4 Comments

  • 1. Touronster  |  février 27th, 2007 at 17:24

    salut, petite rectification :
    en ce qui concerne les syscalls windows, avec un sysenter, on ne jump pas directement dans KiSystemService, MSR_EIP pointe en réalité sur KiFastCallEntry, qui par la suite pushera des données sur la pile et appelera KiSystemService qui lui appelera le service en question.

    Sinon c’est cool.. salut !

  • 2. admin  |  février 27th, 2007 at 23:22

    Exact on peut le voir sous le kd avec :
    kd> ln 0804de6f0
    (804de6f0) nt!KiFastCallEntry
    merci :)

  • 3. Ivanlef0u’s Blog &r&hellip  |  novembre 2nd, 2007 at 16:46

    [...] cette opération est de faire appel à l’instruction SYSENTER, je vous laisser lire le post SYSENTER, stepping into da ring0. Il existe d’autres façons de passer en ring0, une méthode que je trouve assez peu connu [...]

  • 4. Null  |  octobre 19th, 2011 at 15:52

    Iop, en fait, je crois que la suite d’appels est :

    - SYSENTER
    - KiFastCallEntry
    - ZwFonction
    - KiSystemService
    - NtFonction

Trackback this post