我想深入研究 ntdll!NtQueueApcThread,看看在执行系统调用指令后会发生什么。根据文档(Intel® 64 and IA-32 Architectures Software Developer's Manual),系统调用指令使用msr的LSTAR(0xC0000082)作为rip,所以我在nt!KiSystemCall64设置断点,这是我通过“rdmsr c0000082”。但它不起作用,我的调试器没有中断。看来syscall inst并没有跳转到msr中存储的地址。
这是我所做的:
0: kd>
ntdll!NtQueueApcThread+0x10:
0033:00007ffb`3c32c640 7503 jne ntdll!NtQueueApcThread+0x15 (00007ffb`3c32c645)
0: kd>
ntdll!NtQueueApcThread+0x12:
0033:00007ffb`3c32c642 0f05 syscall
0: kd> rdmsr c0000082
msr[c0000082] = fffff802`3681e6c0
0: kd> u fffff802`3681e6c0
nt!KiSystemCall64:
fffff802`3681e6c0 0f01f8 swapgs
fffff802`3681e6c3 654889242510000000 mov qword ptr gs:[10h],rsp
fffff802`3681e6cc 65488b2425a8010000 mov rsp,qword ptr gs:[1A8h]
fffff802`3681e6d5 6a2b push 2Bh
fffff802`3681e6d7 65ff342510000000 push qword ptr gs:[10h]
fffff802`3681e6df 4153 push r11
fffff802`3681e6e1 6a33 push 33h
fffff802`3681e6e3 51 push rcx
0: kd> bp ffff802`3681e6c0
0: kd> t
ntdll!NtQueueApcThread+0x14:
0033:00007ffb`3c32c644 c3 ret
目标系统版本为Windows10 build 19042
最佳答案
经过几天的研究,我知道问题出在哪里了。在正常情况下,在nt!KiSystemCall64 中设置断点会导致蓝屏,这是因为nt!KiSystemCall64 中的前三个指令是设置内核堆栈,这是windows 内核调试机制所需要的。所以解决方案是在设置内核堆栈后设置断点
bp nt!KiSystemCall64+0x15
在我的情况下,设置断点没有任何反应,好像断点不起作用,我猜是由于我安装的杀毒软件,它可能挂了一些东西。卸载后,断点生效。
关于windows - nt!KiSystemCall64 中的断点设置不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65367333/