Nt*与Zw*的区别

最新推荐文章于 2020-03-30 21:57:00 发布
最新推荐文章于 2020-03-30 21:57:00 发布
阅读量206 收藏
点赞数
原文链接:http://www.cnblogs.com/XiaoHui/archive/2007/05/13/745028.html
版权

        今天在看Undocumented Windows 2000 Secrets的时候, 一段对于Nt*与Zw*的区别,看了很久,看得不是很明白,后来通过网上查阅,现在比较清楚了.

        以下为原文:

        "一组与执行体的系统服务(executive's system services)平行的入口点.从内核模式的代码()中调用一个ZwXxx入口点将获得相应的系统服务,只是在使用Zw*()函数时,不会检查调用者的访问权限和参数的有效性,而且调用不会将先前模式(previous mode)切换到用户模式"

        "尽管任意一组函数都可以从内核模式调用,但如果用Zw*()函数来代替Nt*()函数,则可将先前模式(这里的先前模式指的是发出请求的模式)切换到内核模式"

        借助于LiveKd,我们来看一下Nt*()和Zw*()的区别:

1.在Ntdll.dll中的Nt*()与Zw*()

kd> u Ntdll!NtCreateFile L4
ntdll!NtCreateFile:
7c92d682 b825000000 mov eax,25h
7c92d687 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0
300)
7c92d68c ff12 call dword ptr [edx]
7c92d68e c22c00 ret 2Ch

--------------------------------------------------------------------------------

kd> u Ntdll!ZwCreateFile L4
ntdll!NtCreateFile:
7c92d682 b825000000 mov eax,25h
7c92d687 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0
300)
7c92d68c ff12 call dword ptr [edx]
7c92d68e c22c00 ret 2Ch

通过上面的代码,我们不难发现,实际上在Ntdll中Nt*()与Zw*()是完全一样的.

2.在ntoskrnl.exe中的Nt*()与Zw*()

kd> u nt!ZwCreateFile L14
nt!ZwCreateFile:
808059a0 b825000000 mov eax,25h
808059a5 8d542404 lea edx,[esp+4]
808059a9 9c pushfd
808059aa 6a08 push 8
808059ac e8801c0000 call nt!KiSystemService (80807631)
808059b1 c22c00 ret 2Ch

-------------------------------------------------------------------------------

kd> u nt!NtCreateFile L16
nt!NtCreateFile:
80898bf8 8bff mov edi,edi
80898bfa 55 push ebp
80898bfb 8bec mov ebp,esp
80898bfd 33c0 xor eax,eax
80898bff 50 push eax
80898c00 50 push eax
80898c01 50 push eax
80898c02 ff7530 push dword ptr [ebp+30h]
80898c05 ff752c push dword ptr [ebp+2Ch]
80898c08 ff7528 push dword ptr [ebp+28h]
80898c0b ff7524 push dword ptr [ebp+24h]
80898c0e ff7520 push dword ptr [ebp+20h]
80898c11 ff751c push dword ptr [ebp+1Ch]
80898c14 ff7518 push dword ptr [ebp+18h]
80898c17 ff7514 push dword ptr [ebp+14h]
80898c1a ff7510 push dword ptr [ebp+10h]
80898c1d ff750c push dword ptr [ebp+0Ch]
80898c20 ff7508 push dword ptr [ebp+8]
80898c23 e87bfeffff call nt!IoCreateFile (80898aa3)
80898c28 5d pop ebp
80898c29 c22c00 ret 2Ch

