如何根据系统调用号找到对应的函数？

桐姥爷 · 发表于 2024-8-20 08:12

比如这一段代码：

[Asm] 纯文本查看 复制代码

seg013:0009D580                               sub_7FFD24CF5F580 proc near             ; CODE XREF: sub_7FFD24CED58C0+F8↑p
seg013:0009D580 4C                            dec     esp
seg013:0009D581 8B D1                         mov     edx, ecx
seg013:0009D583 B8 8E 00 00 00                mov     eax, 8Eh
seg013:0009D588 F6 04 25 08 03 FE 7F 01       test    byte ptr ds:7FFE0308h, 1
seg013:0009D590 75 03                         jnz     short loc_7FFD24CF5F595
seg013:0009D590
seg013:0009D592 0F 05                         syscall                                 ; Low latency system call
seg013:0009D594 C3                            retn

系统调用号是8Eh，但是我在系统调用表里面找不到对应的函数：https://github.com/j00ru/windows-syscalls?tab=readme-ov-file

我该怎么做呢？

QQ橙子 · 发表于 2024-8-20 08:12

上调试器看到 NtCreateFile 的调用号是 0x52 (十六进制 82) ，用 ark 工具也可以看到对应的 ssdt 表序号。
每个系统这个对应的调用好可能不同。，需要你自己看一下

QQ橙子 · 发表于 2024-8-20 08:27

开一个 x32 dbg 然后找到 ntdll.dll 输入 ZwCreateFile

看到类似这种的调用

[Asm] 纯文本查看 复制代码

77AB3E80 <ntdll.ZwFlushInstallUIL | B8 E8000000              | mov eax,E8                           |
77AB3E85                          | BA C08FAC77              | mov edx,ntdll.77AC8FC0               | edx:"铦>"
77AB3E8A                          | FFD2                     | call edx                             |
77AB3E8C                          | C2 0800                  | ret 8                                |

开始翻就是了

桐姥爷 · 发表于 2024-8-22 00:49

QQ橙子发表于 2024-8-20 08:27
开一个 x32 dbg 然后找到 ntdll.dll 输入 ZwCreateFile

看到类似这种的调用

不是很明白，那这个8Eh对应的是哪个函数呢

QQ橙子 · 发表于 2024-8-22 08:43

border=0 />
上调试器看到 NtCreateFile 的调用号是 0x52 (十六进制 82) ，用 ark 工具也可以看到对应的 ssdt 表序号。
每个系统这个对应的调用好可能不同。，需要你自己看一下

我win7虚拟机的 0x8E 对应的是 NtCreateIoCompletion
border=0 />

帐号		自动登录	找回密码
密码			注册[Register]

[其他求助] 如何根据系统调用号找到对应的函数？

最佳答案

免费评分