3. int 2Eh 入关走法

相信在调试界没有人不知道 int 是干嘛的，毕竟也看过无数次的 int 3 ，本质上来说，在内核层维护着一张 中断向量表 ,每一个数字都映射着一段函数代码，当你打开电脑电源而后被 windows 接管同样借助了 中断向量表 ，好了，接下来简单看看如何寻找 3 对应的函数代码。

windbg 中有一个 !idt 命令就是用来寻找数字对应的函数代码。

可以看到，它对应的内核层面的 nt!KiBreakpointTrap 函数，同样的道理我们看下 2E 。

Dumping IDT: fffff804347e10002e: fffff804380065c0 nt!KiSystemService

现在终于搞清楚了，进入内核态的第一个方法就是 KiSystemService ，从名字看，它是一个类似的通用方法，接下来就是怎么进去到内核态相关的 读取文件 方法中呢？

要想找到这个答案，可以回头看下刚才的汇编代码 mov eax,6 ，这里的 6 就是内核态需要路由到的方法编号，哈哈，那它对应着哪一个方法呢？由于 windows 的闭源，我们无法知道，幸好在 github 上有人列了一个清单：https://j00ru.vexillium.org/syscalls/nt/64/ ，对应着我的机器上就是。

从图中可以看到其实就是 nt!NtReadFile ，到这里我想应该真相大白了，接下来我们聊下 syscall 。

4. syscall 的走法

syscall 是 CPU 特别提供的一个功能，叫做 系统快速调用 ，言外之意，它借助了一组 MSR寄存器 帮助代码快速从 用户态 切到 内核态 , 效率远比走 中断路由表 要快得多，这也就是为什么代码会有 if 判断，其实就是判断 cpu 是否支持这个功能。

刚才说到它借助了 MSR寄存器 ，其中一个寄存器 MSR_LSTAR 存放的是内核态入口函数地址，我们可以用 rdmsr c0000082 来看一下。

lkd> uf fffff804`38006cc0 nt!KiSystemCall64:fffff804 `38006cc0 0f01f8 swapgsfffff804`38006cc3 654889242510000000mov qword ptr gs:[ 10h],rsp fffff804 `38006ccc 65488b2425a8010000 mov rsp,qword ptr gs:[1A8h]...

从代码中可以看到，它进入的是 nt!KiSystemCall64 函数，然后再执行后续的 6 对应的 nt!NtReadFile 完成业务逻辑，最终也由 nt!KiSystemCall64 完成 内核态 到 用户态 的切换。

知道了这两种方式，接下来可以把图稍微修补一下，增加 syscall 和 int xxx 两种入关途径。

三：总结

通过汇编代码分析，我们终于知道了 用户态 到 内核态 的切换原理，原来有两种途径，一个是 int 2e ，一个是 syscall ，加深了我们对 C# 读取文件 的更深层理解。 返回搜狐，查看更多