KiServiceExit函数分析
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html
KiServiceExit函数分析
退出函数调用KiServiceExit函数存在三种情况:从三环进入时,从零环进入时,虚拟8086模式。
如果是虚拟8086模式,TrapFrame.Eflag.Vm位1,通过20000h判断;三环与零环则是通过TrapFrame.SegCs来判断。
我们分析从三环进入的情况,其大体流程如下:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html
KiServiceExit函数分析
退出函数调用KiServiceExit函数存在三种情况:从三环进入时,从零环进入时,虚拟8086模式。
如果是虚拟8086模式,TrapFrame.Eflag.Vm位1,通过20000h判断;三环与零环则是通过TrapFrame.SegCs来判断。
我们分析从三环进入的情况,其大体流程如下:
