salut, petite rectification :
en ce qui concerne les syscalls windows, avec un sysenter, on ne jump pas directement dans KiSystemService, MSR_EIP pointe en réalité sur KiFastCallEntry, qui par la suite pushera des données sur la pile et appelera KiSystemService qui lui appelera le service en question.
[...] cette opération est de faire appel à l’instruction SYSENTER, je vous laisser lire le post SYSENTER, stepping into da ring0. Il existe d’autres façons de passer en ring0, une méthode que je trouve assez peu connu [...]
4.
Null | octobre 19th, 2011 at 15:52
Iop, en fait, je crois que la suite d’appels est :
4 Comments
1. Touronster | février 27th, 2007 at 17:24
salut, petite rectification :
en ce qui concerne les syscalls windows, avec un sysenter, on ne jump pas directement dans KiSystemService, MSR_EIP pointe en réalité sur KiFastCallEntry, qui par la suite pushera des données sur la pile et appelera KiSystemService qui lui appelera le service en question.
Sinon c’est cool.. salut !
2. admin | février 27th, 2007 at 23:22
Exact on peut le voir sous le kd avec :
kd> ln 0804de6f0
(804de6f0) nt!KiFastCallEntry
merci
3. Ivanlef0u’s Blog &r&hellip | novembre 2nd, 2007 at 16:46
[...] cette opération est de faire appel à l’instruction SYSENTER, je vous laisser lire le post SYSENTER, stepping into da ring0. Il existe d’autres façons de passer en ring0, une méthode que je trouve assez peu connu [...]
4. Null | octobre 19th, 2011 at 15:52
Iop, en fait, je crois que la suite d’appels est :
- SYSENTER
- KiFastCallEntry
- ZwFonction
- KiSystemService
- NtFonction
Trackback this post