其實在大部分的函式都會遵循我下面要說的這個過程,因為我們所熟知的大部分函式都是在kernel32.dll、user32.dll、gdi32.dll等系統模組裡,所以基本上都會符合我說的這個過程。首先我們來舉個例子來說明一下,比如我們的程式中呼叫的createfile這個函式。
int _tmain(int argc, _tchar* argv)
這裡就是main函式裡的createfile函式了,然後我們就一步一步跟進去
這裡需要說幾句,下圖中會發現彙編**都比較像,是因為這裡集合windows各個模組的函式,每個呼叫號代表了乙個函式,當前我們選中的這一行就是createfile函式。
這裡我們通過ark工具pchunter來檢視下系統中對應的函式序號以及函式名稱是否一樣。
其實這裡就是真正進入ring0的入口了,但是od卻解析成了遠跳指令,這裡如果使用windbg分析的話,指令就是sysenter了,在這裡cpu會將msr暫存器中的值直接寫入相關暫存器,這種呼叫方式叫做快速呼叫。msr 176號的位置儲存的就是ring0的函式位址,過去之後會根據之前eax儲存的呼叫號來當下標索引對照著ssdt表(系統描述符表)找到函式位址,然後進行呼叫。
好了,到這裡就分析結束了,小夥伴們自己也可以試著跟著我寫的步驟進入od嘗試跟下你想跟的函式,ring3能看到的就只有這些了,進入ring0之後可以使用微軟提供的偵錯程式windbg跟著分析。
c 函式呼叫之函式定義
例如 includevoid 首先定義乙個 函式 int main 再定義乙個main 函式 void 緊接著執行這個函式,輸出內容見下 解釋以上程式 在每乙個函式的定義中,都使用了using namespace std 編譯指令。1 為什麼要使用函式原型 函式 編譯器,這裡有函式,你快把它編譯把,...
python函式呼叫之自我呼叫與C 比較
c 下的函式自我自我呼叫 第一種方法 1 include 2 using namespace std 34 intrel do 13else if a 2 17 第二種方法 兩種方法比較可以發現,rel do 方法中,呼叫rel do方法前加不加return都可以正常執行。而在python中必須使用...
ARM核心函式呼叫原理
1 將返回點的位址壓棧 2 修改pc指標,跳轉到目標位址只執行 3 返回時,直接將返回位址從棧中彈出到pc指標,實現函式的返回 對於m3 m4核心,引入了乙個鏈結暫存器lr link register 專門用來儲存函式返回位址。lr本子上相當於乙個深度為1的硬體棧,支援且僅1級函式呼叫。借助lr,核...