Windows内核--NtCreateFile和ZwCreateFile(3.)

一丝晨光2024-05-25 12:04

nt!NtCreateFile和nt!ZwCreateFile

复制代码 
1: kd> u Nt!ZwCreateFile L10
nt!ZwCreateFile:
fffff807`7700cdd0 488bc4          mov     rax,rsp
fffff807`7700cdd3 fa              cli
fffff807`7700cdd4 4883ec10        sub     rsp,10h
fffff807`7700cdd8 50              push    rax
fffff807`7700cdd9 9c              pushfq
fffff807`7700cdda 6a10            push    10h
fffff807`7700cddc 488d05bd6e0000  lea     rax,[nt!KiServiceLinkage (fffff807`77013ca0)]
fffff807`7700cde3 50              push    rax
fffff807`7700cde4 b855000000      mov     eax,55h
fffff807`7700cde9 e952440100      jmp     nt!KiServiceInternal (fffff807`77021240)
fffff807`7700cdee c3              ret
fffff807`7700cdef 90              nop

1: kd> u Nt!NtCreateFile L20
nt!NtCreateFile:
fffff807`772871a0 4881ec88000000  sub     rsp,88h
fffff807`772871a7 33c0            xor     eax,eax
fffff807`772871a9 4889442478      mov     qword ptr [rsp+78h],rax
fffff807`772871ae c744247020000000 mov     dword ptr [rsp+70h],20h
fffff807`772871b6 89442468        mov     dword ptr [rsp+68h],eax
fffff807`772871ba 4889442460      mov     qword ptr [rsp+60h],rax
fffff807`772871bf 89442458        mov     dword ptr [rsp+58h],eax
fffff807`772871c3 8b8424e0000000  mov     eax,dword ptr [rsp+0E0h]
fffff807`772871ca 89442450        mov     dword ptr [rsp+50h],eax
fffff807`772871ce 488b8424d8000000 mov     rax,qword ptr [rsp+0D8h]
fffff807`772871d6 4889442448      mov     qword ptr [rsp+48h],rax
fffff807`772871db 8b8424d0000000  mov     eax,dword ptr [rsp+0D0h]
fffff807`772871e2 89442440        mov     dword ptr [rsp+40h],eax
fffff807`772871e6 8b8424c8000000  mov     eax,dword ptr [rsp+0C8h]
fffff807`772871ed 89442438        mov     dword ptr [rsp+38h],eax
fffff807`772871f1 8b8424c0000000  mov     eax,dword ptr [rsp+0C0h]
fffff807`772871f8 89442430        mov     dword ptr [rsp+30h],eax
fffff807`772871fc 8b8424b8000000  mov     eax,dword ptr [rsp+0B8h]
fffff807`77287203 89442428        mov     dword ptr [rsp+28h],eax
fffff807`77287207 488b8424b0000000 mov     rax,qword ptr [rsp+0B0h]
fffff807`7728720f 4889442420      mov     qword ptr [rsp+20h],rax
fffff807`77287214 e817000000      call    nt!IopCreateFile (fffff807`77287230)
fffff807`77287219 4881c488000000  add     rsp,88h
fffff807`77287220 c3              ret

NtCreateFile是实作创建文件,ZwCreateFile调用NT系统服务API完成。

NtCreateFile和ZwCreateFile参数检查的不同

从上图,NtCreateFile调用IopCreateFile, 根据之前是否是内核模式决定参数检查。对于ZwCreateFile, 本身就处于内核模式,参数检查步骤就省掉了。

微风不燥,阳光正好,你就像风一样经过这里,愿你停留的片刻温暖舒心。

我是程序员小迷(致力于C、C++、Java、Kotlin、Android、Shell、JavaScript、TypeScript、Python等编程技术的技巧经验分享),若作品对您有帮助,请关注、分享、点赞、收藏、在看、喜欢,您的支持是我们为您提供帮助的最大动力。

欢迎关注。助您在编程路上越走越好!

相关推荐
FL16238631297 小时前
windows下selenium的chromedriver安装和环境变量的配置
windows·selenium·测试工具
huluang9 小时前
VibeVoice 部署全指南:Windows 下的挑战与完整解决方案
windows·python
饮长安千年月12 小时前
第四章 windows实战-emlog
windows·web安全·网络安全·github
该用户已不存在13 小时前
Windows 开发环境这么难配,为什么还有那么多人在用?
前端·windows·后端
水饺编程16 小时前
Windows 命令行:cd 命令1,cd 命令的简单使用
c语言·c++·windows·visual studio
水饺编程16 小时前
Windows 命令行:父目录与子目录
c语言·c++·windows·visual studio
大米粥哥哥17 小时前
Qt libcurl的下载、配置及简单测试 (windows环境)
开发语言·c++·windows·qt·http·curl·libcurl
明月醉窗台18 小时前
Qt Demo(3) 之 deepseek 帮我写的关于图像显示的小界面
开发语言·人工智能·windows·qt
新手村领路人1 天前
TensorFlow 2.10 是最后一个支持在原生Windows上使用GPU的TensorFlow版本
人工智能·windows·tensorflow
ZHOU_WUYI2 天前
windows中Qwen3‑Coder 与 Claude Code 搭配使用
windows·claude code
热门推荐
01UV安装并设置国内源02奈飞工厂官网,国内Netflix影视在线看|中文网页电脑版入口03Xget:下一代开源资源获取加速引擎,让你的文件下载、储存库克隆和镜像拉取快如闪电04不再让Windows更新!&Edge游戏助手卸载及关闭自动更新05KGG转MP3工具|非KGM文件|解密音频06Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code07Linux下V2Ray安装配置指南08jdk21下载、安装(Windows、Linux、macOS)09A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程10【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)