IDA~~

reactos

IDA+F5

我也想知道和楼主一样的问题：怎么样通过WinApi看下调用了什么内核函数..

但是 IDA我不会用....   IDA里怎么看啊？？
我调试的程序里有 CreateFile， 但是我只看到 调用的是 kernel32.dll 里的 CreateFileA，没看到 ZwCreateFile ，怎么弄才能看到 CreateFile调用的是ZwCreateFile ？？？

把 kernel32.dll 丢到IDA，你就会看到 ZwCreateFile

进入内核之后，执行体函数是 NtCreateFile，然后你再windbg：

lkd> u NtCreateFile l 20
nt!NtCreateFile:
83e9ee82 8bff            mov     edi,edi
83e9ee84 55              push    ebp
83e9ee85 8bec            mov     ebp,esp
83e9ee87 51              push    ecx
83e9ee88 33c0            xor     eax,eax
83e9ee8a 50              push    eax
83e9ee8b 6a20            push    20h
83e9ee8d 50              push    eax
83e9ee8e 50              push    eax
83e9ee8f 50              push    eax
83e9ee90 ff7530          push    dword ptr [ebp+30h]
83e9ee93 ff752c          push    dword ptr [ebp+2Ch]
83e9ee96 ff7528          push    dword ptr [ebp+28h]
83e9ee99 ff7524          push    dword ptr [ebp+24h]
83e9ee9c ff7520          push    dword ptr [ebp+20h]
83e9ee9f ff751c          push    dword ptr [ebp+1Ch]
83e9eea2 ff7518          push    dword ptr [ebp+18h]
83e9eea5 ff7514          push    dword ptr [ebp+14h]
83e9eea8 ff7510          push    dword ptr [ebp+10h]
83e9eeab ff750c          push    dword ptr [ebp+0Ch]
83e9eeae ff7508          push    dword ptr [ebp+8]
83e9eeb1 e87f40ffff      call    nt!IopCreateFile (83e92f35)
83e9eeb6 59              pop     ecx
83e9eeb7 5d              pop     ebp
83e9eeb8 c22c00          ret     2Ch

你就会看到NtCreateFile其实是调用了IopCreateFile。

或者直接看WRK。。。

windbg+WRK

下断点  然后利用栈回溯

您好，请问有没有相关资源，统计了具体某些Win32 API函数与哪些内核函数对应的列表清单呢？

用调试器跟到ntdll，看调用号，然后自己去ssdt表里面找

直接用cheat engine 打开进程，打开内存浏览器，ctrl+g  转到你想 要的 api，然后浏览它的汇编代码，看看他都调用了啥函数直接空格转到