연구를 위해 Windows 시스템 호출에서 특정 패턴을 찾으려고합니다.Windows 시스템 호출 어셈블리를 정적으로 얻는 방법?
지금까지 나는 ntdll.dll, user32.dll
등의 Windows DLL을 조사했지만 시스템 호출로 바로 이동할 준비를위한 래퍼 코드 만 포함 된 것 같습니다. 예를 들어 :
mov eax, 101Eh
lea edx, [esp+arg_0]
mov ecx, 0
call large dword ptr fs:0C0h
retn 10h
나는 call large dword ptr fs:0C0h
명령을 추측하고있어 결국 실제 어셈블리에 이르는 체인의 다른 게이트웨이,하지만 내가 직접 그 어셈블리에 얻을 수 있는지 궁금 해서요.
디버거를 사용하여'fs : 0ch'에 무엇이 있는지 확인한 다음 그 기능을 분해하려고 시도 했습니까? – fuz
이것은 와우 프로세스입니다 (64 비트 창 사용). 이 코드는 x64 게이트에 입력합니다. WinDbg에서이 말을 할 수 있습니다. 다른 쪽 - 이미 64 비트 코드 -'CpupReturnFromSimulatedCode'. 예를 들어 읽을 수 있습니다 - http://waleedassar.blogspot.com/2012/07/wow64-user-mode-system-calls-hooking.html – RbMm
@RbMm 정말 고맙습니다! – Noamiko