Zw 與Nt 的區別

某些zw*和nt*函式既在ntdll.dll中匯出又在ntoskrnl.exe中匯出，他們有什麼區別呢？

我們分三部分比較：

step 1: ntdll.dll中的zw*和nt*有什麼區別？

step 2: ntoskrnl.exe中的zw*和nt*有什麼區別？

step 3: ntdll.dll中的zw*與ntoskrnl.exe中的zw*有什麼區別? 

ntdll.dll中的nt*與ntoskrnl.exe中的nt*有什麼區別?

在下面的討論中我們以zwcreatefile和ntcreatefile為例

討論前：我先貼點kd給我們的答案

part1:

kd> u ntdll! zwcreatefile l4

ntdll!zwcreatefile:

77f87cac b820000000       mov     eax,0x20

77f87cb1 8d542404         lea     edx,[esp+0x4]

77f87cb5 cd2e             int     2e

77f87cb7 c22c00           ret     0x2c

kd> u ntdll! ntcreatefile l4

ntdll!zwcreatefile:

77f87cac b820000000       mov     eax,0x20

77f87cb1 8d542404         lea     edx,[esp+0x4]

77f87cb5 cd2e             int     2e

77f87cb7 c22c00           ret     0x2c

part2:

kd> u nt!zwcreatefile l4

nt!zwcreatefile:

8042fa70 b820000000       mov     eax,0x20

8042fa75 8d542404         lea     edx,[esp+0x4]

8042fa79 cd2e             int     2e

8042fa7b c22c00           ret     0x2c

kd> u nt!ntcreatefile l14

nt!ntcreatefile:

804a7172 55               push    ebp

804a7173 8bec             mov     ebp,esp

804a7175 33c0             xor     eax,eax

804a7177 50               push    eax

804a7178 50               push    eax

804a7179 50               push    eax

804a717a ff7530           push    dword ptr [ebp+0x30]

804a717d ff752c           push    dword ptr [ebp+0x2c]

804a7180 ff7528           push    dword ptr [ebp+0x28]

804a7183 ff7524           push    dword ptr [ebp+0x24]

804a7186 ff7520           push    dword ptr [ebp+0x20]

804a7189 ff751c           push    dword ptr [ebp+0x1c]

804a718c ff7518           push    dword ptr [ebp+0x18]

804a718f ff7514           push    dword ptr [ebp+0x14]

804a7192 ff7510           push    dword ptr [ebp+0x10]

804a7195 ff750c           push    dword ptr [ebp+0xc]

804a7198 ff7508           push    dword ptr [ebp+0x8]

804a719b e8b284ffff       call    nt!iocreatefile (8049f652)

804a71a0 5d               pop     ebp

804a71a1 c22c00           ret     0x2c

1) part1 輸出的是ntdll.dll中zwcreatefile和ntcreatefile的彙編**，我們發現實現是一樣的;

eax是中斷號，edx是函式的引數起始位址([esp]是返回位址)；從而我可以大膽的說：ntdll.dll中zwcreatefile和ntcreatefile功能是一樣的作用：都是呼叫int 2e中斷；

ida給我們的答案：

.text:77f87cac ; exported entry  92. ntcreatefile

.text:77f87cac ; exported entry 740. zwcreatefile

.text:77f87cac

.text:77f87cac

.text:77f87cac                 public zwcreatefile

.text:77f87cac zwcreatefile    proc near               ;

.text:77f87cac

.text:77f87cac arg_0           = dword ptr  4

.text:77f87cac

.text:77f87cac                 mov     eax, 20h        ; ntcreatefile

.text:77f87cb1                 lea     edx, [esp+arg_0]

.text:77f87cb5                 int     2eh             ; dos 2+ internal - execute command

.text:77f87cb5                                         ; ds:si -> counted cr-terminated command string

.text:77f87cb7                 retn    2ch

.text:77f87cb7 zwcreatefile    endp

原來在ntdll中ntcreatefile只是zwcreatefile的別名。

2) part2

輸出的是ntoskrnl.exe中zwcreatefile和ntcreatefile的彙編**，也許令你很失望，彙編**不一

樣；zwcreatefile中eax是中斷號，edx是函式的引數起始位址，然後呼叫int 2e中斷；

ntcreatefile只是把引數入棧去呼叫iocreatefile；

他們的區別是:ntcreatefile是實現**，而

zwcreatefile仍通過中斷來實現功能，2e軟中斷的20h子中斷號的處理程式是ntcreatefile；這樣一說他們是沒區別了？

錯！ntcreatefile是在ring0下了，而zwcreatefile是通過int

Zw 與Nt 的區別

某些zw和nt函式既在ntdll.dll中匯出又在ntoskrnl.exe中匯出，他們有什麼區別呢？我們分三部分比較 step 1 ntdll.dll中的zw和nt有什麼區別？step 2 ntoskrnl.exe中的zw和nt有什麼區別？step 3 ntdll.dll中的zw與ntoskrnl....

zw函式和nt函式的區別

核心解惑 zw函式和nt函式的區別 lkd u zwopenprocess nt zwopenprocess 804de044 b87a000000 mov eax,7ah 804de049 8d542404 lea edx,esp 4 804de04d 9c pushfd 804de04e 6a0...

Zw函式與Nt函式的分別與聯絡

ring3中的native api，和ring0的系統呼叫，都有同名的zw和nt系列函式，一度讓初學者感到迷糊。n久前的我，也是相當的迷糊。現在就以zwopenprocess和ntopenprocess函式為例，詳細闡述下他們的分別和聯絡。ntdll.dll匯出了ntopenprocess和zwop...