论坛 › Windows程序设计 › 【win10】win7 到 win10 用户层API调用变化

川本姨夫 发表于 2015-12-11 18:23:09

【win10】win7 到 win10 用户层API调用变化

自己的笔记，不一定正确，切勿照搬
从win7到win10，很多KERNEL32中的函数都搬家到了KERNELBASE中，比如CreateProcess之类的，而Kernel32中则只留下了一个存根函数CreateProcessWStub，上windbg附加另一个windbg，下断 bp kernel32!createprocesswstub果然断下了，kn回溯看到如下：
dbgeng!DebugCreate-->kernel32!CreateProcessWStub-->kernelbase!CreateProcessW

(这就是以前的CreateProcessW)
反汇编一下 kernel32!createprocesswstub：

KERNEL32!CreateProcessWStub:
00007ffe`8ff53b00 4c8bdc          mov   r11,rsp
00007ffe`8ff53b03 4883ec58      sub   rsp,58h//局部变量占用58h字节
00007ffe`8ff53b07 488b8424a8000000 mov   rax,qword ptr //复制参数作为下个函数的参数
00007ffe`8ff53b0f 498943f0      mov   qword ptr ,rax
00007ffe`8ff53b13 488b8424a0000000 mov   rax,qword ptr
00007ffe`8ff53b1b 498943e8      mov   qword ptr ,rax
00007ffe`8ff53b1f 488b842498000000 mov   rax,qword ptr
00007ffe`8ff53b27 498943e0      mov   qword ptr ,rax
00007ffe`8ff53b2b 488b842490000000 mov   rax,qword ptr
00007ffe`8ff53b33 498943d8      mov   qword ptr ,rax
00007ffe`8ff53b37 8b842488000000mov   eax,dword ptr
00007ffe`8ff53b3e 89442428      mov   dword ptr ,eax
00007ffe`8ff53b42 8b842480000000mov   eax,dword ptr
00007ffe`8ff53b49 89442420      mov   dword ptr ,eax
00007ffe`8ff53b4d ff152d260500    call    qword ptr
00007ffe`8ff53b53 4883c458      add   rsp,58h
00007ffe`8ff53b57 c3            ret



反正就是对参数做了些处理然后就调用KernelBase!CreateProcessW了，你说没看到？ 这里的KERNEL32!_imp_CreateProcessW就是
0:004>dq 7ffe8ffa6180
00007ffe`8ffa618000007ffe`8dcbc960 00007ffe`8dce7950
0:004>uf 00007ffe`8dcbc960
KERNELBASE!CreateProcessW:
对，就是输入表里指向的KernelBase!CreateProcessW！
然后它又调用了KERNELBASE!CreateProcessInternalW，而且是原封不动地调用，自己什么都没做
就不贴代码了，太长，期间两个重要的函数贴出来


DbgUiConnectToDbg DbgUiGetThreadDebugObject
最后处理完后调用了ntdll!NtCreateUserProcess:代码：
00007ffe`90c86520 4c8bd1          mov   r10,rcx
00007ffe`90c86523 b8bb000000      mov   eax,0BBh
00007ffe`90c86528 f604250803fe7f01 test    byte ptr ,1
00007ffe`90c86530 7503            jne   ntdll!NtCreateUserProcess+0x15 (00007ffe`90c86535)
00007ffe`90c86532 0f05            syscall
00007ffe`90c86534 c3            ret
00007ffe`90c86535 cd2e            int   2Eh
00007ffe`90c86537 c3            ret


这个简单了，因为参数都已经布置好了，eax中放入服务号，如果支持快速系统服务就syscall否则int 2e，剩下的就是内核的事情了。

总结一下，KERNELBASE!CreateProcessInternalW做了几乎所有的用户层工作，ntdll!NtCreateUserProcess负责把调用传进内核，KERNELBASE!CreateProcessW和KERNEL32!CreateProcessWStub完全就是路过，啥都不做，只是传递了一下参数。

～风介～ 发表于 2015-12-11 23:59:23

Windows程序设计没学到家.....{:9_240:}

苦哈哈哈 发表于 2015-12-25 21:32:47

支持支持

查看完整版本: 【win10】win7 到 win10 用户层API调用变化