当我们看到上面代码的时候,就会发现在ntoskrnl.exe中Nt*()与Zw*()的区别了

转载于:https://www.cnblogs.com/XiaoHui/archive/2007/05/13/745028.html

weixin_30909575
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【驱动之四】NtZw
seedluo815的专栏
05-05 1203
Ring3中的NATIVE API,和Ring0的系统调用,都有同名的ZwNt系列函数,一度让初学者感到迷糊。现在就以ZwOpenProcess和NtOpenProcess函数为例,详细阐述下他们的分别和联系。  ntdll.dll导出了NtOpenProcess和ZwOpenProcess两个函数,我们记为ntdll!NtOpenProcess和ntdll!ZwOpenProcess。仔细看
内核态调用Nt*函数
08-18 1592
2007-11-18 22:27 我先简单介绍一下Nt系列函数与Zw系列函数的区别 以ReadFile为例   ntdll.dll导出了ZwReadFileNtReadFile 以下是反汇编代码 .text:7C92E27C ; __stdcall NtReadFile(x, x, x, x, x, x, x, x, x).text:7C92E27C           
Nt*和Zw*开头的函数
qiaoli的知识备忘录
09-23 2368
原文 Ring3中的NATIVE API,和Ring0的系统调用,都有同名的ZwNt系列函数,这些Zw*和Nt*函数既在ntdll.dll(Ring3)中导出又在ntoskrnl.exe(Ring0)中导出,他们有什么区别呢? 我们先来看看ntdll.dll和ntoskrnl.exe的关系。 Win32 API中的所有调用最终都转向了ntdll.dll,再由它转发至ntoskrnl
Windows API 理解----Nt* Zw*
qq_42021840的博客
03-30 676
在你要理解ZwNt 系列API时,你首先要知道一点,那就是系统调用。什么是系统调用呢? 系统调用:操作系统为应用程序提供的可被调用的一组函数,也叫“System Call”。 从软件角度来看,这些系统调用都是操作系统为软件提供的服务,所以也称“系统服务”,也可以说两个名词是同名词。 系统调用所提供的服务都是在内核中实现的,而软件是在用户空间运行的,其实两者就是CP...
了解Zw*与Nt*的区别
移动开发记录
10-31 310
某些Zw*和Nt*函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢? 我们分三部分比较: step 1: ntdll.dll中的Zw*和Nt*有什么区别? step 2: ntoskrnl.exe中的Zw*和Nt*有什么区别? step 3: ntdll.dll中的Zw*与ntoskrnl.exe中的Zw*有什么区别? ntdll.dll中的Nt...
Zw函数与Nt函数的分别与联系
huobengle
09-02 291
in ring3: lkd> ? ntdll!ZwOpenProcess Evaluate expression: 2089999739 = 7c92dd7b lkd> ?ntdll!NtOpenProcess Evaluate expression: 2089999739 = 7c92dd7b 可以看到,在ntdll中,ZwOpenProcess和NtOpenProce...
Nt**、Zw**和Rtl** 开头的函数介绍
01-13 2574
首先他们都是微软未公开的函数,之所以未公开主要是因为这些函数大部分功能太强大了,把他们公开会让一些别有用心的人利用。9x下的我不知道,NT(含2000/xp)下你可以参考《Windows NT Native API》,他们中的大部分函数几乎就从来没有变过。而几乎所有从Kenerl.dll中引出的Win32API,都是通过调用的Native API(NTDLL.DLL中导出)实现系统调用的。举一个例
Nt* 与 Zw* 区别
weixin_30701575的博客
05-03 177
以ReadFile为例 ntdll.dll导出了ZwReadFileNtReadFile 在用户态 不管你调用ZwReadFile还是NtReadFile都是一样的 因为他们是同一个函数的两个不同名称而已.... 而且他们最终都会调用到ntoskrnl中的NtReadFile中去 在内核态 ntoskrnl.exe导出了ZwReadFileNtReadFil...
检查您的本地EDR挂接的Nt / Zw功能的项目-C/C++开发
05-27
Probatorum将检查您的本地EDR挂接了哪些Nt / Zw功能。 此代码的大部分功劳归功于SolomonSklash,他在各种安全主题方面都有不错的博客。 Probatorum EDR Userland挂钩检查器Probatorum将检查您本地EDR挂钩的Nt / Zw...
使用NT本机API进行注册表操作
04-08
3. 使用` Zw*Xxx* `(例如`ZwOpenKey`)形式的函数名,因为NT API在Windows NT内核模式中使用,而在用户模式下则使用`Nt*Xxx*`形式。 4. 使用`LPCWSTR`或`PUNICODE_STRING`类型来传递宽字符(Unicode)的注册表路径...
