SSDT-Funcs



  • Ein freundliches Hallo erstmal,

    woher wissen eigtl. die SSDT-Funktionen, aus welchem Modus ich sie aufrufe ?
    Ich kann diese ja aus dem Usermode und aus dem Kernelmode aufrufen.
    Nachdem KiSystemService die Kontrolle an die jeweilige Funktion weitergegeben hat (im folgenden Beispiel ein Aufruf aus dem Kernelmode), heißt es im NT-Insider:

    The native API now executes (still in Kernel Mode) with the previous mode set to Kernel Mode. This indicates the caller came from Kernel Mode.

    Wenn ich das mal wiederholen darf: "...This Indicates ...";
    This ? So what ?! ^^
    Worauf bezieht sich das 'This' denn hier ? In welcher 'Variable' steht denn, dass der "previous mode" ebenfalls der Kernelmode war ?

    Sry aber es scheint mir noch ziemlich unklar zu sein, wie die SSDT-Funktionen überprüfen, aus welchem Modus die Funktion heraus aufgerufen wurde.
    V.a. da ich KiSystemService aus beiden Modi heraus über den Interrupt 2eh aufrufen kann- woher soll die jeweilige Funktion dann unterscheiden können, woher der Aufruf kam ?

    Greetings, Xzi-bit


Anmelden zum Antworten