【win10】win7 到 win10 用户层API调用变化

川本姨夫 · 发表于 2015-12-11 18:23:09

马上注册，结交更多好友，享用更多功能^_^

您需要登录才可以下载或查看，没有账号？立即注册

x

自己的笔记，不一定正确，切勿照搬
从win7到win10，很多KERNEL32中的函数都搬家到了KERNELBASE中，比如CreateProcess之类的，而Kernel32中则只留下了一个存根函数CreateProcessWStub，上windbg附加另一个windbg，下断 bp kernel32!createprocesswstub果然断下了，kn回溯看到如下：

dbgeng!DebugCreate-->kernel32!CreateProcessWStub-->kernelbase!CreateProcessW

(这就是以前的CreateProcessW)
反汇编一下 kernel32!createprocesswstub：

KERNEL32!CreateProcessWStub:  
00007ffe`8ff53b00 4c8bdc          mov     r11,rsp 
00007ffe`8ff53b03 4883ec58        sub     rsp,58h//局部变量占用58h字节  
00007ffe`8ff53b07 488b8424a8000000 mov     rax,qword ptr [rsp+0A8h]//复制参数作为下个函数的参数  
00007ffe`8ff53b0f 498943f0        mov     qword ptr [r11-10h],rax  
00007ffe`8ff53b13 488b8424a0000000 mov     rax,qword ptr [rsp+0A0h]  
00007ffe`8ff53b1b 498943e8        mov     qword ptr [r11-18h],rax  
00007ffe`8ff53b1f 488b842498000000 mov     rax,qword ptr [rsp+98h]  
00007ffe`8ff53b27 498943e0        mov     qword ptr [r11-20h],rax  
00007ffe`8ff53b2b 488b842490000000 mov     rax,qword ptr [rsp+90h]  
00007ffe`8ff53b33 498943d8        mov     qword ptr [r11-28h],rax  
00007ffe`8ff53b37 8b842488000000  mov     eax,dword ptr [rsp+88h]  
00007ffe`8ff53b3e 89442428        mov     dword ptr [rsp+28h],eax  
00007ffe`8ff53b42 8b842480000000  mov     eax,dword ptr [rsp+80h]  
00007ffe`8ff53b49 89442420        mov     dword ptr [rsp+20h],eax  
00007ffe`8ff53b4d ff152d260500    call    qword ptr [KERNEL32!_imp_CreateProcessW (00007ffe`8ffa6180)]  
00007ffe`8ff53b53 4883c458        add     rsp,58h  
00007ffe`8ff53b57 c3              ret

反正就是对参数做了些处理然后就调用KernelBase!CreateProcessW了，你说没看到？这里的KERNEL32!_imp_CreateProcessW就是
0:004>dq 7ffe8ffa6180
00007ffe`8ffa6180 00007ffe`8dcbc960 00007ffe`8dce7950
0:004>uf 00007ffe`8dcbc960
KERNELBASE!CreateProcessW:
对，就是输入表里指向的KernelBase!CreateProcessW！
然后它又调用了KERNELBASE!CreateProcessInternalW，而且是原封不动地调用，自己什么都没做
就不贴代码了，太长，期间两个重要的函数贴出来

DbgUiConnectToDbg DbgUiGetThreadDebugObject
最后处理完后调用了ntdll!NtCreateUserProcess:代码：

00007ffe`90c86520 4c8bd1          mov     r10,rcx  
00007ffe`90c86523 b8bb000000      mov     eax,0BBh  
00007ffe`90c86528 f604250803fe7f01 test    byte ptr [SharedUserData+0x308 (00000000`7ffe0308)],1  
00007ffe`90c86530 7503            jne     ntdll!NtCreateUserProcess+0x15 (00007ffe`90c86535)  
00007ffe`90c86532 0f05            syscall  
00007ffe`90c86534 c3              ret  
00007ffe`90c86535 cd2e            int     2Eh  
00007ffe`90c86537 c3              ret

这个简单了，因为参数都已经布置好了，eax中放入服务号，如果支持快速系统服务就syscall否则int 2e，剩下的就是内核的事情了。

总结一下，KERNELBASE!CreateProcessInternalW做了几乎所有的用户层工作，ntdll!NtCreateUserProcess负责把调用传进内核，KERNELBASE!CreateProcessW和KERNEL32!CreateProcessWStub完全就是路过，啥都不做，只是传递了一下参数。

～风介～ · 发表于 2015-12-11 23:59:23

Windows程序设计没学到家.....

苦哈哈哈 · 发表于 2015-12-25 21:32:47

支持支持

账号		自动登录	找回密码
密码			立即注册

[技术交流] 【win10】win7 到 win10 用户层API调用变化

马上注册，结交更多好友，享用更多功能^_^

评分