用IDA, OD分析kernel32.dll的API调用流程,知其所以然。
1.用CreateFileW,CreateFileA函数来分析
CreateFileA 整个流程:
kernel32.dll!CreateFileA流程
kernel32.dll!Basep8BitStringToDynamicUnicodeString
kernel32.dll!CreateFileWImplementation ; 实际就是 kernel32.dll导出表 CreateFil 地址
kernel32.dll!RtlFreeUnicodeString
每个流程的包含流程:
A. kernel32.dll!CreateFileWImplementation流程
ds:RtlInitUnicodeStringEx
BaseIsThisAConsoleName
API-MS-Win-Core-File-L1-1-0.CreateFileW ; 实际就是 kernel32.dll导入表 CreateFileW 地址
B. API-MS-Win-Core-File-L1-1-0.CreateFileW流程
ntdll.SbSelectProcedure
ntdll.dll!zwCreateFile
调用完成, CreateFileA返回.....
C. ntdll.dll!zwCreateFile流程
ntdll.dll!ntCreateFile
ntdll.dll!KiFastSystemCall
sysenter ;sysenter指令切入内核
/*-------------------------------------------------------------------------------------------------*/
CreateFileW整个流程:
kernel32.dll!CreateFileWImplementation ; 实际就是 kernel32.dll导出表 CreateFil 地址
/*----------------------------------------------------------------------------------------------------------*/
流程描述:
1. 调用 CreateFileA后 会转换成UNICODE版本, 然后直接调用CreateFileW(就是导出表的CreateFileW地址)
2. 然后在调用 CreateFileW(就是导入表CreateFileW地址, API-MS-Win-Core-File-L1-1.dll理解为转换调用下)
3. 导入表的CreateFileW才是函数的实现, 继续调用a,b,c
a. xxx初始api, ntdll.dll!zwCreateFile, ntdll.dll!ntCreateFile
b. ntdll.dll!KiFastSystemCall
c. sysenter指令切入内核
....................
内核函数调用
....................
......................
省略xxxxxxxxx
总结一下心得:
1. 如果API为A版本. 先转换为W版本, W版本不用转换, CreateFileA和CreateFileW的流程都一样, 前者比后者多了一个unicode转换。
2. 通过 导出表的相应API地址 调用API, 经过若干个初始化功能函数调用
3. 通过 导入表的相应API地址 在调用API, 经过ntdll.dll!zwAPI 到ntdll.dll!ntAPI 的若干个调用后, 通过汇编指令
sysenter切入内核
4. 内核函数调用, 省略xxxxxxxxx