内核态调用Nt*函数

最新推荐文章于 2024-01-21 21:30:11 发布
最新推荐文章于 2024-01-21 21:30:11 发布
阅读量1.6k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: c buffer header hook 杀毒软件 access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iiprogram/article/details/2792234
版权
本文介绍了NtReadFile和ZwReadFile在用户态和内核态的区别,并探讨了在内核态直接调用Nt*函数的原因,包括如何绕过监控以及解决调用中的问题,如修改PreviousMode来避免ACCESS_VIOLATION错误。通过分析内核代码,展示了如何在内核态正确调用Nt*函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2007-11-18 22:27
我先简单介绍一下Nt系列函数与Zw系列函数的区别 以ReadFile为例   ntdll.dll导出了ZwReadFile和NtReadFile 以下是反汇编代码
.text:7C92E27C ; __stdcall NtReadFile(x, x, x, x, x, x, x, x, x)
.text:7C92E27C                 public _NtReadFile@36
.text:7C92E27C _NtReadFile@36 proc near               ; CODE XREF: RtlGetSetBootStatusData(x,x,x,x,x,x)+5F p
.text:7C92E27C                                         ; RtlGetSetBootStatusData(x,x,x,x,x,x):loc_7C95170D p ...
.text:7C92E27C                 mov     eax, 0B7h       ; NtReadFile
.text:7C92E281                 mov     edx, 7FFE0300h
.text:7C92E286                 call    dword ptr [edx]
.text:7C92E288                 retn    24h
.text:7C92E288 _NtReadFile@36 endp
.text:7C92E288
.text:7C92E288 ; ---------------------------------------------------------------------------
.text:7C92E28B                 db 6 dup(90h)
.text:7C92E291 ; Exported entry 274. NtReadFileScatter
.text:7C92E291 ; Exported entry 1083. ZwReadFileScatter
.text:7C92E291
我们可以看到 ZwReadFile和NtReadFile函数指向同一段代码....
也就是说在用户态 不管你调用ZwReadFile还是NtReadFile都是一样的 因为他们是同一个函数的两个不同名称而已.... 而且他们最终都会调用到ntoskrnl中的NtReadFile中去

而ntoskrnl.exe导出的ZwReadFile和NtReadFile却是不同的
.text:00406508 ; NTSTATUS __stdcall ZwReadFile(HANDLE FileHandle,HANDLE Event,PIO_APC_ROUTINE ApcRoutine,PVOID ApcContext,PIO_STATUS_BLOCK IoStatusBlock,PVOID Buffer,ULONG Length,PLARGE_INTEGER ByteOffset,PULONG Key)
.text:00406508                 mov     eax, 0B7h
.text:0040650D                 lea     edx, [esp+FileHandle]
.text:00406511                 pushf
.text:00406512                 push    8
.text:00406514                 call    _KiSystemService
.text:00406519   
最低0.47元/天 解锁文章
NT内核和驱动开发的基础知识-笔记
kernelspy
10-25 3085
这是我在学习NT内核和驱动开发的基础知识时记录的一些笔记,不是连续的教程,欢迎指正错误的地方 -------------------------------------------------------------------------------------------- NT内核模式组成部分(从上到下:NT执行体/NT内核/HAL硬件抽象层): 1、HAL硬件抽象层    NT
Nt内核函数大全
10-07
windows内核下的NT函数,包括函数的原型,参数介绍,参数功能,内核开发参考工具。
Nt内核函数原型and中文
dengjiatao9832的博客
09-21 605
NtLoadDriver 服务控制管理器加载设备驱动. NtUnloadDriver 服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice 加载新驱动文件. NtQueryIntervalProfile 返回数据. NtSetIntervalProfile 指定采样间隔. NtStartProfile 开始取样. NtStopProfile 停止...
Nt系列函数
huanongying131的博客
11-19 2653
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfuc.html         83   4B 0007C008 NlsAnsiCodePage          84   4C 0007C010 NlsMbCodePageTag          85   4D 0007C018 NlsMbOemCodePageTag          86   ...
