出于研究目的,我正在尝试在 Windows 系统调用中找到特定模式。
到目前为止,我一直在研究 Windows dll,例如 ntdll.dll、user32.dll
等,但这些似乎只包含用于准备跳转到系统调用的包装代码。例如:
mov eax, 101Eh
lea edx, [esp+arg_0]
mov ecx, 0
call large dword ptr fs:0C0h
retn 10h
我猜 call large dword ptr fs:0C0h
指令是链中的另一个网关,最终通向实际的程序集,但我想知道是否可以直接到达该程序集。
最佳答案
您正在查找错误的dll
。系统调用位于 ntoskrnl.exe
中。
如果您查看 ntoskrnl.exe
中的 NtOpenFile()
,您会看到:
mov r11, rsp
sub rsp, 88h
mov eax, [rsp+88h+arg_28]
xor r10d, r10d
mov [r11-10h], r10
mov [rsp+88h+var_18], 20h ; int
mov [r11-20h], r10d
mov [r11-28h], r10
mov [r11-30h], r10d
mov [r11-38h], r10d
mov [r11-40h], r10
mov [rsp+88h+var_48], eax ; int
mov eax, [rsp+88h+arg_20]
mov [rsp+88h+var_50], 1 ; int
mov [rsp+88h+var_58], eax ; int
mov [r11-60h], r10d
mov [r11-68h], r10
call IopCreateFile
add rsp, 88h
retn
这是函数的真正主体。大部分工作是在 IopCreateFile()
中完成的,但您可以静态地跟踪它并进行任何您需要的分析。
关于windows - 如何静态获取Windows系统调用程序集?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47618740/