KeContextToKframes函数逆向

　　在逆向_KiRaiseException(之后紧接着就是派发KiDispatchException）函数时，遇到一个 KeContextToKframes 函数，表面意思将CONTEXT转换为 TRAP_FRAME，但传进去的参数着实有点多，所以简单逆向一下这个函数。

 

 

 

因为能力有限，我们借助WRK源码分析，搞懂其背后逻辑

 

1. 首先，我们看到如下代码解释。

　　

 

 

 　　看到上面，我们应该明确，这个并不是将 context 转换成 frame，而是根据context.flags将 context_frame 转换成 trap_frame。

　　context_frame，即三环进零环时，保存三环的现场。当返回时，根据context_frame中的内容来返回。

　　因此这段代码的逻辑是:

　　

 

 

2. 但是该函数参数还是传入一个CONTEXT，这个有什么用呢？

 

　　很遗憾，我们简单地所搜了下源码，并没有发现这个参数有任何用处，的确是Frame之间的转换，而CONTEXT仅提供一个eflags作为参考的功能。

 

 

 

未解决的问题：TRAP_FRAME与CONTEXT_FRAME有什么区别呢？