某些zw和nt函式既在ntdll.dll中匯出又在ntoskrnl.exe中匯出,他們有什麼區別呢?
我們分三部分比較:
step 1: ntdll.dll中的zw和nt有什麼區別?
step 2: ntoskrnl.exe中的zw和nt有什麼區別?
step 3: ntdll.dll中的zw與ntoskrnl.exe中的zw有什麼區別?
ntdll.dll中的nt與ntoskrnl.exe中的nt有什麼區別?
在下面的討論中我們以zwcreatefile和ntcreatefile為例
討論前:我先貼點kd給我們的答案
part1:
kd> u ntdll! zwcreatefile l4
ntdll!zwcreatefile:
77f87cac b820000000 mov eax,0x20
77f87cb1 8d542404 lea edx,[esp+0x4]
77f87cb5 cd2e int 2e
77f87cb7 c22c00 ret 0x2c
kd> u ntdll! ntcreatefile l4
ntdll!zwcreatefile:
77f87cac b820000000 mov eax,0x20
77f87cb1 8d542404 lea edx,[esp+0x4]
77f87cb5 cd2e int 2e
77f87cb7 c22c00 ret 0x2c
part2:
kd> u nt!zwcreatefile l4
nt!zwcreatefile:
8042fa70 b820000000 mov eax,0x20
8042fa75 8d542404 lea edx,[esp+0x4]
8042fa79 cd2e int 2e
8042fa7b c22c00 ret 0x2c
kd> u nt!ntcreatefile l14
nt!ntcreatefile:
804a7172 55 push ebp
804a7173 8bec mov ebp,esp
804a7175 33c0 xor eax,eax
804a7177 50 push eax
804a7178 50 push eax
804a7179 50 push eax
804a717a ff7530 push dword ptr [ebp+0x30]
804a717d ff752c push dword ptr [ebp+0x2c]
804a7180 ff7528 push dword ptr [ebp+0x28]
804a7183 ff7524 push dword ptr [ebp+0x24]
804a7186 ff7520 push dword ptr [ebp+0x20]
804a7189 ff751c push dword ptr [ebp+0x1c]
804a718c ff7518 push dword ptr [ebp+0x18]
804a718f ff7514 push dword ptr [ebp+0x14]
804a7192 ff7510 push dword ptr [ebp+0x10]
804a7195 ff750c push dword ptr [ebp+0xc]
804a7198 ff7508 push dword ptr [ebp+0x8]
804a719b e8b284ffff call nt!iocreatefile (8049f652)
804a71a0 5d pop ebp
804a71a1 c22c00 ret 0x2c
part1 輸出的是ntdll.dll中zwcreatefile和ntcreatefile的彙編**,我們發現實現是一樣的;
eax是中斷號,edx是函式的引數起始位址([esp]是返回位址);從而我可以大膽的說:ntdll.dll中zwcreatefile和ntcreatefile功能是一樣的作用:都是呼叫int 2e中斷;
ida給我們的答案:
.text:77f87cac ; exported entry 92. ntcreatefile
.text:77f87cac ; exported entry 740. zwcreatefile
.text:77f87cac
.text:77f87cac
.text:77f87cac public zwcreatefile
.text:77f87cac zwcreatefile proc near ;
.text:77f87cac
.text:77f87cac arg_0 = dword ptr 4
.text:77f87cac
.text:77f87cac mov eax, 20h ; ntcreatefile
.text:77f87cb1 lea edx, [esp+arg_0]
.text:77f87cb5 int 2eh ; dos 2+ internal - execute command
.text:77f87cb5 ; ds:si -> counted cr-terminated command string
.text:77f87cb7 retn 2ch
.text:77f87cb7 zwcreatefile endp
原來在ntdll中ntcreatefile只是zwcreatefile的別名。
part2 輸出的是ntoskrnl.exe中zwcreatefile和ntcreatefile的彙編**,也許令你很失望,彙編**不一 樣;zwcreatefile中eax是中斷號,edx是函式的引數起始位址,然後呼叫int 2e中斷; ntcreatefile只是把引數入棧去呼叫iocreatefile;
他們的區別是:ntcreatefile是實現**,而 zwcreatefile仍通過中斷來實現功能,2e軟中斷的20h子中斷號的處理程式是ntcreatefile;這樣一說他們是沒區別了? 錯!ntcreatefile是在ring0下了,而zwcreatefile是通過int 2e進入ring0的,而不論zwcreatefile處於什麼模式下。
Zw 與Nt 的區別
某些zw 和nt 函式既在ntdll.dll中匯出又在ntoskrnl.exe中匯出,他們有什麼區別呢?我們分三部分比較 step 1 ntdll.dll中的zw 和nt 有什麼區別?step 2 ntoskrnl.exe中的zw 和nt 有什麼區別?step 3 ntdll.dll中的zw 與nt...
zw函式和nt函式的區別
核心解惑 zw函式和nt函式的區別 lkd u zwopenprocess nt zwopenprocess 804de044 b87a000000 mov eax,7ah 804de049 8d542404 lea edx,esp 4 804de04d 9c pushfd 804de04e 6a0...
Zw函式與Nt函式的分別與聯絡
ring3中的native api,和ring0的系統呼叫,都有同名的zw和nt系列函式,一度讓初學者感到迷糊。n久前的我,也是相當的迷糊。現在就以zwopenprocess和ntopenprocess函式為例,詳細闡述下他們的分別和聯絡。ntdll.dll匯出了ntopenprocess和zwop...