当前位置:网站首页>SYSCALL SWAPGS
SYSCALL SWAPGS
2022-07-30 16:56:00 【ma_de_hao_mei_le】
友链
references:
swapgs指令会将GS寄存器的值和MSR地址为C0000102H(IA32_KERNEL_GS_BASE)的值进行交换
当时用SYSCALL实现系统调用的时候,不存在内核栈空间,也不存在指向保存了内核栈空间内核结构的指针
因此,内核没办法去保存通用寄存器的值或者引用的内存里的值
关于为什么要保存通用寄存器或者内存里的值到栈里面请参考这篇文章:https://blog.csdn.net/ma_de_hao_mei_le/article/details/124604874
SWAPGS指令不需要任何操作数
在使用该指令之前不需要保存任何通用寄存器,
在交换完毕之后就可以使用GS作为段地址来访问内核结构了
尝试给nt!KiSystemCall64函数下断点,下完断点之后g直接导致虚拟机崩溃了
后来网上搜可一下
https://stackoverflow.com/questions/65367333/breakpoint-setting-in-ntkisystemcall64-not-working
说是因为该函数的前三条指令是用于设置内核栈空间的,内核调试需要先执行这三条指令来设置栈空间,也就是说这三条指令上面是不能下断点的,需要往后偏移
还有就是如果断点一直不被触发,有可能是因为目标机器上装了什么杀软导致的,卸载再尝试一下
从push 2B那条指令开始调试,也就是bp nt!KiSystemCall64+0x15
边栏推荐
猜你喜欢
What does a good resume look like in the eyes of a big factory interviewer?
一篇文 带你搞懂,虚拟内存、内存分页、分段、段页式内存管理(超详细)
23. Please talk about the difference between IO synchronization, asynchronous, blocking and non-blocking
登录模块调试-软件调试入门
浅谈在线编辑器中增量编译技术的应用
2022-07-30 Androd 进入深度休眠后把WIFI给关掉,唤醒之后重新打开WIFI
全职做自媒体靠谱吗?
基于STM32F407使用ADC采集电压实验
Win11如何把d盘空间分给c盘?Win11d盘分盘出来给c盘的方法
Rounding out the most practical way of several DLL injection
随机推荐
Daily practice------Generate 13-digit bar, Ean-13 code rule: The thirteenth digit is the check code obtained by the calculation of the first twelve digits.
DTSE Tech Talk丨Phase 2: 1 hour in-depth interpretation of SaaS application system design
你是一流的输家,你因此成为一流的赢家
torch.optim.Adam() 函数用法
lotus 1.16.0 最小快照导出 导入
UI测试新方法:视觉感知测试详解
gvim命令记录
浅谈在线编辑器中增量编译技术的应用
腾讯专家献上技术干货,带你一览腾讯广告召回系统的演进
【综合类型第 34 篇】喜讯!喜讯!!喜讯!!!,我在 CSDN 的第一个实体铭牌
初识二叉搜索树
第一次用debug查询,发现这个为空,是不是代表还没获得数据库的意思?求帮助。
[NCTF2019] Fake XML cookbook-1|XXE vulnerability|XXE information introduction
Security business revenue growth rate exceeds 70% 360 builds digital security leader
lotus 爆块失败
Mirror stand to collect
C# 跨程序传图(共享内存块传图)跨exe传图
支付系统架构设计详解,精彩!
[HarekazeCTF2019]Avatar Uploader 1
PHP message feedback management system source code