ntdll中的zw函数和krl里的zw函数中有相同的ssdt服务号

最新推荐文章于 2024-03-05 16:49:08 发布
原创 最新推荐文章于 2024-03-05 16:49:08 发布 · 451 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#内核开发

本文探讨了NtCreateFile与ZwCreateFile两个系统调用的不同实现方式,通过反汇编代码展示了两者在地址及具体实现上的差异。此外,还对比了NTQuerySystemInformation和ZwQuerySystemInformation函数的不同。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

来源于od,并没有看到有NtCreateFile

ntdll  zwCreateFile

-------------------------

7C92D090 >/$  B8 25000000   mov eax,0x25
7C92D095  |.  BA 0003FE7F   mov edx,0x7FFE0300
7C92D09A  |.  FF12          call dword ptr ds:[edx]                  ;  ntdll.7C99B500
7C92D09C  \.  C2 2C00       retn 0x2C

来源于windgb


nt!ZwCreateFile:

---------------------
80501010 b825000000      mov     eax,25h
80501015 8d542404        lea     edx,[esp+4]
80501019 9c              pushfd
8050101a 6a08            push    8
8050101c e830140400      call    nt!KiSystemService (80542451)
80501021 c22c00          ret     2Ch


但是用peiD查看 NTQuerySystemInformation 和 ZwQuerySystemInformation 函数地址不一样,且函数不一样。

NtCreateFile

------------------------------------
7C92D020: B81E000000               MOV EAX, 0000001EH

7C92D025: BA0003FE7F               MOV EDX, 7FFE0300H

7C92D02A: FF12                     CALL [EDX]

7C92D02C: C20400                   RETN 0004H


ZwCreateFile
7C92D090: B825000000               MOV EAX, 00000025H

7C92D095: BA0003FE7F               MOV EDX, 7FFE0300H

7C92D09A: FF12                     CALL [EDX]

