首页
社区
课程
招聘
[求助]SYSENTER进到那里了?怎么跟踪到代码?
发表于: 2008-11-27 19:14 5454

[求助]SYSENTER进到那里了?怎么跟踪到代码?

2008-11-27 19:14
5454
本人是个初学者,准备过NP和TesSafe。

看了一些如何过NP的文章,知道了一些方法,感觉都不是太满意,不够简便,也不能一劳永逸。

本来想跟踪API的全过程,不过只跟踪到SYSYENTER指令就无法继续了。

请问两个问题:
1:SYSENTER是不是跟中断指令类似,只传入一个参数的指针,代码在固定的地方(或者从那里JMP到真正的代码处)
2:上一个问题所说的代码,能否被NP或者TesSafe等程序修改
3:  SYSENTER是特权指令吗?RING3应该可以执行吧(今天感冒,不想写程序实验);

  我最希望的答案是:1,SYSTENTER可以在RING3执行,2,SYSENTER以后的代码任何程序都无法修改,如果真是这样,好象任何防卫措施都没啥意义

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
  估计没那么简单,SYSENTER的调用肯定会有些什么希奇古怪限制的,不然还不世界大乱。。。。。。。。。。。。
2008-11-27 19:26
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
继续查资料:
sysenter 指令用于由 Ring3 进入 Ring0,SYSEXIT 指令用于由 Ring0 返回 Ring3。由于没有特权级别检查的处理,也没有压栈的操作,所以执行速度比 INT n/IRET 快了不少。
2008-11-27 19:28
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
现在只剩下一个问题了:

其他程序能修改SYSENTER以后的代码吗?
2008-11-27 19:30
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
刚查到 windbg,softICE可以跟踪到内核,看来用OD真是老土了。。。。。
2008-11-27 19:39
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
哈哈,原来早有人做这个了,加个动态构造自己的API,一切OK!

http://bbs.pediy.com/showthread.php?t=71377&highlight=SYSENTER
2008-11-27 19:52
0
游客
登录 | 注册 方可回帖
返回
//