Uint4B
   +0x034 SegEs            : Uint4B
   +0x038 SegDs            : Uint4B

	//易失寄存器
   +0x03c Edx              : Uint4B
   +0x040 Ecx              : Uint4B
   +0x044 Eax              : Uint4B
   
   //非易失性寄存器需要在中断例程中先保存
   +0x048 PreviousPreviousMode : Uint4B
   +0x04c ExceptionList    : Ptr32 _EXCEPTION_REGISTRATION_RECORD
   +0x050 SegFs            : Uint4B

	//非易失寄存器
   +0x054 Edi              : Uint4B
   +0x058 Esi