NT 函数原型
lei35151的专栏
11-15 4405
NTSYSAPI NTSTATUS NTAPI NtAcceptConnectPort( OUT PHANDLE PortHandle, IN PVOID PortIdentifier, IN PPORT_MESSAGE Message, IN BOOLEAN Accept, IN OUT PPORT_VIEW ServerView OPTIONAL, OUT PREMOTE_P
Nt函数原型
weixin_30883271的博客
04-06 350
Nt函数原型 1 NTSTATUS 2 NTAPI 3 NtAcceptConnectPort( 4 OUT PHANDLE PortHandle, 5 IN PVOID PortIdentifier, 6 ...
windowsNt内核函数大全.doc
最新发布
05-15
### Windows NT 内核函数详解 #### 一、设备与驱动管理 - **NtLoadDriver**:此函数由服务控制管理器(Service Control Manager, SCM)调用来加载设备驱动程序。当系统启动时,SCM 会读取注册表中的配置信息来决定...
Windows NT内核函数调用追踪技术研究
这篇博士论文详细探讨了在Windows NT内核中追踪函数调用的技术和方法。作者Roman Kápl在查尔斯大学数学与物理学院的分布式和可靠系统部门完成了这项研究,指导教师是Pavel Ježek博士,专业方向为计算机科学编程。 ...
全面解析Nt内核函数:功能与原型定义
这些Nt函数的名称通常以"Nt"开头,如NtCreateFile。同时还有一个以"Zw"开头的同功能函数集合,如ZwCreateFile。这两个集合实际上是相同的函数,只是参数的顺序略有不同,这在某些特定情况下会给系统调用者带来不同的...
Nt内核函数大全深度解析与应用指导
### Windows内核编程与Nt函数基础 首先,Windows操作系统由多个层次组成,其中用户态和内核态是两个基本的运行级别。内核态执行的操作拥有最高的权限,可以访问系统的所有资源。Windows内核提供了一组内核对象和...
windows内核态导出未文档化函数源码
01-12
内核态中使用那些没有被导出的函数,例如ntdll中的ZwShutdownSystem等等,已经封装成函数CallZwFunction,使用例子也写在文件中,在内核态里可以直接调用
NT 内核函数原型大全
lwqamm的博客
01-21 1161
原文地址:
C语言在用户模式使用NT函数
u011311291的博客
09-04 2644
C语言要使用NT函数并不像使用库函数那么简单,下面介绍一下使用方法,以NtSetInformationFile为例:#include <windows.h> #include <stdio.h>//因为NtSetInformationFile方法要用到FILE_INFORMATION_CLASS的值,所以这里全部枚举出来 //当然你也可以直接使用1,2,3,这样值代替,只是这样定义以后在后面使用更接
Nt*和Zw*开头的函数
qiaoli的知识备忘录
09-23 2463
原文 Ring3中的NATIVE API,和Ring0的系统调用,都有同名的Zw和Nt系列函数,这些Zw*Nt*函数既在ntdll.dll(Ring3)中导出又在ntoskrnl.exe(Ring0)中导出,他们有什么区别呢? 我们先来看看ntdll.dll和ntoskrnl.exe的关系。 Win32 API中的所有调用最终都转向了ntdll.dll,再由它转发至ntoskrnl
Nt系列函数与Zw系列函数的关系
Changju博客
01-28 3427
常有人搞不清这两组函数的关系,因为调用接口和实现功能一样,有些人就认为他们是同一个函数的不同名称。实际上他们是有区别的,借助windbg这个工具,我们就可以一探究竟。         在ring3层,这两组函数确实是同一个函数,用u命令对NtReadFile以及ZwReadFile反汇编发现,他们的起始地址是一样的。调用ntdll.dll这个动态库的函数时,声明成这两种形式都可以,不过按照微软的
绕过win32 api 调用执行体层函数
weixin_33936401的博客
03-06 184
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值