首页 > TAG信息列表 > KPCR
KPCR
KPCR 1. IRQL 在32位存储在KPCR+0x24中,但在64位存储在CR8寄存器中,这个要明确。 IRQL 表示代码运行到什么级别 2. nt!KeNumberProcessors与nt!KiProcessorBlock KeNumberProcessors 显示存在几核CPU,要查看可以通过这个查看。 KiProcessorBlock 显示其12323
系统调用-KiSystemService 2020年3月16日 17:07 找到KiSystemService 通过分析3环的调用过程可以知道, 系统调用会使用int 2e进入0环. 2e就是中断向量. 对应了IDT中索引为2e的中断描述符. 通过WinDbg在IDT中找到索引为2e的中断描述符, 并分析描述符的字段. 可以看到这Windows系统调用中的现场保存
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中的现场保存 我们之前介绍过三环进零环的步骤,通过中断或者快速调用来实现。 但是我们是否考虑过CPU从三环进入零环时,其三环的寄存器该如何保存。 这一篇文件就来介绍其