能力值:
( LV2,RANK:10 )
|
-
-
2 楼
第一条就错了。
第一条的前半句和后半句分别都是对的。但合在一起错了。
nt开头的函数在R3 R0 分别都有。 R3的是ntdll导出的。 但zw调用的是R0的nt函数。
|
能力值:
( LV3,RANK:20 )
|
-
-
3 楼
函数开头只是为了区分他们所在的模块。。。
Ke 开头应该代表内核中的核心层模块函数(内核分 执行体、内核层、HAL)
Nt 开头应该代表系统调用函数
说 hal 函数给 Ke调用、Ke 函数给 Ex函数调用还差不多。。。。
Ke 和 Nt 还真没什么直接联系。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
哎呀,原来如此啊。所谓三人成虎,再给我点回复吧。然后就结贴了。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
补充。那就是说 如果我hook了ke的XXX 那么 别人直接调用nt对应的XXX一样可以得到正确的结果,不会被我勾走,是这样吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
其实之所以由此发问,主要是在想,如果他们直接没有调用关系。那么如果要勾某一个函数,必须比他各个开头的函数都勾住才可以,否则肯定无效啊。求教。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
NT系列的函数是 系统(ntkrnlpa.exe)提供的服务函数,应用层通过调用 WIndows 中的NTDLL,里面的函数,间接的调用系统服务。
比如 在应用程序调用 CreateProcess,那么会是这样的。CreateProcess->ZwCreateProcess->KiSystemCall->KiFastCall(进入内核了)->NTCreateProcess.
至于Ke 和 Ex,那都是 系统内核才提供的函数,并没有导出,所以在应用层是没法使用的。至于关系,那也是没有的
Ex:管理层,Ex 是 Executive 的开头两个字母。
Ke:核心层,Ke 是 Kernel 的开头两个字母。
如果帮到你的话,希望采纳,我现在差2KX.谢谢!
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
接分~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
Archar
NT系列的函数是 系统(ntkrnlpa.exe)提供的服务函数,应用层通过调用 WIndows 中的NTDLL,里面的函数,间接的调用系统服务。
比如 在应用 ...
㈠如果是ke和ki的同名函数, 哪个更底层?最终调用ke还是ki? ㈡ki是哪个单词的开头?
|
|
|
|
