[求助]用户API与原生API之间有对应关系吗？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
乙酸乙酯雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 51 粉丝 0 关注私信	乙酸乙酯 2 楼 ntdll及其调用者（比如user32/kernel32）是在用户空间，ntoskrnl是在系统空间。事实上没有什么api是不能拦截的，只是用户空间的比较容易拦截，系统空间的要困难点（特别是有补丁管理的系统，一拦截就蓝屏）。一般人在用户态下拦截的话，一般都会对ntdll下手。所以只要有人愿意拦截，就没有所谓的“更安全一点”，反而调用起来更麻烦。至于Zw和Nt的联系，最简单的说法就是用户模式下没区别，系统模式中Zw检查参数是否合理之后调用Nt。在ntdll中（Zw/Nt）是系统函数，在ntoskrnl中也有（Zw/Nt），有些人称之为服务例程。调用顺序是函数最终会调用例程。这些东西在百度上一搜一大把。 2015-6-11 15:34 0
fangtuo 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	fangtuo 3 楼感谢回答 2015-6-11 23:09 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 4 楼服务号表一般是直接从ntdll.dll里导出来的，一般都这么做，不同的版本，同一API，服务号是不一样的。 2015-6-12 04:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
乙酸乙酯雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 51 粉丝 0 关注私信	乙酸乙酯 2 楼 ntdll及其调用者（比如user32/kernel32）是在用户空间，ntoskrnl是在系统空间。事实上没有什么api是不能拦截的，只是用户空间的比较容易拦截，系统空间的要困难点（特别是有补丁管理的系统，一拦截就蓝屏）。一般人在用户态下拦截的话，一般都会对ntdll下手。所以只要有人愿意拦截，就没有所谓的“更安全一点”，反而调用起来更麻烦。至于Zw和Nt的联系，最简单的说法就是用户模式下没区别，系统模式中Zw检查参数是否合理之后调用Nt。在ntdll中（Zw/Nt）是系统函数，在ntoskrnl中也有（Zw/Nt），有些人称之为服务例程。调用顺序是函数最终会调用例程。这些东西在百度上一搜一大把。 2015-6-11 15:34 0
fangtuo 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	fangtuo 3 楼感谢回答 2015-6-11 23:09 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 4 楼服务号表一般是直接从ntdll.dll里导出来的，一般都这么做，不同的版本，同一API，服务号是不一样的。 2015-6-12 04:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]用户API与原生API之间有对应关系吗？ 0.00雪花