|
本文主要研究Windows 10 X64系统的系统调用框架,主要使用Visual Studio 2015及WinDbg工具(通过VS2015集成环境使用),具体的环境搭建参考本人的另外一篇博文《Win10下VS2015(WDK10)驱动开发环境配置》,链接地址:http://blog.csdn.net/liuyez123/article/details/50857621,环境准备就绪后,在VS2015中新建一个项目syscalltest(Visual C++-->Windows-->空白应用通用Windows),准备一段VC测试代码,代码中通过使用Windows API来实现系统调用,我们通过VS2015的调试功能来跟踪系统调用实现的流程及框架。 Win10 X64系统在用户层使用的系统调用,将通过KERNEL32.DLL—》KERNELBASE.dll—》NTDLL.DLL的流程,然后在NTDLL动态库中通过SYSCALL或INT 2EH指令切入内核层的KiSystemCall64函数,再通过SSDT服务表派发到内核ntkrnlmp.exe模块的相应函数,最终在调用底层的驱动或模块。
文章编辑太费劲了,我把文章发布到链接地址:http://blog.csdn.net/liuyez123/article/details/50992038,有兴趣的朋友可以看看。
| 
[复制链接]
发表于 2016-3-27 16:34