r3_2_r0.rar_RING0 RING3_ring0_zw r0 r3 ho
09-23
"zw"在这里可能指的是 Zw函数系列,这是Windows NT内核提供的一组函数,用于在Ring3和Ring0之间进行通信。Zw函数允许用户模式代码以安全的方式执行内核操作,这些函数经过精心设计,防止非法操作和错误。 "r0 r3 ho...
ZWNT函数区别
zhuhuibeishadiao
04-10 2920
区别Ntdll.dll中:完全一样 Ntoskrnl.exe中: Zw*nt*,即nt函数更底层 Zw*函数会把PreviousMode设置为KernelMode  然后再调用Nt*函数,因此在Nt*函数中就不会进行参数检查。而如果直接调用Nt*函数的话 , 必须自己将PreviousMode设置为KernelMode,否则PreviousMode很可能仍然是UserMode, 这样
python下载安装.zip
09-01
python下载安装
dbForge Studio 2023 for MySQL Enterprise 10.0.150 x64亲测可用
09-01
用全面的 MySQL GUI 工具简化您的日常工作流程,用于数据库开发、经营管理和行政管理。
mysql实验111111111
最新发布
09-01
mysql实验111111111
弹性力学数值方法:有限元法(FEM):三维弹性问题有限元分析.docx
09-01
弹性力学数值方法:有限元法(FEM):三维弹性问题有限元分析.docx
弹性力学数值方法:迭代法:弹性力学中的多网格方法.docx
09-01
弹性力学数值方法:迭代法:弹性力学中的多网格方法.docx
AutoTorch-0.0.2b20201020-py3-none-any.whl.zip
09-01
AutoTorch-0.0.2b20201020-py3-none-any.whl.zip
nt** generateMatrix(int n, int* returnSize, int** returnColumnSizes)
03-02
generateMatrix函数是一个用于生成n阶方阵的函数。它接受一个整数n作为输入参数,并返回一个n*n的二维整数数组作为方阵。同时,函数还通过指针参数returnSize返回方阵的大小,通过指针参数returnColumnSizes返回每一列的大小。 函数的实现思路如下: 1. 首先,创建一个n*n的二维数组matrix来存储方阵。 2. 定义四个变量top、bottom、left、right来表示当前方阵的上下左右边界。 3. 使用一个循环来遍历方阵的每一个元素,并按照顺时针的顺序依次填入数字。 - 从左到右填充上边界,同时将top加1。 - 从上到下填充右边界,同时将right减1。 - 从右到左填充下边界,同时将bottom减1。 - 从下到上填充左边界,同时将left加1。 - 当top大于bottom或left大于right时,表示已经填充完所有元素,退出循环。 4. 返回生成的方阵matrix,并将方阵的大小赋值给returnSize,每一列的大小赋值给returnColumnSizes。 以下是generateMatrix函数的具体实现代码: ```c int** generateMatrix(int n, int* returnSize, int** returnColumnSizes) { // 创建n*n的二维数组 int** matrix = (int**)malloc(sizeof(int*) * n); for (int i = 0; i < n; i++) { matrix[i] = (int*)malloc(sizeof(int) * n); } // 定义边界和初始值 int top = 0, bottom = n - 1, left = 0, right = n - 1; int num = 1; // 填充方阵 while (top <= bottom && left <= right) { // 填充上边界 for (int i = left; i <= right; i++) { matrix[top][i] = num++; } top++; // 填充右边界 for (int i = top; i <= bottom; i++) { matrix[i][right] = num++; } right--; // 填充下边界 if (top <= bottom) { for (int i = right; i >= left; i--) { matrix[bottom][i] = num++; } bottom--; } // 填充左边界 if (left <= right) { for (int i = bottom; i >= top; i--) { matrix[i][left] = num++; } left++; } } // 设置返回值 *returnSize = n; *returnColumnSizes = (int*)malloc(sizeof(int) * n); for (int i = 0; i < n; i++) { (*returnColumnSizes)[i] = n; } return matrix; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值