win7 到 win10 用户层API调用变化

自己的笔记，不一定正确，切勿照搬

从win7到win10，很多KERNEL32中的函数都搬家到了KERNELBASE中，比如CreateProcess之类的，而Kernel32中则只留下了一个存根函数CreateProcessWStub，上windbg附加另一个windbg，下断 bp kernel32!createprocesswstub果然断下了，kn回溯看到如下：

dbgeng!DebugCreate-->kernel32!CreateProcessWStub-->kernelbase!CreateProcessW

(这就是以前的CreateProcessW)

反汇编一下 kernel32!createprocesswstub：

KERNEL32!CreateProcessWStub:00007ffe`8ff53b00 4c8bdc          mov     r11,rsp<span style="white-space:pre"></span>00007ffe`8ff53b03 4883ec58        sub     rsp,58h<span style="white-space:pre"></span>//局部变量占用58h字节00007ffe`8ff53b07 488b8424a8000000 mov     rax,qword ptr [rsp+0A8h]<span style="white-space:pre"></span>//复制参数作为下个函数的参数00007ffe`8ff53b0f 498943f0        mov     qword ptr [r11-10h],rax00007ffe`8ff53b13 488b8424a0000000 mov     rax,qword ptr [rsp+0A0h]00007ffe`8ff53b1b 498943e8        mov     qword ptr [r11-18h],rax00007ffe`8ff53b1f 488b842498000000 mov     rax,qword ptr [rsp+98h]00007ffe`8ff53b27 498943e0        mov     qword ptr [r11-20h],rax00007ffe`8ff53b2b 488b842490000000 mov     rax,qword ptr [rsp+90h]00007ffe`8ff53b33 498943d8        mov     qword ptr [r11-28h],rax00007ffe`8ff53b37 8b842488000000  mov     eax,dword ptr [rsp+88h]00007ffe`8ff53b3e 89442428        mov     dword ptr [rsp+28h],eax00007ffe`8ff53b42 8b842480000000  mov     eax,dword ptr [rsp+80h]00007ffe`8ff53b49 89442420        mov     dword ptr [rsp+20h],eax00007ffe`8ff53b4d ff152d260500    call    qword ptr [KERNEL32!_imp_CreateProcessW (00007ffe`8ffa6180)]00007ffe`8ff53b53 4883c458        add     rsp,58h00007ffe`8ff53b57 c3              ret

反正就是对参数做了些处理然后就调用KernelBase!CreateProcessW了，你说没看到？ 这里的KERNEL32!_imp_CreateProcessW就是

0:004>dq 7ffe8ffa6180
00007ffe`8ffa6180  00007ffe`8dcbc960 00007ffe`8dce7950

0:004>uf 00007ffe`8dcbc960
KERNELBASE!CreateProcessW:

对，就是输入表里指向的KernelBase!CreateProcessW！

然后它又调用了KERNELBASE!CreateProcessInternalW，而且是原封不动地调用，自己什么都没做

就不贴代码了，太长，期间两个重要的函数贴出来

DbgUiConnectToDbg DbgUiGetThreadDebugObject

</pre>最后处理完后调用了ntdll!NtCreateUserProcess:<p></p><p>代码：</p><pre name="code" class="plain">00007ffe`90c86520 4c8bd1          mov     r10,rcx00007ffe`90c86523 b8bb000000      mov     eax,0BBh00007ffe`90c86528 f604250803fe7f01 test    byte ptr [SharedUserData+0x308 (00000000`7ffe0308)],100007ffe`90c86530 7503            jne     ntdll!NtCreateUserProcess+0x15 (00007ffe`90c86535)00007ffe`90c86532 0f05            syscall00007ffe`90c86534 c3              ret00007ffe`90c86535 cd2e            int     2Eh00007ffe`90c86537 c3              ret

这个简单了，因为参数都已经布置好了，eax中放入服务号，如果支持快速系统服务就syscall否则int 2e，剩下的就是内核的事情了。

总结一下，KERNELBASE!CreateProcessInternalW做了几乎所有的用户层工作，ntdll!NtCreateUserProcess负责把调用传进内核，KERNELBASE!CreateProcessW和KERNEL32!CreateProcessWStub完全就是路过，啥都不做，只是传递了一下参数。