7C92D09C: C22C00                   RETN 002CH





打印出ntdll.dll中所有函数名字地址
dididisailor的博客
11-26 3541
0x01 打印出ntdll.dll中所有函数名字地址 0x02 在任何进程中都可以找到ntdll.dllkernel32.dll这个动态链接库的基地址,另外每一个动态链接库基地址实际上都存放在一个双向链表的节点上,只要找到这个双向链表,就可以找到所需要的动态链接库基地址,然后就可以调用乱七八糟的函数,将shellcode放在一个精妙的地方。 0x03 代码如下: // GetKern...
ntdll.dllntoskrnl.exe中的NT*ZW*函数区别
十年磨一剑,霜刃未曾试!
08-11 2947
<br />以NtOpenProcessZwOpenProcess为例,结合Windbg的lkd调试来说明<br />1、Q:ntdll.dll中的Nt*Zw*区别?<br />lkd> u ntdll!zwopenprocess l4<br />ntdll!ZwOpenProcess:<br />7c92d5fe b87a000000      mov     eax,7Ah           //函数服务号<br />7c92d603 ba0003fe7f       mov     edx,of
(转)shadow ssdt 服务表函数索引
weixin_30700099的博客
12-21 194
http://www.cnblogs.com/gaozili/archive/2011/11/02/2233450.html kd> dd nt!KeServiceDescriptorTableShadow L88055a6c0 804e36a8 00000000 0000011c 80513eb88055a6d0 bf997600 00000000 0000029b bf9...
使用OD从ntdll.dll面看到SSDT的房间号
weixin_30877493的博客
11-07 283
使用od打开c:\windows\system32\ntdll.dll如下图: ZwGetContextThread 就是第0x55 个 ZwOpenProcess就是第0x7A个啦. 房间号拿来做什么呢? === 转载于:https://www.cnblogs.com/forworldpeace/archive/2012/11/07/2758903.html...
Nt**、Zw**Rtl** 开头的函数介绍
09-15 2095
      首先他们都是微软未公开的函数,之所以未公开主要是因为这些函数大部分功能太强大了,把他们公开会让一些别有用心的人利用。9x下的我不知道,NT(含2000/xp)下你可以参考《Windows NT Native API》,他们中的大部分函数几乎就从来没有变过。而几乎所有从Kenerl.dll中引出的Win32API,都是通过调用的Native API(NTDLL.DLL中导出)实现系统调用
SSDT HOOK中的获取函数服务号
it技术学习
08-01 1614
SSDT HOOK中的获取函数服务号:(因为SSDT中的函数ntdll.dll均为导出函数) R3下:1)LoadLibrary  "ntdll.dll"          2)GetProcAddress  得到ntdll.dll导出表中函数地址address        3)FunctionIndex = *( PULONG )( address + 1 )          4)
Windows系统中如何获取系统的启动时间.NTDLL.DLL中有很多鲜为人知的API函数,这些函数非常有用
03-20
总结来说,利用NTDLL.DLL中的`ZwQuerySystemInformation`函数`SYSTEM_BASIC_INFORMATION`结构,我们可以有效地获取Windows系统的启动时间。这个过程涉及到Windows API的使用、内存分配、时间转换等多个方面,对于...
ntdll.dll导出函数统计
05-14
### ntdll.dll导出函数统计 #### 概述 `ntdll.dll`是Windows操作系统中的核心DLL之一,包含了大量与内核交互的功能接口。这些接口对于开发驱动程序、进行系统级编程等任务至关重要。本文将详细介绍`ntdll.dll`导出...
ntdll中一些未公开函数
03-03
ntdll中一些未公开函数,英文chm文件
go-ntdll:转到NTDLL函数的接口
05-16
该软件包使选定的NTDLL函数可以直接在Go程序中使用。 目前,包括用于访问内核对象注册表的类型功能。 目标是最终覆盖所有可用功能。 笔记 请不要认为此代码(尤其是自动生成的代码)是稳定的。 标识符名称可能...
NTDLL导出API的头文件及LIB文件
02-08
资源为NTDLL的导出API的头文件及LIB文件
Nt系列函数Zw系列函数的关系
Changju博客
01-28 3477
常有人搞不清这两组函数的关系,因为调用接口实现功能一样,有些人就认为他们是同一个函数的不同名称。实际上他们是有区别的,借助windbg这个工具,我们就可以一探究竟。         在ring3层,这两组函数确实是同一个函数,用u命令对NtReadFile以及ZwReadFile反汇编发现,他们的起始地址是一样的。调用ntdll.dll这个动态库的函数时,声明成这两种形式都可以,不过按照微软的
ssdt函数索引号_取得ZwWriteFile等Zw函数SSDT中的索引号 | 学步园
weixin_36278287的博客
01-30 170
在windbg,int3中断下输入:kd> u nt!ZwWriteFilewindbug打印出一下ZwWriteFile反汇编信息nt!ZwWriteFile:80500300 b812010000 mov eax,112h80500305 8d542404 lea edx,[esp+4]80500309 9c pushfd...
ntdll函数的完整说明(包括Undocumented and Documented)- 应求
温研的专栏 (探索OS内核的奥秘)
09-30 4390
    通过ntdll导出的Native API可在用户态实现一些原本只能在内核才能实现的功能,但是这些函数及其使用的数据结构有很大一部分是Undocumented的(Documented的可在DDK中查到相关信息)。下面的链接提供了一个.chm文件,其中详细描述了这些Undocumented的Native API相关数据结构。  点击下载
NtZw函数SSDTSST
weixin_34234823的博客
03-29 192
系统服务分发: lkd> dd KeServiceDescriptorTableShadow 805634e0 804e58d0 00000000 0000011c 80512114 // ntoskrnl 805634f0 bf99f280 00000000 0000029b bf99ff90 // win32k 80563500...
了解Zw*与Nt*的区别
移动开发记录
10-31 356
某些Zw*Nt*函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢? 我们分三部分比较: step 1: ntdll.dll中的Zw*Nt*有什么区别? step 2: ntoskrnl.exe中的Zw*Nt*有什么区别? step 3: ntdll.dll中的Zw*与ntoskrnl.exe中的Zw*有什么区别? ntdll.dll中的Nt...
NTdll函数原型
lwqamm的博客
03-05 1059
NtFsControlFile 发送一个I/O控制IOCTL为代表的公开设备对象.通常用于文件系统有关的特别命令.NtNotifyChangeDirectoryFile 寄存器一个线程希望得到通知时,一个目录的内容发生变化.NtDeviceIoControlFile 发送IOCTL装置的设备驱动,这是一个打开的文件对象.NtCreateIoCompletion 告诉I/O管理器,一个线程希望时得到通知的I/O完成.NtImpersonateClientOfPort 线程模拟确定的进程的另一端的一个港口.
NTDLL中有用的函数
weixin_33726313的博客
06-29 1230
1. NTSYSAPI PIMAGE_NT_HEADERS NTAPI RtlImageNtHeader( IN PVOID ModuleAddress ); 转载于:https://www.cnblogs.com/fanzi2009/archive/2011/06/16/2082271.html...
怎么在windbg中查看ntdll中的指定函数
最新发布
08-07
我们正在使用Windbg查看ntdll.dll中的特定函数。用户的问题是如何在Windbg中查看ntdll中的指定函数。 根据引用[1]引用[2],我们知道Windbg是一个强大的调试器,可以加载扩展模块来增强功能。引用[3]提到了加载SOS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值