zw函数和nt函数的区别

最新推荐文章于 2020-03-30 21:57:00 发布
转载 最新推荐文章于 2020-03-30 21:57:00 发布 · 1.4k 阅读 · 1
文章标签:

#NT #nt #zw

内核解惑:zw函数和nt函数的区别

lkd> u ZwOpenProcess
nt!ZwOpenProcess:
804de044 b87a000000 mov eax,7Ah
804de049 8d542404 lea edx,[esp+4]
804de04d 9c pushfd
804de04e 6a08 push 8
804de050 e8dc150000 call nt!KiSystemService (804df631)
804de055 c21000 ret 10h
lkd> u NtOpenProcess
nt!NtOpenProcess:
80573d06 68c4000000 push 0C4h
80573d0b 6810b44e80 push offset nt!ObWatchHandles+0x25c (804eb410)
80573d10 e826f7f6ff call nt!_SEH_prolog (804e343b)
80573d15 33f6 xor esi,esi
80573d17 8975d4 mov dword ptr [ebp-2Ch],esi
80573d1a 33c0 xor eax,eax
80573d1c 8d7dd8 lea edi,[ebp-28h]
80573d1f ab stos dword ptr es:[edi]



这是看雪上某人反的两个函数。

从用户模式调用Nt和Zw API,如NtReadFile和ZwReadFile,二者没有任何区别,通过设置系统服务表中的索引和在堆栈中设置参数,经由SYSENTER指令进入内核态(而不是象w2k中通过int 0x2e中断),并最终由KiSystemService跳转到KiServiceTable对应的系统服务例程中。由于是从用户模式进入内核模式,因此代码会严格检查用户空间传入的参数。

从内核模式调用Nt和Zw API,连接nooskrnl.lib:
Nt系列API将直接调用对应的函数代码,而Zw系列API则通过KiSystemService,最终跳转到对应的函数代码。

