windows syscall

misterx · 03-06-2013, 18:12

per chi ha una conoscenza più approfondita della mia circa il kernel di windows, chiedo se i valori presenti a questo link identificano l'indirizzo di inizio delle varie syscall di windows; credo che sarebbero interessanti quando si vuole capire cosa non va in un certo codice.

grazie

banryu79 · 04-06-2013, 16:42

Non credo occorra neccessariamente essere degli "esperti di syscall Windows" per tentare di darti una risposta: io certamente non lo sono

Però usando la logica una può provare a fare un'ipotesi sulla base delle informazioni facilmente recuperabili. Ad esempio, considerato che:
- la finestra "proprietà" per win32k.sys lo descrive come "Driver Win32 multiutente";
- alla pagina linkata quasi tutte le syscall elencate in tabella hanno il prefisso NtGdi (GDI... Graphic Device Interface);
- se inserisci nello specchietto apposito un codice esadecimale presente in tabella tutte le occorrenze di quel codice vengono evidenziate.

La tabella mostra, per un dato codice esadecimale (un indirizzo? un offset?) a quale syscall fa riferimento quel codice: la syscall chiamata potrebbe essere diversa a seconda della versione di Windows.

Quindi, dato un indirizzo/offset specifico puoi vedere quale è la syscall corrisposndente sulle diverse versioni di Windows.

Potrebbe essere utile in caso di errori (BSOD?) per risalire all'esatta chiamata che ha causato il problema (perchè dopo l'errore magari vedi un messaggio con un dump della memoria o altro in cui viene riportato il codice esadecimale indirizzo/offset ma non sai esattamente a quale funzione fa riferimento).

Comunque se dall'url della pagina togli l'ultimo pezzo del path e navighi in:
http://j00ru.vexillium.org/
vedrai che ci sono dei link per altre tabelle simili a questa solo che si riferiscono ad altri "pezzi" del SO.
In particolare, la tabella che hai linkato, pare essere la "Windows Graphical System Call Table x86", se vuoi vedere le syscall del core del SO penso tu debba fare riferimeno a quelle due indicate come "Windows X86 System Call Table" e "Windows X86-64 System Call Table"

misterx · 04-06-2013, 19:33

Quote:

Originariamente inviato da banryu79

Potrebbe essere utile in caso di errori (BSOD?) per risalire all'esatta chiamata che ha causato il problema (perchè dopo l'errore magari vedi un messaggio con un dump della memoria o altro in cui viene riportato il codice esadecimale indirizzo/offset ma non sai esattamente a quale funzione fa riferimento).

infatti la parte interessante è proprio quella che hai citato, capire quale parte dell'SO genera problemi.

Avevo pensato che tutti quegli offset ti permettevano di richiamare direttamente le routine di sistema bypassando le windows API, mi sembrava lievemente pericoloso

Quindi se non ho mal compreso in caso di errore e una volta identificata la libreria che causa il problema, attraverso l'offset esempio:

0x1265
posso capire che il problema è causato dalla sycall NtGdiBRUSHOBJ_hGetColorTransform e da qui comportarmi di conseguenza

03-06-2013, 18:12	#1
misterx Senior Member Iscritto dal: Apr 2001 Città: Milano Messaggi: 3739	windows syscall per chi ha una conoscenza più approfondita della mia circa il kernel di windows, chiedo se i valori presenti a questo link identificano l'indirizzo di inizio delle varie syscall di windows; credo che sarebbero interessanti quando si vuole capire cosa non va in un certo codice. grazie

04-06-2013, 16:42	#2
banryu79 Senior Member Iscritto dal: Oct 2007 Città: Padova Messaggi: 4131	Non credo occorra neccessariamente essere degli "esperti di syscall Windows" per tentare di darti una risposta: io certamente non lo sono Però usando la logica una può provare a fare un'ipotesi sulla base delle informazioni facilmente recuperabili. Ad esempio, considerato che: - la finestra "proprietà" per win32k.sys lo descrive come "Driver Win32 multiutente"; - alla pagina linkata quasi tutte le syscall elencate in tabella hanno il prefisso NtGdi (GDI... Graphic Device Interface); - se inserisci nello specchietto apposito un codice esadecimale presente in tabella tutte le occorrenze di quel codice vengono evidenziate. La tabella mostra, per un dato codice esadecimale (un indirizzo? un offset?) a quale syscall fa riferimento quel codice: la syscall chiamata potrebbe essere diversa a seconda della versione di Windows. Quindi, dato un indirizzo/offset specifico puoi vedere quale è la syscall corrisposndente sulle diverse versioni di Windows. Potrebbe essere utile in caso di errori (BSOD?) per risalire all'esatta chiamata che ha causato il problema (perchè dopo l'errore magari vedi un messaggio con un dump della memoria o altro in cui viene riportato il codice esadecimale indirizzo/offset ma non sai esattamente a quale funzione fa riferimento). Comunque se dall'url della pagina togli l'ultimo pezzo del path e navighi in: http://j00ru.vexillium.org/ vedrai che ci sono dei link per altre tabelle simili a questa solo che si riferiscono ad altri "pezzi" del SO. In particolare, la tabella che hai linkato, pare essere la "Windows Graphical System Call Table x86", se vuoi vedere le syscall del core del SO penso tu debba fare riferimeno a quelle due indicate come "Windows X86 System Call Table" e "Windows X86-64 System Call Table" __________________ As long as you are basically literate in programming, you should be able to express any logical relationship you understand. If you don’t understand a logical relationship, you can use the attempt to program it as a means to learn about it. (Chris Crawford) Ultima modifica di banryu79 : 04-06-2013 alle 16:48.

Strumenti
Mostra una versione stampabile Invia questa pagina per email