内核解惑:zw函数和nt函数的区别

转载 2013年12月03日 15:42:04

转载自:http://hi.baidu.com/resoft007/item/eb510a0d0ae2ac03addc7019

http://bbs.pediy.com/showthread.php?t=106888

http://bbs.pediy.com/showthread.php?t=55142

解惑:http://blog.csdn.net/u012410612/article/details/17093079

lkd> u ZwOpenProcess
nt!ZwOpenProcess:
804de044 b87a000000      mov     eax,7Ah
804de049 8d542404        lea     edx,[esp+4]
804de04d 9c              pushfd
804de04e 6a08            push    8
804de050 e8dc150000      call    nt!KiSystemService (804df631)
804de055 c21000          ret     10h
lkd> u NtOpenProcess
nt!NtOpenProcess:
80573d06 68c4000000      push    0C4h
80573d0b 6810b44e80      push    offset nt!ObWatchHandles+0x25c (804eb410)
80573d10 e826f7f6ff      call    nt!_SEH_prolog (804e343b)
80573d15 33f6            xor     esi,esi
80573d17 8975d4          mov     dword ptr [ebp-2Ch],esi
80573d1a 33c0            xor     eax,eax
80573d1c 8d7dd8          lea     edi,[ebp-28h]
80573d1f ab              stos    dword ptr es:[edi]

 

这是看雪上某人反的两个函数。

用户模式调用Nt和Zw API,如NtReadFile和ZwReadFile,二者没有任何区别,通过设置系统服务表中的索引和在堆栈中设置参数,经由SYSENTER指令进入内核态(而不是象w2k中通过int 0x2e中断),并最终由KiSystemService跳转到KiServiceTable对应的系统服务例程中。由于是从用户模式进入内核模式,因此代码会严格检查用户空间传入的参数。

内核模式调用Nt和Zw API,连接nooskrnl.lib:
Nt系列API将直接调用对应的函数代码,而Zw系列API则通过KiSystemService,最终跳转到对应的函数代码。

重要的是两种不同的调用对内核中previous mode的改变,如果是从用户模式调用Native API则previous mode是用户态,如果从内核模式调用Native API则previous mode是内核态。previous为用户态时Native API将对传递的参数进行严格的检查,而为内核态时则不会。
调用Nt API时不会改变previous mode的状态,调用Zw API时会将previous mode改为内核态,因此在进行Kernel Mode Driver开发时可以使用Zw系列API可以避免额外的参数列表检查,提高效率。(Zw*会设置KernelMode已避免检查,Nt*不会自动设置,如果是KernelMode当然没问题,如果就UserMode就挂了)


我们只要把kthread中的PreviousMode值设为0就代表来自内核态


Zw*系列是通过SSDT来间接调用,同时设置Ehread->previous mode 为 kernelmode

Nt*系列是直接调用函数,但是却不设置Ehread->previous mode

所以如果是在内核mode当然没问题,同时还可以跳过SSDT HOOK  ps:当然Inline Hook肯定不行

但是内核组件可能运行在任意进程的上下文中 所以Nt*可能在usermode中,这是就会STATUS_ACCESS_VIOLATION 了 

当然这是Nt*函数中检查当前线程结构的PreviousMode 来确定调用是来自用户态还是内核态 如果是来自用户态 函数会检测参数地址是否小于_MmUserProbeAddress.如果不是 将会产生一个错误..   所以我们的目标就是把PreviousMode改为Kernel Mode  这就是Zw*和Nt*的区别

相关文章推荐

Zw函数与Nt函数的分别与联系

in ring3: lkd> ? ntdll!ZwOpenProcess Evaluate expression: 2089999739 = 7c92dd7b lkd> ?ntdll!NtOpe...
  • evi10r
  • evi10r
  • 2011年09月02日 10:25
  • 2931

Nt*和Zw*开头的函数

原文 Ring3中的NATIVE API,和Ring0的系统调用,都有同名的Zw和Nt系列函数,这些Zw*和Nt*函数既在ntdll.dll(Ring3)中导出又在ntoskrnl.exe(Ri...

Nt系列函数与Zw系列函数的关系

常有人搞不清这两组函数的关系,因为调用接口和实现功能一样,有些人就认为他们是同一个函数的不同名称。实际上他们是有区别的,借助windbg这个工具,我们就可以一探究竟。         在ring3层...

Minifilter 优点介绍

提起Minifilter大家可能都已经非常熟悉了,它是Microsoft极力推荐的一种新型 过滤器模型,不过谈及Minifilter模型我们就不得不提逻辑过滤器模型 (Legacy Filter)...

文件系统Minifilter驱动(八)

写Callback例程的Pre-oper和Post-oper 一个minifilter驱动可以在它的DriverEntry例程中为它需要过滤的任何类型的I/O操作注册至多一个pre-oper c...

Nt**、Zw**和Rtl** 开头的函数介绍

首先他们都是微软未公开的函数,之所以未公开主要是因为这些函数大部分功能太强大了,把他们公开会让一些别有用心的人利用。9x下的我不知道,NT(含2000/xp)下你可以参考《Windows NT Nat...

Zw函数与Nt函数的分别与联系

http://hi.baidu.com/453549064/blog/item/9697bace6df9d434f8dc6197.html   Ring3 中的NATIVE API ,和Ring0...

Nt内核函数大全

  • 2011年10月07日 16:13
  • 97KB
  • 下载

NT内核函数枚举系统所有进程.

//头文件部分.h #define NT_SUCCESS(status)          ((NTSTATUS)(status)>=0) #define STATUS_INFO_LENGTH...

Java 解惑:Random 种子的作用、含参与不含参构造函数区别

Random 通常用来作为随机数生成器,它有两个构造方法: Random random = new Random(); Random random2 = new Rand...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:内核解惑:zw函数和nt函数的区别
举报原因:
原因补充:

(最多只允许输入30个字)