重要的是两种不同的调用对内核中previous mode的改变,如果是从用户模式调用Native API则previous mode是用户态,如果从内核模式调用Native API则previous mode是内核态。previous为用户态时Native API将对传递的参数进行严格的检查,而为内核态时则不会。
调用Nt API时不会改变previous mode的状态,调用Zw API时会将previous mode改为内核态,因此在进行Kernel Mode Driver开发时可以使用Zw系列API可以避免额外的参数列表检查,提高效率。
tiankong_bear
关注
【驱动之四】NtZw
seedluo815的专栏
05-05 1351
Ring3中的NATIVE API,Ring0的系统调用,都有同名的ZwNt系列函数,一度让初学者感到迷糊。现在就以ZwOpenProcessNtOpenProcess函数为例,详细阐述下他们的分别联系。  ntdll.dll导出了NtOpenProcessZwOpenProcess两个函数,我们记为ntdll!NtOpenProcessntdll!ZwOpenProcess。仔细看
Nt内核函数大全
11-23
Nt函数是原始的、未经过封装的形式,而Zw函数则是在Nt函数上添加了错误处理的版本。两者在功能上大体相同,但Zw函数更易于使用,因为它们会自动处理错误并返回状态码。 1. **进程管理**:NtCreateProcess、...
了解Zw*与Nt*的区别
移动开发记录
10-31 355
某些Zw*Nt*函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢? 我们分三部分比较: step 1: ntdll.dll中的Zw*Nt*有什么区别? step 2: ntoskrnl.exe中的Zw*Nt*有什么区别? step 3: ntdll.dll中的Zw*与ntoskrnl.exe中的Zw*有什么区别? ntdll.dll中的Nt...
Zw*与Nt*的区别
sea
12-28 1458
某些Zw*Nt*函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢?我们分三部分比较:step 1: ntdll.dll中的Zw*Nt*有什么区别?step 2: ntoskrnl.exe中的Zw*Nt*有什么区别?step 3: ntdll.dll中的Zw*与ntoskrnl.exe中的Zw*有什么区别?         ntdll.dll中的Nt*与nt
ZWNT函数区别
zhuhuibeishadiao
04-10 3096
区别Ntdll.dll中:完全一样 Ntoskrnl.exe中: Zw*nt*,即nt函数更底层 Zw*函数会把PreviousMode设置为KernelMode  然后再调用Nt*函数,因此在Nt*函数中就不会进行参数检查。而如果直接调用Nt*函数的话 , 必须自己将PreviousMode设置为KernelMode,否则PreviousMode很可能仍然是UserMode, 这样
Nt*Zw*开头的函数
qiaoli的知识备忘录
09-23 2480
原文 Ring3中的NATIVE API,Ring0的系统调用,都有同名的ZwNt系列函数,这些Zw*Nt*函数既在ntdll.dll(Ring3)中导出又在ntoskrnl.exe(Ring0)中导出,他们有什么区别呢? 我们先来看看ntdll.dllntoskrnl.exe的关系。 Win32 API中的所有调用最终都转向了ntdll.dll,再由它转发至ntoskrnl
Nt内核函数大全深度解析与应用指导
在最新的Windows版本中,Nt函数Zw函数在调用上已经没有明显区别。 ### Nt内核函数的具体分类 Nt内核函数可以根据其管理的系统资源或执行的功能被分类。以下是一些典型的分类及其代表性的函数或功能: 1. **进程...
深入解析NtQueryValueFile与Nt文件操作函数
在内核模式下,"Nt""Zw"函数的实现最终会调用相同的底层例程,但在用户模式下,"Zw"函数是主要的接口。因为安全兼容性原因,"Zw"系列函数被设计为在用户模式下也能被调用,同时隐藏了实现的细节。 在文档资料...
全面解析Nt内核函数:功能与原型定义
这些Nt函数的名称通常以"Nt"开头,如NtCreateFile。同时还有一个以"Zw"开头的同功能函数集合,如ZwCreateFile。这两个集合实际上是相同的函数,只是参数的顺序略有不同,这在某些特定情况下会给系统调用者带来不同的...
windows驱动写日志,有ZwFlt,记录操作某一文件夹的进程名
12-16
Zw系列函数是Windows NT内核提供的低级别系统调用接口,用于在内核模式下执行各种操作。在驱动程序中,我们可以利用`ZwCreateFile`、`ZwWriteFile`等函数创建写入日志文件。例如,当驱动检测到对特定文件夹的操作...
Zw函数Nt函数的分别与联系
Tommy(凌飞)的专栏
08-24 1309
Ring3中的NATIVE API,Ring0的系统调用,都有同名的ZwNt系列函数,一度让初学者感到迷糊。N久前的我,也是相当的迷糊。现在就以ZwOpenProcessNtOpenProcess函数为例,详细阐述下他们的分别联系。 ntdll.dll导出了NtOpenProcessZwOpenProcess两个函数,我们记为ntdll!NtOpenProcessntdll!ZwOpe
内核解惑:zw函数nt函数区别
收集学习过程中对自己有帮助的牛人文章
12-03 6698
转载自:http://hi.baidu.com/resoft007/item/eb510a0d0ae2ac03addc7019 http://bbs.pediy.com/showthread.php?t=106888 http://bbs.pediy.com/showthread.php?t=55142 解惑:http://blog.youkuaiyun.com/u012410612/artic
Nt系列函数Zw系列函数的关系
Changju博客
01-28 3474
常有人搞不清这两组函数的关系,因为调用接口实现功能一样,有些人就认为他们是同一个函数的不同名称。实际上他们是有区别的,借助windbg这个工具,我们就可以一探究竟。         在ring3层,这两组函数确实是同一个函数,用u命令对NtReadFile以及ZwReadFile反汇编发现,他们的起始地址是一样的。调用ntdll.dll这个动态库的函数时,声明成这两种形式都可以,不过按照微软的
zwnt开头的系统调用的区别
namelcx的专栏
09-05 1943
在RING3下,应用程序调用NT或者ZW效果是一样的。在RING0下,调用NT函数ZW函数就不一样了 ZW开头的函数是通过eax中系统服务号去SSDT中查找相应的系统服务,然后调用之 若在驱动中直接调用NT开头的函数是不会经过SSDT的 也不会被SSDT HOOK拦截的
本地系统服务例程:NtZw系列函数
weixin_33857230的博客
09-14 267
Windows本地操作系统服务API由一系列以NtZw为前缀的函数实现的,这些函数以内核模式运行,内核驱动可以直接调用这些函数,而用户层程序只能通过系统进行调用。通常情况下用户层应用程序不会直接调用NtZw函数,更多的是通过直接调用Win32函数,这些Win32函数内部会调用NtZw函数,但也仅限于通常情况下,当Win32函数不支持一些操作时,用户层也会直接调用这些本地系统服务函数。 N...
Windows API 理解----Nt* Zw*
qq_42021840的博客
03-30 885
在你要理解ZwNt 系列API时,你首先要知道一点,那就是系统调用。什么是系统调用呢? 系统调用:操作系统为应用程序提供的可被调用的一组函数,也叫“System Call”。 从软件角度来看,这些系统调用都是操作系统为软件提供的服务,所以也称“系统服务”,也可以说两个名词是同名词。 系统调用所提供的服务都是在内核中实现的,而软件是在用户空间运行的,其实两者就是CP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值