Вопрос знатокам ядра и винды.

1-ый вопрос который возник - в этом коде используется адрес 7FFE0300h, который лежит за пределами ntdll.dll. Но там находится ссылка на функцию из ntdll.dll - KiFastSystemCall, которая выглядит следующим образом:

Зачем так сделано, если все равно не используется рандомизация базы, да и что мешало явно вызвать системный вызов, который находится в этом же образе? Т.е. зачем-то есть внешняя ссылка, которая ссылается все равно на внутреннюю функцию модуля. Это защита от чего-то, костыль или что-то иное вне зоны моего понимания?

Далее. Если попытаться расшифровать название, имеется в виду "быстрый системный вызов". Рядом есть еще вот такая функция:

Это тогда что? "Медленный" системный вызов?

Если тут нужен RTFM и понимание этих механизмов достигается чтением матчасти, а не опытом, то ссылки на статьи, поясняющие эти моменты, приветствуются.

| Сообщение посчитали полезным:

Если внимательно посмотреть на эту ссылку, то увидим там следующее:

Я предположил, что FastSystemCall и IntSystemCall симметричные методы. Поиск по форуму дал несколько тем, в которых номера сервисов для Int 2E и Syscall/Sysenter совпадают. Значит, это типа альтернативные методы. Пробуем запатчить на метод IntSystemCall. Вот скрипт для IDA (ест-но под отладкой, "жертва" - блокнот)



И ничего! Ни ошибки, ни изменения этих ссылок. Вывода может быть два: IDA блокирует изменение этих ссылок (хотя зачем ей это было бы надо), или же, что вероятней, ядро контролирует эту память, и не позволяет ее менять. Механизм защиты?

| Сообщение посчитали полезным:

виндовс инсайд вас спасет
sysenter не всеми cpu поддерживается, поэтому это проверяется и патчится на ходу под int если не поддерживается

| Сообщение посчитали полезным: Dr0p

reversecode
Примерно так и предполагал, спасибо за разяснения.

Windows Inside это типа Руссинович что ли? Всегда хотел прочитать, пожалуй этим и займусь.

| Сообщение посчитали полезным: