-
-
[求助]win10 systemcall 的进入内核路线与win7不同
-
发表于:
2017-3-23 21:28
3118
-
[求助]win10 systemcall 的进入内核路线与win7不同
win10 systemcall 的进入内核路线与win7不同,hook nt函数返回C0000005问题
win10流程
77B9E690 > B8 A9000000 mov eax,0xA9 //调用NT函数
77B9E695 BA 3023BB77 mov edx,ntdll.77BB2330
77B9E69A FFD2 call edx
77B9E69C C2 1000 retn 0x10
77BB2330 - FF25 1812C477 jmp dword ptr ds:[Wow64Transition] ; wow64cpu.507E7000//进入ntdll.dll(win7没有这个步骤)这个处理方法我不太明白,为什么不和win7一样直接call fs:[0C0H],为什么要在这里做个跳转呢?
507E7000 EA 09707E50 330>jmp far 0033:507E7009 //进入ring0
507E7007 0000 add byte ptr ds:[eax],al
507E7009 41 inc ecx //这个win7也是没有的,这样做为什么
507E700A FFA7 F8000000 jmp dword ptr ds:[edi+0xF8]
我模拟这个流程做的hook,最后hooknt 函数都返回C0000005,哪位朋友指点我一下,感谢。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
