-
-
[已解决]
[求助]学习系统调用时遇到了一个问题,关于在KiSystemCall64中设置断点
50.00雪花
-
发表于:
2020-12-27 18:17
3398
-
[已解决] [求助]学习系统调用时遇到了一个问题,关于在KiSystemCall64中设置断点
50.00雪花
根据文档,syscall指令会从msr的lstar((0xC0000082)中读取地址作为rip,从windbg中我读取出来的地址是KiSystemCall64(Windows10 build 19042 我看到有些文章说是KiSystemCall64Shadow,应该是版本问题),因此我想在这里下断点一步步跟入,但是发现无法在这里下断,我想知道这是什么原因?是因为pg吗?
我搜了一些其他分析的文章也没有在这里下断点的,都是静态分析找到对应的内核函数后下断点
这是我操作的内容,在KiSystemCall64下断点之后t一下就直接到ret了
0: kd>
ntdll!NtQueueApcThread+0x10:
0033:00007ffb3c32c640 7503 jne ntdll!NtQueueApcThread+0x15 (00007ffb
3c32c645)
0: kd>
ntdll!NtQueueApcThread+0x12:
0033:00007ffb3c32c642 0f05 syscall
0: kd> rdmsr c0000082
msr[c0000082] = fffff802
3681e6c0
0: kd> u fffff8023681e6c0
nt!KiSystemCall64:
fffff802
3681e6c0 0f01f8 swapgs
fffff8023681e6c3 654889242510000000 mov qword ptr gs:[10h],rsp
fffff802
3681e6cc 65488b2425a8010000 mov rsp,qword ptr gs:[1A8h]
fffff8023681e6d5 6a2b push 2Bh
fffff802
3681e6d7 65ff342510000000 push qword ptr gs:[10h]
fffff8023681e6df 4153 push r11
fffff802
3681e6e1 6a33 push 33h
fffff8023681e6e3 51 push rcx
0: kd> bp ffff802
3681e6c0
0: kd> t
ntdll!NtQueueApcThread+0x14:
0033:00007ffb`3c32c644 c3 ret
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)