win7 到 win10 用户层API调用变化

来源:互联网 发布:汉语方言地图集数据库 编辑:程序博客网 时间:2024/06/16 05:37

自己的笔记,不一定正确,切勿照搬

从win7到win10,很多KERNEL32中的函数都搬家到了KERNELBASE中,比如CreateProcess之类的,而Kernel32中则只留下了一个存根函数CreateProcessWStub,上windbg附加另一个windbg,下断 bp kernel32!createprocesswstub果然断下了,kn回溯看到如下:

dbgeng!DebugCreate-->kernel32!CreateProcessWStub-->kernelbase!CreateProcessW


(这就是以前的CreateProcessW)

反汇编一下 kernel32!createprocesswstub:

KERNEL32!CreateProcessWStub:00007ffe`8ff53b00 4c8bdc          mov     r11,rsp<span style="white-space:pre"></span>00007ffe`8ff53b03 4883ec58        sub     rsp,58h<span style="white-space:pre"></span>//局部变量占用58h字节00007ffe`8ff53b07 488b8424a8000000 mov     rax,qword ptr [rsp+0A8h]<span style="white-space:pre"></span>//复制参数作为下个函数的参数00007ffe`8ff53b0f 498943f0        mov     qword ptr [r11-10h],rax00007ffe`8ff53b13 488b8424a0000000 mov     rax,qword ptr [rsp+0A0h]00007ffe`8ff53b1b 498943e8        mov     qword ptr [r11-18h],rax00007ffe`8ff53b1f 488b842498000000 mov     rax,qword ptr [rsp+98h]00007ffe`8ff53b27 498943e0        mov     qword ptr [r11-20h],rax00007ffe`8ff53b2b 488b842490000000 mov     rax,qword ptr [rsp+90h]00007ffe`8ff53b33 498943d8        mov     qword ptr [r11-28h],rax00007ffe`8ff53b37 8b842488000000  mov     eax,dword ptr [rsp+88h]00007ffe`8ff53b3e 89442428        mov     dword ptr [rsp+28h],eax00007ffe`8ff53b42 8b842480000000  mov     eax,dword ptr [rsp+80h]00007ffe`8ff53b49 89442420        mov     dword ptr [rsp+20h],eax00007ffe`8ff53b4d ff152d260500    call    qword ptr [KERNEL32!_imp_CreateProcessW (00007ffe`8ffa6180)]00007ffe`8ff53b53 4883c458        add     rsp,58h00007ffe`8ff53b57 c3              ret


反正就是对参数做了些处理然后就调用KernelBase!CreateProcessW了,你说没看到? 这里的KERNEL32!_imp_CreateProcessW就是

0:004>dq 7ffe8ffa6180
00007ffe`8ffa6180  00007ffe`8dcbc960 00007ffe`8dce7950

0:004>uf 00007ffe`8dcbc960
KERNELBASE!CreateProcessW:

对,就是输入表里指向的KernelBase!CreateProcessW!

然后它又调用了KERNELBASE!CreateProcessInternalW,而且是原封不动地调用,自己什么都没做

就不贴代码了,太长,期间两个重要的函数贴出来


DbgUiConnectToDbg DbgUiGetThreadDebugObject
</pre>最后处理完后调用了ntdll!NtCreateUserProcess:<p></p><p>代码:</p><pre name="code" class="plain">00007ffe`90c86520 4c8bd1          mov     r10,rcx00007ffe`90c86523 b8bb000000      mov     eax,0BBh00007ffe`90c86528 f604250803fe7f01 test    byte ptr [SharedUserData+0x308 (00000000`7ffe0308)],100007ffe`90c86530 7503            jne     ntdll!NtCreateUserProcess+0x15 (00007ffe`90c86535)00007ffe`90c86532 0f05            syscall00007ffe`90c86534 c3              ret00007ffe`90c86535 cd2e            int     2Eh00007ffe`90c86537 c3              ret

这个简单了,因为参数都已经布置好了,eax中放入服务号,如果支持快速系统服务就syscall否则int 2e,剩下的就是内核的事情了。

总结一下,KERNELBASE!CreateProcessInternalW做了几乎所有的用户层工作,ntdll!NtCreateUserProcess负责把调用传进内核,KERNELBASE!CreateProcessW和KERNEL32!CreateProcessWStub完全就是路过,啥都不做,只是传递了一下参数。

1 0