某些Zw*和Nt*函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢?
我们分三部分比较:
step 1: ntdll.dll中的Zw*和Nt*有什么区别?
step 2: ntoskrnl.exe中的Zw*和Nt*有什么区别?
step 3: ntdll.dll中的Zw*与ntoskrnl.exe中的Zw*有什么区别? 
        ntdll.dll中的Nt*与ntoskrnl.exe中的Nt*有什么区别?
在下面的讨论中我们以ZwCreateFile和NtCreateFile为例

讨论前:我先贴点Kd给我们的答案
Part1:
kd> u Ntdll! ZwCreateFile L4
ntdll!ZwCreateFile:
77f87cac b820000000       mov     eax,0x20
77f87cb1 8d542404         lea     edx,[esp+0x4]
77f87cb5 cd2e             int     2e
77f87cb7 c22c00           ret     0x2c
kd> u Ntdll! NtCreateFile L4
ntdll!ZwCreateFile:
77f87cac b820000000       mov     eax,0x20
77f87cb1 8d542404         lea     edx,[esp+0x4]
77f87cb5 cd2e             int     2e
77f87cb7 c22c00           ret     0x2c

Part2:
kd> u Nt!ZwCreateFile L4
nt!ZwCreateFile:
8042fa70 b820000000       mov     eax,0x20
8042fa75 8d542404         lea     edx,[esp+0x4]
8042fa79 cd2e             int     2e
8042fa7b c22c00           ret     0x2c
kd> u Nt!NtCreateFile L14
nt!NtCreateFile:
804a7172 55               push    ebp
804a7173 8bec             mov     ebp,esp
804a7175 33c0             xor     eax,eax
804a7177 50               push    eax
804a7178 50               push    eax
804a7179 50               push    eax
804a717a ff7530           push    dword ptr [ebp+0x30]
804a717d ff752c           push    dword ptr [ebp+0x2c]
804a7180 ff7528           push    dword ptr [ebp+0x28]
804a7183 ff7524           push    dword ptr [ebp+0x24]
804a7186 ff7520           push    dword ptr [ebp+0x20]
804a7189 ff751c           push    dword ptr [ebp+0x1c]
804a718c ff7518           push    dword ptr [ebp+0x18]
804a718f ff7514           push    dword ptr [ebp+0x14]
804a7192 ff7510           push    dword ptr [ebp+0x10]
804a7195 ff750c           push    dword ptr [ebp+0xc]
804a7198 ff7508           push    dword ptr [ebp+0x8]
804a719b e8b284ffff       call    nt!IoCreateFile (8049f652)
804a71a0 5d               pop     ebp
804a71a1 c22c00           ret     0x2c

1) Part1 输出的是Ntdll.dll中ZwCreateFile和NtCreateFile的汇编代码,我们发现实现是一样的;
eax是中断号,edx是函数的参数起始地址([Esp]是返回地址);从而我可以大胆的说:Ntdll.dll中ZwCreateFile和NtCreateFile功能是一样的作用:都是调用int 2E中断;
IDA给我们的答案:
.text:77F87CAC ; Exported entry  92. NtCreateFile
.text:77F87CAC ; Exported entry 740. ZwCreateFile
.text:77F87CAC
.text:77F87CAC
.text:77F87CAC                 public ZwCreateFile
.text:77F87CAC ZwCreateFile    proc near               ;
.text:77F87CAC
.text:77F87CAC arg_0           = dword ptr  4
.text:77F87CAC
.text:77F87CAC                 mov     eax, 20h        ; NtCreateFile
.text:77F87CB1                 lea     edx, [esp+arg_0]
.text:77F87CB5                 int     2Eh             ; DOS 2+ internal - EXECUTE COMMAND
.text:77F87CB5                                         ; DS:SI -> counted CR-terminated command string
.text:77F87CB7                 retn    2Ch
.text:77F87CB7 ZwCreateFile    endp

