当前位置：网站首页>SYSCALL SWAPGS

SYSCALL SWAPGS

2022-07-30 16:56:00 【ma_de_hao_mei_le】

references:

swapgs指令会将GS寄存器的值和MSR地址为C0000102H（IA32_KERNEL_GS_BASE）的值进行交换

当时用SYSCALL实现系统调用的时候，不存在内核栈空间，也不存在指向保存了内核栈空间内核结构的指针

因此，内核没办法去保存通用寄存器的值或者引用的内存里的值

关于为什么要保存通用寄存器或者内存里的值到栈里面请参考这篇文章：https://blog.csdn.net/ma_de_hao_mei_le/article/details/124604874

SWAPGS指令不需要任何操作数

在使用该指令之前不需要保存任何通用寄存器，

在交换完毕之后就可以使用GS作为段地址来访问内核结构了

尝试给nt!KiSystemCall64函数下断点，下完断点之后g直接导致虚拟机崩溃了

在这里插入图片描述

后来网上搜可一下

说是因为该函数的前三条指令是用于设置内核栈空间的，内核调试需要先执行这三条指令来设置栈空间，也就是说这三条指令上面是不能下断点的，需要往后偏移

还有就是如果断点一直不被触发，有可能是因为目标机器上装了什么杀软导致的，卸载再尝试一下

在这里插入图片描述

从push 2B那条指令开始调试，也就是bp nt!KiSystemCall64+0x15

版权声明
本文为[ma_de_hao_mei_le]所创，转载请带上原文链接，感谢
https://blog.csdn.net/ma_de_hao_mei_le/article/details/126048975