程序地带

Zw*与Nt*的区别


某些Zw和Nt函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢? 我们分三部分比较: step 1: ntdll.dll中的Zw和Nt有什么区别? step 2: ntoskrnl.exe中的Zw和Nt有什么区别? step 3: ntdll.dll中的Zw与ntoskrnl.exe中的Zw有什么区别? ntdll.dll中的Nt与ntoskrnl.exe中的Nt有什么区别? 在下面的讨论中我们以ZwCreateFile和NtCreateFile为例


讨论前:我先贴点Kd给我们的答案 Part1: kd> u Ntdll! ZwCreateFile L4 ntdll!ZwCreateFile: 77f87cac b820000000 mov eax,0x20 77f87cb1 8d542404 lea edx,[esp+0x4] 77f87cb5 cd2e int 2e 77f87cb7 c22c00 ret 0x2c kd> u Ntdll! NtCreateFile L4 ntdll!ZwCreateFile: 77f87cac b820000000 mov eax,0x20 77f87cb1 8d542404 lea edx,[esp+0x4] 77f87cb5 cd2e int 2e 77f87cb7 c22c00 ret 0x2c


Part2: kd> u Nt!ZwCreateFile L4 nt!ZwCreateFile: 8042fa70 b820000000 mov eax,0x20 8042fa75 8d542404 lea edx,[esp+0x4] 8042fa79 cd2e int 2e 8042fa7b c22c00 ret 0x2c kd> u Nt!NtCreateFile L14 nt!NtCreateFile: 804a7172 55 push ebp 804a7173 8bec mov ebp,esp 804a7175 33c0 xor eax,eax 804a7177 50 push eax 804a7178 50 push eax 804a7179 50 push eax 804a717a ff7530 push dword ptr [ebp+0x30] 804a717d ff752c push dword ptr [ebp+0x2c] 804a7180 ff7528 push dword ptr [ebp+0x28] 804a7183 ff7524 push dword ptr [ebp+0x24] 804a7186 ff7520 push dword ptr [ebp+0x20] 804a7189 ff751c push dword ptr [ebp+0x1c] 804a718c ff7518 push dword ptr [ebp+0x18] 804a718f ff7514 push dword ptr [ebp+0x14] 804a7192 ff7510 push dword ptr [ebp+0x10] 804a7195 ff750c push dword ptr [ebp+0xc] 804a7198 ff7508 push dword ptr [ebp+0x8] 804a719b e8b284ffff call nt!IoCreateFile (8049f652) 804a71a0 5d pop ebp 804a71a1 c22c00 ret 0x2c


Part1 输出的是Ntdll.dll中ZwCreateFile和NtCreateFile的汇编代码,我们发现实现是一样的; eax是中断号,edx是函数的参数起始地址([Esp]是返回地址);从而我可以大胆的说:Ntdll.dll中ZwCreateFile和NtCreateFile功能是一样的作用:都是调用int 2E中断;

IDA给我们的答案: .text:77F87CAC ; Exported entry 92. NtCreateFile .text:77F87CAC ; Exported entry 740. ZwCreateFile .text:77F87CAC .text:77F87CAC .text:77F87CAC public ZwCreateFile .text:77F87CAC ZwCreateFile proc near ; .text:77F87CAC .text:77F87CAC arg_0 = dword ptr 4 .text:77F87CAC .text:77F87CAC mov eax, 20h ; NtCreateFile .text:77F87CB1 lea edx, [esp+arg_0] .text:77F87CB5 int 2Eh ; DOS 2+ internal - EXECUTE COMMAND .text:77F87CB5 ; DS:SI -> counted CR-terminated command string .text:77F87CB7 retn 2Ch .text:77F87CB7 ZwCreateFile endp


原来在ntdll中NtCreateFile只是ZwCreateFile的别名。


Part2 输出的是Ntoskrnl.exe中ZwCreateFile和NtCreateFile的汇编代码,也许令你很失望,汇编代码不一 样;ZwCreateFile中eax是中断号,edx是函数的参数起始地址,然后调用int 2E中断; NtCreateFile只是把参数入栈去调用IoCreateFile; 他们的区别是:NtCreateFile是实现代码,而 ZwCreateFile仍通过中断来实现功能,2E软中断的20h子中断号的处理程序是NtCreateFile;这样一说他们是没区别了? 错!NtCreateFile是在ring0下了,而ZwCreateFile是通过int 2E进入ring0的,而不论ZwCreateFile处于什么模式下。

从而我们得出: ntdll.dll中ZwCreateFile与ntoskrnl.exe中ZwCreateFile的区别是:前者是user Mode application called,后者是Kernel Mode driver Called; ntdll.dll中NtCreateFile与ntoskrnl.exe中NtCreateFile区别是:前者在ring3下工作,后者在ring0下工作;前者通过中断实现,后者是前者的中断处理程序。


版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41823120/article/details/112689148

随机推荐

Linux学习(一)

一、linx简介二、VM和linux(CentOS)系统的安装三、终端的使用和联网四、vmtools的安装和使用五、文件系统目录结构一.linux简介linux是一款操作系...

若能绽放光丶 阅读(831)

322. 零钱兑换

给定不同面额的硬币 coins 和一个总金额 amount。编写一个函数来计算可以凑成总金额所需的最少的硬币个数。如果没有任何一种硬币组合能组成总金额,返回 -1。你可以认为每种硬币的数...

韩师学子--小倪 阅读(502)

c语言实现水仙花数

水仙花数:实际上是自幂数的定义自幂数的定义:对于一个n位数来说:如果每个位的数字的n次幂之和等于该n位数,那么我们就称该数为自幂数。对于3位数来...

tjh1998 阅读(290)

ap sat_对于AP考试还是SAT考试你选择对了吗?

最近很多九天的小伙伴儿们都在咨询自己到底是要进行AP考试还是SAT考试?接下来就跟着九天教育老师一起来说说AP考试和SAT考试吧。SAT考试或AP考试成绩可以说是美国前30名大学申请必备...

weixin_39629269 阅读(137)

如何定义visit函数_动态语言如何做静态分析

如何定义visit函数_动态语言如何做静态分析

我们经常会讨论到静态语言与动态语言的对比。静态语言和动态语言的说法不太严谨,准确地说,是静态类型语言(statictypinglanguage)和动态类型语言(dynami...

短鱼儿商学院 阅读(263)