原来在ntdll中NtCreateFile只是ZwCreateFile的别名。

2) Part2 输出的是Ntoskrnl.exe中ZwCreateFile和NtCreateFile的汇编代码,也许令你很失望,汇编代码不一样;ZwCreateFile中eax是中断号,edx是函数的参数起始地址,然后调用int 2E中断; NtCreateFile只是把参数入栈去调用IoCreateFile;
他们的区别是:NtCreateFile是实现代码,而ZwCreateFile仍通过中断来实现功能,2E软中断的20h子中断号的处理程序是NtCreateFile;这样一说他们是没区别了?错!NtCreateFile是在ring0下了,而ZwCreateFile是通过int 2E进入ring0的,而不论ZwCreateFile处于什么模式下。

3) 从而我们得出:
   ntdll.dll中ZwCreateFile与ntoskrnl.exe中ZwCreateFile的区别是:前者是user Mode application called,后者是Kernel Mode driver Called;
   ntdll.dll中NtCreateFile与ntoskrnl.exe中NtCreateFile区别是:前者在ring3下工作,后者在ring0下工作;前者通过中断实现,后者是前者的中断处理程序。

看的头大了?那么我们再换一个!

Ring3中的NATIVE API,和Ring0的系统调用,都有同名的Zw和Nt系列函数,现在就以ZwOpenProcess和NtOpenProcess函数为例,详细阐述下他们的分别和联系。 
ntdll.dll导出了NtOpenProcess和ZwOpenProcess两个函数,我们记为ntdll!NtOpenProcess和ntdll!ZwOpenProcess。仔细看一下,会发现他们的入口点实际上都是一样的,这就是说,ntdll!ZwOpenProcess仅仅是ntdll!NtOpenProcess函数的别名而已,实现如下: 
ZwOpenProcess   
.text:7C92D5FE                 mov     eax, 7Ah         ; NtOpenProcess 
.text:7C92D603                 mov     edx, 7FFE0300h 
.text:7C92D608                 call     dword ptr [edx] 
.text:7C92D60A                 retn     10h 
  7FFE0300h处是ntdll!KiFastSystemCall的入口,ntdll!KiFastSystemCall会保存起当前的栈指针,然后通过引发0x2e中断,陷入内核。 
  当触发0x2e中断后,CPU将执行环境切换到Ring0状态,然后去调用内核模块的0x2e处理例程nt!KiSystemService。nt!KiSystemService会在参数检查、栈拷贝等操作之后,根据Ring3代码传递过来的调用号0x7A,在SSDT中查找相应的函数地址,然后调用找到的函数。对于我们的例子来说,这个函数就是内核模块的导出函数nt!NtOpenProcess。nt!NtOpenProcess才是真正的打开进程实现函数。但是内核模块也导出了nt!ZwOpenProcess,这个nt!ZwOpenProcess,有什么用处呢?会不会像ntdll!ZwOpenProcess一样,也仅仅是ntdll!NtOpenProcess的一个别名?实际上,nt!ZwOpenProcess并不仅仅是nt!NtOpenProcess一个别名,我们可以看一下nt!ZwOpenProcess的实现: 
kd> u nt!ZwOpenProcess 
nt!ZwOpenProcess: 
804fede8   mov     eax,7Ah 
804feded   lea       edx,[esp+4] 
804fedf1   pushfd 
804fedf2   push     8 
804fedf4   call       nt!KiSystemService (8053d891) 
804fedf9   ret       10h 
  与ntdll.ZwOpenProcess是不是很接近?nt!ZwOpenProcess也只是让nt!KiSystemService调用SSDT中的第0x7A号函数,他自己本身没有进行任何打开进程的实现。 
  到这儿,就可以总结一下了:用户空间中的Zw***和Nt***的实现都是一样的,比如ntdll!ZwOpenProcess和ntdll!NtOpenProcess的入口都是0x7C92D5FE,ntdll!ZwOpenFile和ntdll!NtOpenFile的入口都是0f7C92D59E。内核空间中的Zw函数,是Nt函数的一个Stup,只是mov系统调用号到eax中,转而直接调用(注意,没有像ntdll!ZwOpenProcess)nt!KiSystemService去从SSDT中找到相应号码的函数再调用之,真正的实现都在Nt***函数中。

转载自: http://www.520tian.com/forum.php?mod=viewthread&tid=10&extra=page%3D1

ntoskrnl.exe中Zw*与Nt*的区别相关推荐

  1. ntdll.dll和ntoskrnl.exe中的NT*和ZW*函数区别

    以NtOpenProcess和ZwOpenProcess为例,结合Windbg的lkd调试来说明 1.Q:ntdll.dll中的Nt*和Zw*区别? lkd> u ntdll!zwopenpro ...

  2. Zw*与Nt*的区别

    某些Zw*和Nt*函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢? 我们分三部分比较: step 1: ntdll.dll中的Zw*和Nt*有什么区别? step ...

  3. 了解Zw*与Nt*的区别

    某些Zw*和Nt*函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢? 我们分三部分比较: step 1: ntdll.dll中的Zw*和Nt*有什么区别? step ...

  4. Nt*和Zw*系列函数的区别

    ntdll.dll和ntoskrnl.exe的Nt和Zw系列函数区别 in ring3: lkd> ? ntdll!ZwOpenProcess Evaluate expression: 2089 ...

  5. 修改ntoskrnl.exe的方法

    修改ntoskrnl.exe的方法! 2007-07-31 19:36:42|  分类: 操作系统及应用 |  标签: |字号大中小订阅 PS:应 chinacdc 朋友的要求,下面写一个修改ntos ...

  6. zw和nt开头的系统调用的区别

    在RING3下,应用程序调用NT或者ZW效果是一样的.在RING0下,调用NT函数跟ZW函数就不一样了 ZW开头的函数是通过eax中系统服务号去SSDT中查找相应的系统服务,然后调用之 若在驱动中直接 ...

  7. win2000:ntoskrnl.exe 文件丢失解决一例

    今天windows 2000启动出了点问题如下: 下列档案遗漏或损毁,无法启动 Windows NT:  Winnt_root\System32\Ntoskrnl.exe 请重新安装一份上列档案的拷贝 ...

  8. 至强服务器装2003系统蓝屏,Windows Server 2008 R2 ntoskrnl.exe 引起蓝屏故障,重新启动...

    前不久在HP ProLiant DL360 G6的服务器上面安装了Windows Server 2008 R2,系统一到晚上凌晨就出现蓝屏.重启现象,并且在 C:\Windows\Minidump 目 ...

  9. ntoskrnl.exe文件丢失或损坏的解决方法

    ntoskrnl.exe文件丢失或损坏的解决方法<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:of ...

最新文章

  1. 在JavaScript函数中定义全局变量
  2. 颜水成团队开源VOLO:无需额外数据,首次在ImageNet上达到87.1%的精度
  3. ASP.NET内部原理(HttpHandler和HttpModule)
  4. 如何认识物联网?还云里雾里不?
  5. 【简洁写法】剑指 Offer 32 - I. 从上到下打印二叉树
  6. vue计算属性computed与监听属性watch的基本使用
  7. 【EOJ Monthly 2019.02 - B】解题(思维,抽屉原理,暴力,模运算,优化,tricks)
  8. jdk 安装_Linux安装JDK操作手册
  9. C#_基础_部分类partial(十八)
  10. java复制类mytool,JAVA Beans复制Utils比较
  11. 如何使用代理服务器上网,从基础到高手--转
  12. Java三大特性之多态
  13. layui表格中显示内容换行
  14. b B kb kB kbps KBps 换算
  15. Word如何添加图片水印,看这里就够了!怎样在word加入图像水印
  16. 原来在朋友眼里,我是一个闪闪发光的人
  17. 项目(day01网站流量指标统计)
  18. 我的职场-初入职场遇到一帮好兄弟
  19. stm32h7 串口idle_【STM32H7教程】第29章 STM32H7的USART串口基础知识和HAL库API
  20. 香港大学MSc面试经验分享 | 2019.2.23北京场

热门文章

  1. 51红外控制电机调速
  2. 具备远近端音频改善功能的单声道蓝牙耳机方案
  3. 用python实现五子棋游戏下载_python实现五子棋小游戏
  4. 多功能视频处理器——MS1823
  5. 什么是web前端和后端?
  6. Tomcat具体的查找地址(建议收藏)
  7. 做了几年的网工也未必了解VLAN和VXLAN的区别,今天我来告诉你!
  8. Axure之实现页面的左右切换简单实例
  9. Matlab中生成圆形和环形模板
  10. 学习记录563@求模下指数幂的快速算法(求模指幂快速算法)