Windows内核--NtCreateFile和ZwCreateFile(3.)

一丝晨光2024-05-25 12:04

nt!NtCreateFile和nt!ZwCreateFile

复制代码 
1: kd> u Nt!ZwCreateFile L10
nt!ZwCreateFile:
fffff807`7700cdd0 488bc4          mov     rax,rsp
fffff807`7700cdd3 fa              cli
fffff807`7700cdd4 4883ec10        sub     rsp,10h
fffff807`7700cdd8 50              push    rax
fffff807`7700cdd9 9c              pushfq
fffff807`7700cdda 6a10            push    10h
fffff807`7700cddc 488d05bd6e0000  lea     rax,[nt!KiServiceLinkage (fffff807`77013ca0)]
fffff807`7700cde3 50              push    rax
fffff807`7700cde4 b855000000      mov     eax,55h
fffff807`7700cde9 e952440100      jmp     nt!KiServiceInternal (fffff807`77021240)
fffff807`7700cdee c3              ret
fffff807`7700cdef 90              nop

1: kd> u Nt!NtCreateFile L20
nt!NtCreateFile:
fffff807`772871a0 4881ec88000000  sub     rsp,88h
fffff807`772871a7 33c0            xor     eax,eax
fffff807`772871a9 4889442478      mov     qword ptr [rsp+78h],rax
fffff807`772871ae c744247020000000 mov     dword ptr [rsp+70h],20h
fffff807`772871b6 89442468        mov     dword ptr [rsp+68h],eax
fffff807`772871ba 4889442460      mov     qword ptr [rsp+60h],rax
fffff807`772871bf 89442458        mov     dword ptr [rsp+58h],eax
fffff807`772871c3 8b8424e0000000  mov     eax,dword ptr [rsp+0E0h]
fffff807`772871ca 89442450        mov     dword ptr [rsp+50h],eax
fffff807`772871ce 488b8424d8000000 mov     rax,qword ptr [rsp+0D8h]
fffff807`772871d6 4889442448      mov     qword ptr [rsp+48h],rax
fffff807`772871db 8b8424d0000000  mov     eax,dword ptr [rsp+0D0h]
fffff807`772871e2 89442440        mov     dword ptr [rsp+40h],eax
fffff807`772871e6 8b8424c8000000  mov     eax,dword ptr [rsp+0C8h]
fffff807`772871ed 89442438        mov     dword ptr [rsp+38h],eax
fffff807`772871f1 8b8424c0000000  mov     eax,dword ptr [rsp+0C0h]
fffff807`772871f8 89442430        mov     dword ptr [rsp+30h],eax
fffff807`772871fc 8b8424b8000000  mov     eax,dword ptr [rsp+0B8h]
fffff807`77287203 89442428        mov     dword ptr [rsp+28h],eax
fffff807`77287207 488b8424b0000000 mov     rax,qword ptr [rsp+0B0h]
fffff807`7728720f 4889442420      mov     qword ptr [rsp+20h],rax
fffff807`77287214 e817000000      call    nt!IopCreateFile (fffff807`77287230)
fffff807`77287219 4881c488000000  add     rsp,88h
fffff807`77287220 c3              ret

NtCreateFile是实作创建文件,ZwCreateFile调用NT系统服务API完成。

NtCreateFile和ZwCreateFile参数检查的不同

从上图,NtCreateFile调用IopCreateFile, 根据之前是否是内核模式决定参数检查。对于ZwCreateFile, 本身就处于内核模式,参数检查步骤就省掉了。

微风不燥,阳光正好,你就像风一样经过这里,愿你停留的片刻温暖舒心。

我是程序员小迷(致力于C、C++、Java、Kotlin、Android、Shell、JavaScript、TypeScript、Python等编程技术的技巧经验分享),若作品对您有帮助,请关注、分享、点赞、收藏、在看、喜欢,您的支持是我们为您提供帮助的最大动力。

欢迎关注。助您在编程路上越走越好!

相关推荐
Lxinccode2 小时前
python(55) : python程序设置为Windows快捷方式
windows·python固定到开始·快速调用开始
纳于大麓4 小时前
Kotlin基础语法
linux·windows·kotlin
呉師傅8 小时前
关于联想ThinkCentre M950t-N000 M大师电脑恢复预装系统镜像遇到的一点问题
运维·网络·windows·电脑
网安INF10 小时前
Python核心数据结构与函数编程
数据结构·windows·python·网络安全
知识分享小能手13 小时前
uni-app 入门学习教程,从入门到精通,uni-app 基础知识详解 (2)
前端·javascript·windows·学习·微信小程序·小程序·uni-app
waving-black15 小时前
windows系统下安装测试kafka
windows·分布式·kafka
傻啦嘿哟17 小时前
Python 高效清理 Excel 空白行列:从原理到实战
windows
晋人在秦 老K17 小时前
鼠标连点效率低?MouseClickTool 2.0三步配置,自动化操作提速80% 重复点击太耗时?Windows鼠标连点器实操教程,开发测试效率翻倍
windows·自动化·计算机外设·鼠标连点器·gui模拟点击·自动化点击解决方案
shykevin17 小时前
uni-app x商城,商品列表组件封装以及使用
windows·uni-app
CHH32131 天前
在 Mac/linux 的 VSCode 中使用Remote-SSH远程连接 Windows
linux·windows·vscode·macos
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04Linux下V2Ray安装配置指南05GitLab 零基础入门指南:从安装到项目管理全流程06NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南07两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答082025软件测试面试八股文(含答案+文档)09KGG转MP3工具|非KGM文件|解密音频10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)