Windows内核--NtCreateFile和ZwCreateFile(3.)

一丝晨光2024-05-25 12:04

nt!NtCreateFile和nt!ZwCreateFile

复制代码 
1: kd> u Nt!ZwCreateFile L10
nt!ZwCreateFile:
fffff807`7700cdd0 488bc4          mov     rax,rsp
fffff807`7700cdd3 fa              cli
fffff807`7700cdd4 4883ec10        sub     rsp,10h
fffff807`7700cdd8 50              push    rax
fffff807`7700cdd9 9c              pushfq
fffff807`7700cdda 6a10            push    10h
fffff807`7700cddc 488d05bd6e0000  lea     rax,[nt!KiServiceLinkage (fffff807`77013ca0)]
fffff807`7700cde3 50              push    rax
fffff807`7700cde4 b855000000      mov     eax,55h
fffff807`7700cde9 e952440100      jmp     nt!KiServiceInternal (fffff807`77021240)
fffff807`7700cdee c3              ret
fffff807`7700cdef 90              nop

1: kd> u Nt!NtCreateFile L20
nt!NtCreateFile:
fffff807`772871a0 4881ec88000000  sub     rsp,88h
fffff807`772871a7 33c0            xor     eax,eax
fffff807`772871a9 4889442478      mov     qword ptr [rsp+78h],rax
fffff807`772871ae c744247020000000 mov     dword ptr [rsp+70h],20h
fffff807`772871b6 89442468        mov     dword ptr [rsp+68h],eax
fffff807`772871ba 4889442460      mov     qword ptr [rsp+60h],rax
fffff807`772871bf 89442458        mov     dword ptr [rsp+58h],eax
fffff807`772871c3 8b8424e0000000  mov     eax,dword ptr [rsp+0E0h]
fffff807`772871ca 89442450        mov     dword ptr [rsp+50h],eax
fffff807`772871ce 488b8424d8000000 mov     rax,qword ptr [rsp+0D8h]
fffff807`772871d6 4889442448      mov     qword ptr [rsp+48h],rax
fffff807`772871db 8b8424d0000000  mov     eax,dword ptr [rsp+0D0h]
fffff807`772871e2 89442440        mov     dword ptr [rsp+40h],eax
fffff807`772871e6 8b8424c8000000  mov     eax,dword ptr [rsp+0C8h]
fffff807`772871ed 89442438        mov     dword ptr [rsp+38h],eax
fffff807`772871f1 8b8424c0000000  mov     eax,dword ptr [rsp+0C0h]
fffff807`772871f8 89442430        mov     dword ptr [rsp+30h],eax
fffff807`772871fc 8b8424b8000000  mov     eax,dword ptr [rsp+0B8h]
fffff807`77287203 89442428        mov     dword ptr [rsp+28h],eax
fffff807`77287207 488b8424b0000000 mov     rax,qword ptr [rsp+0B0h]
fffff807`7728720f 4889442420      mov     qword ptr [rsp+20h],rax
fffff807`77287214 e817000000      call    nt!IopCreateFile (fffff807`77287230)
fffff807`77287219 4881c488000000  add     rsp,88h
fffff807`77287220 c3              ret

NtCreateFile是实作创建文件,ZwCreateFile调用NT系统服务API完成。

NtCreateFile和ZwCreateFile参数检查的不同

从上图,NtCreateFile调用IopCreateFile, 根据之前是否是内核模式决定参数检查。对于ZwCreateFile, 本身就处于内核模式,参数检查步骤就省掉了。

微风不燥,阳光正好,你就像风一样经过这里,愿你停留的片刻温暖舒心。

我是程序员小迷(致力于C、C++、Java、Kotlin、Android、Shell、JavaScript、TypeScript、Python等编程技术的技巧经验分享),若作品对您有帮助,请关注、分享、点赞、收藏、在看、喜欢,您的支持是我们为您提供帮助的最大动力。

欢迎关注。助您在编程路上越走越好!

相关推荐
热爱生活的猴子4 小时前
Poetry 在 Linux 和 Windows 系统中的安装步骤
linux·运维·windows
R-sz7 小时前
java流式计算 获取全量树形数据,非懒加载树,递归找儿
java·开发语言·windows
柳鲲鹏14 小时前
WINDOWS最快布署WEB服务器:apache2
服务器·前端·windows
专注VB编程开发20年16 小时前
开机自动后台运行,在Windows服务中托管ASP.NET Core
windows·后端·asp.net
李洋-蛟龙腾飞公司19 小时前
HarmonyOS NEXT应用元服务常见列表操作分组吸顶场景
linux·运维·windows
码农垦荒笔记19 小时前
Git 安装闭坑指南(仅 Windows 环境)
windows·git
阿幸软件杂货间20 小时前
Windows 10 2016 长期服务版
windows·系统·win10
木头左1 天前
Windows环境下Docker容器化的安装与设置指南
windows·docker·容器
qq_393828221 天前
PDF的图片文字识别工具
windows·pdf·电脑·软件需求·图片处理
tonydf1 天前
记一次近6万多个文件的备份过程
windows·后端
热门推荐
01Coze实战第13讲:飞书多维表格读取+豆包生图模型,轻松批量生成短剧封面02手机电脑之间快速传输图片视频文件,不压缩画质、不限制大小的方法!03Coze扣子平台完整体验和实践(附国内和国际版对比)04华为昇腾 910B 部署 DeepSeek-R1 蒸馏系列模型详细指南05免费可用!最强AI数字人对口型神器:让照片开口说话唱歌,支持多人对口型+全身动作,1分钟学会!(附保姆级教程)06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解072024年 最新 iPhone手机 历代机型、屏幕尺寸、纵横比、分辨率 整理08C#调用WechatOCR.exe实现本地OCR文字识别09DeepSeek各版本说明与优缺点分析10Coze平台 创建AI智能体的详细步骤指南