господа, а существует ли какая нибудь документация или маны по использовани sysenter?
Поделитесь пжл а то не нагуглил практически ничего

| Сообщение посчитали полезным:

))) только я прогу пишу для себя. а под другие системы создать версии для них. кстати сисентер довольно забавная штукенция. особенно для инжекта. и проверить на какой винде и какие номера системных вызовов, а также какое прерывание используется, проблем не составит. я по-моему даже готовый код где-то видел.
Господа кодеры посоветуйте простенький метод IPC.
задача какая? внедряю код в процесс, не длл а код. код переносимый, проверял. мне нужно наладить простенький канал передачи строк между 2мя процессами. какой метод из всяких мьютексов пайпой самый простой в реализации( в инжектируемом коде)

| Сообщение посчитали полезным:

Самый быстрый - разделяемая память+событие.

Добавлено
А по сложности - практически одинаково. Ну если только совсем какие-то экзотические способы не будете применять.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

tiranosaur пишет:
самый простой в реализации( в инжектируемом коде)

| Сообщение посчитали полезным:

tiranosaur пишет:
а также какое прерывание используется, проблем не составит
wow64 не использует прерывания. Это эмулятор. Он посылает нафиг тех, кто не дергает ntdll.dll, а пытается напрямую апи ядра вызывать.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Интересная темка. Только я вот что-то так и не понял, как пересесть с int 2E на SYSENTER...
Вот, например, рабочий код int 2E для хрюши. Как его на SYSENTER правильно переделать?


| Сообщение посчитали полезным:

IOCTL_

А что именно не понятно ?
Из за иного механизма возврата аргументы смещаются на стеке. Так реализовано, потому что при прерывании сохраняется его адрес(trap), а при sysenter источник вызова не известен. Поэтому и возврат происходит на фикс. адрес(из ядра, стаб который выполняет переход по рет), а адрес возврата передаётся через стек. Отсюда и смещение.

-----
vx

| Сообщение посчитали полезным: IOCTL_, punxer

difexacaw
Всё ясно, спасибо!

Добавлено:
А вообще, что очень приятно, на этом форуме подход совершенно иной, чем на многих других форумах, на которых: запостил код, написал "памагите!" и тебе выдали рабочий вариант кода или ткнули носом в какую-то строчку, написав, мол, "должно быть вот так" без каких-либо пояснений. А здесь всё по-другому. Здесь учат думать. Спасибо!

| Сообщение посчитали полезным:

Подскажите по аргументам syscall в х64 приложении
Из той информации что я нашел, они должны передаваться через регистры

остальные через стек.
Но когда смотрю в отладчике, то первыми используются rdx и rcx
Я не то накопал, или как? Мб ссылки по теме есть интересные?

| Сообщение посчитали полезным:

Ate пишет:
используются rdx и rcx
Если не ошибаюсь, то на Win64 юзаются как раз RCX, RDX, r8, r9, а если аргументов больше четырех остальные уходят в стек.

| Сообщение посчитали полезным: Ate

https://docs.microsoft.com/en-us/cpp/build/x64-software-conventions?view=vs-2017
Секция Register volatility and preservation. Первые четыре аргумента идут через RCX, RDX, r8, r9

| Сообщение посчитали полезным: Ate

VOLKOFF пишет:
Если не ошибаюсь, то на Win64 юзаются как раз RCX, RDX, r8, r9, а если аргументов больше четырех остальные уходят в стек.
subword пишет:
Первые четыре аргумента идут через RCX, RDX, r8, r9
Пассажир похоже имел в виду сисколл в линухе --> Link <--, верней накопал на линух, а в отладчике смотрит в винде. Как-то так.

-----
2 оттенка серого

| Сообщение посчитали полезным: difexacaw

f13nd

Это всё вайн голову морочит, он не понимает какая конвенция используется, а в гугле конечно же забанили. Наверно начал сам вайн разбирать, а там тоже сискалы линя. Это же что нужно вдуть что бы так напутать

А есчо одновременно с этим появился вопрос в комерс васма про отличие вин от вайна. Походу он и есть автор запроса

-----
vx

| Сообщение посчитали полезным: