Zw函数与Nt函数的分别与联系

最新推荐文章于 2016-04-10 17:59:24 发布
最新推荐文章于 2016-04-10 17:59:24 发布
阅读量722 收藏 2
点赞数
分类专栏: 转载 文章标签: c api

http://hi.baidu.com/453549064/blog/item/9697bace6df9d434f8dc6197.html

 

  Ring3 中的NATIVE API ,和Ring0 的系统调用,都有同名的ZwNt 系列函数,一度让初学者感到迷糊。N 久前的我,也是相当的迷糊。现在就以ZwOpenProcessNtOpenProcess 函数为例,详细阐述下他们的分别和联系。
ntdll.dll 导出了NtOpenProcessZwOpenProcess 两个函数,我们记为ntdll!NtOpenProcessntdll!ZwOpenProcess 。仔细看一下,会发现他们的入口点实际上都是一样的,这就是说,ntdll!ZwOpenProcess 仅仅是ntdll!NtOpenProcess 函数的别名而已,实现如下:
ZwOpenProcess  
.text:7C92D5FE                 mov     eax, 7Ah         ; NtOpenProcess
.text:7C92D603                 mov     edx, 7FFE0300h
.text:7C92D608                 call     dword ptr [edx]
.text:7C92D60A                 retn     10h
  7FFE0300h 处是ntdll!KiFastSystemCall 的入口,ntdll!KiFastSystemCall 会保存起当前的栈指针,然后通过引发0x2e 中断,陷入内核。
  当触发0x2e 中断后,CPU 将执行环境切换到Ring0 状态,然后去调用内核模块的0x2e 处理例程nt!KiSystemServicent!KiSystemService 会在参数检查、栈拷贝等操作之后,根据Ring3 代码传递过来的调用号0x7A ,在SSDT 中查找相应的函数地址,然后调用找到的函数。对于我们的例子来说,这个函数就是内核模块的导出函数nt!NtOpenProcessnt!NtOpenProcess 才是真正的打开进程实现函数。但是内核模块也导出了nt!ZwOpenProcess ,这个nt!ZwOpenProcess ,有什么用处呢?会不会像ntdll!ZwOpenProcess 一样,也仅仅是ntdll!NtOpenProcess 的一个别名?实际上,nt!ZwOpenProcess 并不仅仅是nt!NtOpenProcess 一个别名,我们可以看一下nt!ZwOpenProcess 的实现:
kd> u nt!ZwOpenProcess
nt!ZwOpenProcess:
804fede8   mov     eax,7Ah
804feded   lea       edx,[esp+4]
804fedf1   pushfd
804fedf2   push     8
804fedf4   call       nt!KiSystemService (8053d891)
804fedf9   ret       10h
  与ntdll.ZwOpenProcess 是不是很接近?nt!ZwOpenProcess 也只是让nt!KiSystemService 调用SSDT 中的第0x7A 号函数,他自己本身没有进行任何打开进程的实现。
  到这儿,就可以总结一下了:用户空间中的Zw***Nt*** 的实现都是一样的,比如ntdll!ZwOpenProcessntdll!NtOpenProcess 的入口都是0x7C92D5FEntdll!ZwOpenFilentdll!NtOpenFile 的入口都是0f7C92D59E 。内核空间中的Zw 函数,是Nt 函数的一个Stup ,只是mov 系统调用号到eax 中,转而直接调用(注意,没有像ntdll!ZwOpenProcessnt!KiSystemService 去从SSDT 中找到相应号码的函数再调用之,真正的实现都在Nt*** 函数中。下面是本人画的一个流程图,仅供参考。

 

