Вызвать Zw* функцию

Как можно вызвать непосредственно неэкспортированную Zw* функцию, с известным SDT вектором так, чтоб вызов прошел через KiSystemService? Нужно вызвать именно Zw функцию a не ее Nt аналог. Первое, что приходит в голову - самостояетьно сделать аналог Zw функции, что то типа:

Код (Text):

1. mov     eax, SDT вектор
2. push    8
3. call    _KiSystemService
4. retn    ...

Но, к сожалению KiSystemService не экспортируется в ядре.

 

int 2e

 

А действительно, старый способ через int 2e/sysenter уже не кошерно? ))

 

Great
steelfactor

Кашерно! Еще и как! Спасибо.

 

А как это будет кошерно в x64?

 

Зато она есть в экспортируемых Zw-функциях (через 0xE8). Доходит?

 

sww_, зачем? если можно с ИДТ вектор прочитать..

 

Freeman

Каждый делает так, как ему нравится. Я не доверяю глобальным переменным и таблицам. Там до меня может быть все что угодно.

 

дык и файл подменить могут, или не дать считать, что правда менее вероятно
но в принципе согласен, лучше перестраховатся, чем потом переписывать

 

Freeman

Могут и файл подменить/исправить, тогда хз что делать