Windows内核--NtCreateFile和ZwCreateFile(3.)

一丝晨光2024-05-25 12:04

nt!NtCreateFile和nt!ZwCreateFile

复制代码 
1: kd> u Nt!ZwCreateFile L10
nt!ZwCreateFile:
fffff807`7700cdd0 488bc4          mov     rax,rsp
fffff807`7700cdd3 fa              cli
fffff807`7700cdd4 4883ec10        sub     rsp,10h
fffff807`7700cdd8 50              push    rax
fffff807`7700cdd9 9c              pushfq
fffff807`7700cdda 6a10            push    10h
fffff807`7700cddc 488d05bd6e0000  lea     rax,[nt!KiServiceLinkage (fffff807`77013ca0)]
fffff807`7700cde3 50              push    rax
fffff807`7700cde4 b855000000      mov     eax,55h
fffff807`7700cde9 e952440100      jmp     nt!KiServiceInternal (fffff807`77021240)
fffff807`7700cdee c3              ret
fffff807`7700cdef 90              nop

1: kd> u Nt!NtCreateFile L20
nt!NtCreateFile:
fffff807`772871a0 4881ec88000000  sub     rsp,88h
fffff807`772871a7 33c0            xor     eax,eax
fffff807`772871a9 4889442478      mov     qword ptr [rsp+78h],rax
fffff807`772871ae c744247020000000 mov     dword ptr [rsp+70h],20h
fffff807`772871b6 89442468        mov     dword ptr [rsp+68h],eax
fffff807`772871ba 4889442460      mov     qword ptr [rsp+60h],rax
fffff807`772871bf 89442458        mov     dword ptr [rsp+58h],eax
fffff807`772871c3 8b8424e0000000  mov     eax,dword ptr [rsp+0E0h]
fffff807`772871ca 89442450        mov     dword ptr [rsp+50h],eax
fffff807`772871ce 488b8424d8000000 mov     rax,qword ptr [rsp+0D8h]
fffff807`772871d6 4889442448      mov     qword ptr [rsp+48h],rax
fffff807`772871db 8b8424d0000000  mov     eax,dword ptr [rsp+0D0h]
fffff807`772871e2 89442440        mov     dword ptr [rsp+40h],eax
fffff807`772871e6 8b8424c8000000  mov     eax,dword ptr [rsp+0C8h]
fffff807`772871ed 89442438        mov     dword ptr [rsp+38h],eax
fffff807`772871f1 8b8424c0000000  mov     eax,dword ptr [rsp+0C0h]
fffff807`772871f8 89442430        mov     dword ptr [rsp+30h],eax
fffff807`772871fc 8b8424b8000000  mov     eax,dword ptr [rsp+0B8h]
fffff807`77287203 89442428        mov     dword ptr [rsp+28h],eax
fffff807`77287207 488b8424b0000000 mov     rax,qword ptr [rsp+0B0h]
fffff807`7728720f 4889442420      mov     qword ptr [rsp+20h],rax
fffff807`77287214 e817000000      call    nt!IopCreateFile (fffff807`77287230)
fffff807`77287219 4881c488000000  add     rsp,88h
fffff807`77287220 c3              ret

NtCreateFile是实作创建文件,ZwCreateFile调用NT系统服务API完成。

NtCreateFile和ZwCreateFile参数检查的不同

从上图,NtCreateFile调用IopCreateFile, 根据之前是否是内核模式决定参数检查。对于ZwCreateFile, 本身就处于内核模式,参数检查步骤就省掉了。

微风不燥,阳光正好,你就像风一样经过这里,愿你停留的片刻温暖舒心。

我是程序员小迷(致力于C、C++、Java、Kotlin、Android、Shell、JavaScript、TypeScript、Python等编程技术的技巧经验分享),若作品对您有帮助,请关注、分享、点赞、收藏、在看、喜欢,您的支持是我们为您提供帮助的最大动力。

欢迎关注。助您在编程路上越走越好!

相关推荐
开发者联盟league8 小时前
在windows上安装和运行rocketmq
windows·rocketmq
非凡ghost10 小时前
可拓浏览器:给手机浏览器装上“外挂“!2W+拓展+AI搜索,玩出无限可能!
windows·智能手机·音视频·firefox
小神.Chen10 小时前
如何删除远程桌面的连接记录,一键清理mstsc远程桌面连接的记录
windows
John_ToDebug11 小时前
WebHostView 与 TabStrip 交互机制深度解析
c++·chrome·windows
带娃的IT创业者12 小时前
GitHub Stacked PRs:重塑现代软件开发的工作流革命
github·软件开发·工作流·代码审查·pull request·stacked prs
L16247612 小时前
Win11 共享→Windows Server 访问故障总结(极简可复用)
开发语言·windows·php
love530love12 小时前
ComfyUI MediaPipe 终极填坑:解决 incompatible function arguments 报错,基于代理模式的猴子补丁升级版
人工智能·windows·comfyui·mediapipe·猴子补丁·monkey patch·python 3.12
今夕资源网12 小时前
Windows Terminal更舒适的命令行环境 仅11MB 支持并行运行WSLLinux子系统 github开源项目
windows·github·命令行·cmd·terminal
java_logo14 小时前
SiYuan 思源笔记 Docker 部署终极指南:Windows+Linux 双平台
windows·笔记·docker·思源笔记·思源笔记部署·docker部署思源笔记·思源笔记文档
测试员周周16 小时前
【AI测试系统】第1篇:LangGraph 实战:用 State Graph 搭建 AI测试流水线(4 步编排 + RAG 增强 + 完整代码)
linux·windows·python·功能测试·microsoft·单元测试·多轮对话
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档032026年4月AI大事件深度解读:大模型竞争进入“深水区“04近期有什么ai的新消息,新动态? 2026.4月05【AI】2026 年具身智能模型和世界模型总结062026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot07实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲08在Windows 11上安装Docker的踩坑记录09要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法