马灯
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TALIB 函数大全
04-04
TALIB 函数大全,几乎包括所有TALIB模块的函数及说明,调用方法。
获取计算机硬件信息的类
networmrlc的博客
01-17 244
转自:http://www.seacha.com/article.php/knowledge/windows/mfc/2011/0423/319.html 获取计算机硬件信息的类 更新时间:2011-04-23 13:20:21 来源:未知 作者:xiaoc 浏览:3529次 //头文件 #pragma once #include stdio.h #include tchar.h //#inclu...
ZWNT函数区别
zhuhuibeishadiao
04-10 2805
区别: Ntdll.dll中:完全一样 Ntoskrnl.exe中: Zw*nt*,即nt函数更底层 Zw*函数会把PreviousMode设置为KernelMode  然后再调用Nt*函数,因此在Nt*函数中就不会进行参数检查。而如果直接调用Nt*函数的话 , 必须自己将PreviousMode设置为KernelMode,否则PreviousMode很可能仍然是UserMode, 这样
ZwSystemDebugControl函数列举系统PCI设备ID
perry_peng的专栏
10-24 816
在XP系统中,利用ZwSystemDebugControl函数在不需要驱动的情况下可以访问一些内核对象,如,I/O、物理内存、一些寄存器。但需要具有SeDebugPrivilege权限。XP中的User组是没有这个权限的,也没有权自己提升到这个级别。.386 .model flat, stdcall option casemap :none inc
ZwSystemDebugControl函数读取MSR寄存器值
perry_peng的专栏
10-24 2716
在XP系统中,利用ZwSystemDebugControl函数在不需要驱动的情况下可以访问一些内核对象,如,I/O、物理内存、一些寄存器。但需要具有SeDebugPrivilege权限。XP中的User组是没有这个权限的,也没有权自己提升到这个级别。.386 .model flat, stdcall option casemap :none inc
TALIB函数大全(中文PDF)
07-06
Python TA-Lib金融库
实验4 数据库备份与恢复实验.docx
11-19
实验4 数据库备份与恢复实验
电气控制与plc作业.zw1
12-05
电气控制与plc作业.zw1
实验4 数据库备份与恢复实验 (2).docx
11-19
实验4 数据库备份与恢复实验
ring3下查找ssdt并恢复 源码+exe
05-18
ring3下查找ssdt地址并显示哪些被Hook了 可恢复恢复ssdt 使用ZwSystemDebugControl by topmint 网上搜到的地址很多不能下了 就在这放一份 注意:xp后期版本封了这个函数的写内核功能 只能显示哪些ssdt被hook 无法恢复之
ring3恢复SSDTHOOK(易语言ssdthook恢复工具)V1.0.0绿色免费版
08-05
ring3恢复SSDT HOOK(易语言ssdt hook恢复工具)是一款易语言源码恢复辅助工具。他可以基于ring3恢复SSDTHOOK,一款很专业的工具。使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存,但是XP以上系统貌似就不支持写内核了,还有NtSystemDebugControl被SSDT HOOK之后也无法写进内核,有需要的朋友来下载ring3恢复S
NT下未公开的多线程读,单线程写的函数
01-04
NT下未公开的多线程读,单线程写的函数
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
如何在windows程序中读取bios内容
henry_zhang000的专栏
05-10 753
大家都知道,windows接管了对物理内存的直接存取,而bios信息存在物理内存 的f000:0000处,关键就是如何读取物理内存。  查阅了msdn的文章后,发现以下有几个函数和物理内存访问有关: NTSTATUS ZwOpenSection(OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAccess,IN POBJECT_ATTRIBUT
如何获取网卡MAC、硬盘序列号、CPU ID、BIOS编号(转载)
bodybo的专栏
08-09 3327
以下代码可以取得系统特征码(网卡MAC、硬盘序列号、CPU ID、BIOS编号)    BYTE szSystemInfo[4096]; // 在程序执行完毕后,此处存储取得的系统特征码    UINT uSystemInfoLen = 0; // 在程序执行完毕后,此处存储取得的系统特征码的长度    // 网卡 MAC 地址,注意: MAC 地址是可以在注册表中修改的    {        
ZwSystemDebugControl函数
mergerly的专栏
01-25 3480
使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存 //读取 MEMORY_CHUNKS QueryBuff; DWORD *address2=new DWORD[dwServices]; QueryBuff.Address = dwKernelBase+dwKiServiceTable; QueryBuff.Data = address2;
talib 函数大全·zw 汉化注解版
最新发布
07-16
"talib 函数大全·zw 汉化注解版" 是指对 Talib 函数库进行中文汉化以及注解解释的版本。 通过将 Talib 函数库进行汉化,可以方便中文用户更好地理解和使用其中的各种函数。同时,注解解释也提供了更详细的说明和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值