设为首页收藏本站
切换到窄版

鱼C论坛

 找回密码
 立即注册
鱼C论坛»论坛 技术交流 Windows程序设计 【win10】win7 到 win10 用户层API调用变化
返回列表 发新帖
查看: 7440|回复: 2

[技术交流] 【win10】win7 到 win10 用户层API调用变化

[复制链接]
川本姨夫
发表于 2015-12-11 18:23:09 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能^_^

您需要 登录 才可以下载或查看,没有账号?立即注册

x
自己的笔记,不一定正确,切勿照搬
从win7到win10,很多KERNEL32中的函数都搬家到了KERNELBASE中,比如CreateProcess之类的,而Kernel32中则只留下了一个存根函数CreateProcessWStub,上windbg附加另一个windbg,下断 bp kernel32!createprocesswstub果然断下了,kn回溯看到如下:
  1. dbgeng!DebugCreate-->kernel32!CreateProcessWStub-->kernelbase!CreateProcessW
复制代码


(这就是以前的CreateProcessW)
反汇编一下 kernel32!createprocesswstub:

  2. KERNEL32!CreateProcessWStub:  
  3. 00007ffe`8ff53b00 4c8bdc          mov     r11,rsp
  4. 00007ffe`8ff53b03 4883ec58        sub     rsp,58h//局部变量占用58h字节  
  5. 00007ffe`8ff53b07 488b8424a8000000 mov     rax,qword ptr [rsp+0A8h]//复制参数作为下个函数的参数  
  6. 00007ffe`8ff53b0f 498943f0        mov     qword ptr [r11-10h],rax  
  7. 00007ffe`8ff53b13 488b8424a0000000 mov     rax,qword ptr [rsp+0A0h]  
  8. 00007ffe`8ff53b1b 498943e8        mov     qword ptr [r11-18h],rax  
  9. 00007ffe`8ff53b1f 488b842498000000 mov     rax,qword ptr [rsp+98h]  
  10. 00007ffe`8ff53b27 498943e0        mov     qword ptr [r11-20h],rax  
  11. 00007ffe`8ff53b2b 488b842490000000 mov     rax,qword ptr [rsp+90h]  
  12. 00007ffe`8ff53b33 498943d8        mov     qword ptr [r11-28h],rax  
  13. 00007ffe`8ff53b37 8b842488000000  mov     eax,dword ptr [rsp+88h]  
  14. 00007ffe`8ff53b3e 89442428        mov     dword ptr [rsp+28h],eax  
  15. 00007ffe`8ff53b42 8b842480000000  mov     eax,dword ptr [rsp+80h]  
  16. 00007ffe`8ff53b49 89442420        mov     dword ptr [rsp+20h],eax  
  17. 00007ffe`8ff53b4d ff152d260500    call    qword ptr [KERNEL32!_imp_CreateProcessW (00007ffe`8ffa6180)]  
  18. 00007ffe`8ff53b53 4883c458        add     rsp,58h  
  19. 00007ffe`8ff53b57 c3              ret  
复制代码




反正就是对参数做了些处理然后就调用KernelBase!CreateProcessW了,你说没看到? 这里的KERNEL32!_imp_CreateProcessW就是
0:004>dq 7ffe8ffa6180
00007ffe`8ffa6180  00007ffe`8dcbc960 00007ffe`8dce7950
0:004>uf 00007ffe`8dcbc960
KERNELBASE!CreateProcessW:
对,就是输入表里指向的KernelBase!CreateProcessW!
然后它又调用了KERNELBASE!CreateProcessInternalW,而且是原封不动地调用,自己什么都没做
就不贴代码了,太长,期间两个重要的函数贴出来


DbgUiConnectToDbg DbgUiGetThreadDebugObject  
最后处理完后调用了ntdll!NtCreateUserProcess:代码:
  1. 00007ffe`90c86520 4c8bd1          mov     r10,rcx  
  2. 00007ffe`90c86523 b8bb000000      mov     eax,0BBh  
  3. 00007ffe`90c86528 f604250803fe7f01 test    byte ptr [SharedUserData+0x308 (00000000`7ffe0308)],1  
  4. 00007ffe`90c86530 7503            jne     ntdll!NtCreateUserProcess+0x15 (00007ffe`90c86535)  
  5. 00007ffe`90c86532 0f05            syscall  
  6. 00007ffe`90c86534 c3              ret  
  7. 00007ffe`90c86535 cd2e            int     2Eh  
  8. 00007ffe`90c86537 c3              ret  
复制代码



这个简单了,因为参数都已经布置好了,eax中放入服务号,如果支持快速系统服务就syscall否则int 2e,剩下的就是内核的事情了。

总结一下,KERNELBASE!CreateProcessInternalW做了几乎所有的用户层工作,ntdll!NtCreateUserProcess负责把调用传进内核,KERNELBASE!CreateProcessW和KERNEL32!CreateProcessWStub完全就是路过,啥都不做,只是传递了一下参数。

评分

参与人数 1荣誉 +3 鱼币 +3 贡献 +3 收起 理由
~风介~ + 3 + 3 + 3 感谢楼主无私奉献!

查看全部评分

想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复

使用道具 举报

~风介~
发表于 2015-12-11 23:59:23 | 显示全部楼层
Windows程序设计没学到家.....
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

苦哈哈哈
发表于 2015-12-25 21:32:47 | 显示全部楼层
支持支持
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|鱼C工作室 ( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)

GMT+8, 2024-4-16 18:10

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表