当前位置:网站首页>SYSCALL SWAPGS
SYSCALL SWAPGS
2022-07-30 16:56:00 【ma_de_hao_mei_le】
友链
references:
swapgs指令会将GS寄存器的值和MSR地址为C0000102H(IA32_KERNEL_GS_BASE)的值进行交换
当时用SYSCALL实现系统调用的时候,不存在内核栈空间,也不存在指向保存了内核栈空间内核结构的指针
因此,内核没办法去保存通用寄存器的值或者引用的内存里的值
关于为什么要保存通用寄存器或者内存里的值到栈里面请参考这篇文章:https://blog.csdn.net/ma_de_hao_mei_le/article/details/124604874
SWAPGS指令不需要任何操作数
在使用该指令之前不需要保存任何通用寄存器,
在交换完毕之后就可以使用GS作为段地址来访问内核结构了
尝试给nt!KiSystemCall64函数下断点,下完断点之后g直接导致虚拟机崩溃了
后来网上搜可一下
https://stackoverflow.com/questions/65367333/breakpoint-setting-in-ntkisystemcall64-not-working
说是因为该函数的前三条指令是用于设置内核栈空间的,内核调试需要先执行这三条指令来设置栈空间,也就是说这三条指令上面是不能下断点的,需要往后偏移
还有就是如果断点一直不被触发,有可能是因为目标机器上装了什么杀软导致的,卸载再尝试一下
从push 2B那条指令开始调试,也就是bp nt!KiSystemCall64+0x15
边栏推荐
猜你喜欢
onenote使用
万华化学精细化工创新产品大会
How does the new retail saas applet explore the way to break the digital store?
SLIM: Sparse Linear Methods (TopN推荐)
23. Please talk about the difference between IO synchronization, asynchronous, blocking and non-blocking
DTSE Tech Talk丨第2期:1小时深度解读SaaS应用系统设计
![[MRCTF2020]Ezaudit](/img/80/d4656abdff20703591ffdc3f5a5ebc.png)
[MRCTF2020]Ezaudit
Security business revenue growth rate exceeds 70% 360 builds digital security leader
理解实现搜索二叉树
每日一题:两数之和
随机推荐
KDD‘21推荐系统离散特征表征无embedding table Learning to Embed Categorical Features without Embedding Tables for
Rounding out the most practical way of several DLL injection
论文阅读 (63):Get To The Point: Summarization with Pointer-Generator Networks
万华化学精细化工创新产品大会
MySQL 8.0.29 解压版安装教程(亲测有效)
向量检索基础方法总结
服务器装好系统的电脑怎么分区
2022-07-30 Androd 进入深度休眠后把WIFI给关掉,唤醒之后重新打开WIFI
huato 热更新环境搭建(DLL方式热更新C#代码)
Visual Studio编辑器 2019:scanf函数返回值被忽略(C4996)报错及解决办法
[NCTF2019] Fake XML cookbook-1|XXE vulnerability|XXE information introduction
bert-base调试心得
京东获取推荐商品列表 API
DTSE Tech Talk丨第2期:1小时深度解读SaaS应用系统设计
牛客网刷题——运算符问题
mysql进制安装与mysql密码破解
查询表中开始日期与结束日期
理解实现搜索二叉树
SwiftUI SQLite教程之带有历史的搜索栏List App (教程含完整代码)
Explore CSAPP Experiment 2-bomb lab-Section 1