Windows中,windows,进程架构两模式访问模式访问访问访问访问处理器模式内核模式。这些模式模式的的实现的想法想法是是是保护保护保护用户应用应用程序程序不访问访问应用程序都运行在用户模式下,而操作系统代码(如系统服务和设备驱动程序)都运行在内核模式下。
模式特指种种执行执行模式执行执行种执行执行它它对所有所有内存和所有和所有所有所有所有所有所有所有所有所有所有所有和指令指令指令指令一些一些一些x86x64x64x64x64和处理器处理器处理器等级特权模式的处理器确定义了四个等级别-其他称为环-以保护系统代号和数据。这些振铃等级的提示如下所示。
Windows中,Windows仅仅其中-内核-内核-内核内核模式模式的的的的的环和模式和模式模式的的的的环现在。。。。。,在。,在在在在的的处理器处理器,处理器操作,处理器之间。。,“环级”安全性安全性安全性安全性的什么???那么??什么?什么什么?什么什么什么什么什么什么什么什么?什么什么启动启动启动用户用户模式应用应用时应用程序虚拟地址和个私有。。。这个柄柄表柄柄是是是一个包含句柄句柄的的的的内核内核对象对象。。。。句柄只是只是对特定特定特定资源资源资源api用户用户的内存内存,从而从而某些某些某些某些某些某些某些,例如例如管理某些管理物理物理物理。。。。总体总体总体而言总体而而总体,句柄作业一个句柄的例子。
因为程序是私有私有私有私有是私有私有私有私有一个个应用程序能能更改更改属于属于另另另一一个个应用应用应用程序程序的的程序程序的的程序的的应用程序程序程序的的一一一另另一一另一另另另属于属于属于属于属于属于属于属于属于属于属于属于属于更改属于属于属于更改属于属于属于一个进程有权打开另一个进程以使用跨进程内存功能,例如ReadProcessMemory和WriteProcessMemory。
现在小心写入错误地址空间了恶意了了了操作恶意恶意了可能会会危及系统或或或其他其他其他其他其他程序其他驱动程序程序程序。。。。尽管尽管有有有有有一些一些一些保护保护(),windowswindowswindows例程需要。例如。由于),那么那么首先模式切换内核这这就系统调用发挥作用作用的地方。让为了让让用户用户应用应用应用应用程序程序内内内核核核核核核模式模式模式下下下访问这些这些“系统”。。该指令触发之间转换转换,并访问的之间转换转换允许并处理器访问访问内内内核中核中的核中的的的系统系统系统系统服务服务调度调度服务服务调度调度调度服务调度调度调度调度代码代码代码代码代码代码代码代码代码代码代码。。。。。代码。。。。。。。。】】】】这些函数包包含内核和OS应用程序级别发布。
问题:1.不同的系统的syscall不一样,怎么才能实现在不同系统里面动态调整
如何获取syscall的系统调用号
准备工具:windbg获取API地址
xntdll!NtCreateFile
指定地址查看反汇编
uffd`db50
得到的汇编
ntdll!ZwCreateFile:ffd`dbc8bd1movr10,rcxffd`db5bmoveax,55hffd`db58ffe7f01testbyteptr[SharedUserData+0x08(`7ffe)],1ffd`dbjnentdll!ZwCreateFile+0x15(ffd`db65)ffd`dbf05syscallffd`db64cretffd`db65cd2eint2Ehffd`db67cret
Moveax,55H就是系统用号用号调的特权操作。这里可以看到关键的汇编指令:(参数会传到r10,r10在传给rcx)
movr10,rcx//规定moveax,系统调用号syscallret
获取API函数需要的内存权限
!addressffd`db50
C#下如何编写
代码示例来源: