[求助]关于内核NT 系列函数的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]关于内核NT 系列函数的问题

发表于: 2009-8-16 14:33 10004

[求助]关于内核NT 系列函数的问题

SueMoon

2009-8-16 14:33

10004

我用depend查看ntoskrnl.exe，发现里面导出了竟50哥NT*函数，然后查看ms网站，显示：Windows Driver Kit: Kernel-Mode Driver Architecture
NtOpenProcess
Do not call this routine from kernel-mode code.

就是说不能使用

不解请指教谢谢~~

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统底层

收藏・7

免费・0

支持

最新回复 (19)
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 2 楼 Do not call this routine from kernel-mode code; instead, call the ZwXxx equivalent. User-mode code can call can this routine or the ZwXxx equivalent. For further comments, if any, see the ZwXxx equivalent. 不是完全不让用，是让你用ZwXXXX 至于区别ZwXXXX和用户态的系统调用会在内核栈上创建一个trap frame 然后通过统一流程到达NtXXXX 而 trap frame的作用主要是保存调用者的完整信息用于恢复执行 ZwXXXX会创建一个trap frame并把TCB的PreviousMode设为内核态用户态的系统调用会创建一个会创建一个并把TCB的PreviousMode设为用户态而NtXXXX不创建trap frame 比如说你调用DeviceIoControl 发给你自己编的Device Driver 让它帮你打开一个内核态才能访问的进程可能的流程是 DeviceIoControl ->Ntdll!NtDeviceIoControlFile ->创建trap frame，PreviousMode为用户态 -> Nt!NtDeviceIoControlFile ->你的Device Driver XxxDispatchDeviceControl->Nt!ZwOpenProcess->创建trap frame，PreviousMode为内核态->Nt!NtOpenProcess->用TCB里的信息测试访问权限，发现是内核态的请求，验证通过，返回Handle 而假如调用NtXXXX DeviceIoControl ->Ntdll!NtDeviceIoControlFile ->创建trap frame，PreviousMode为用户态 -> Nt!NtDeviceIoControlFile ->你的Device Driver XxxDispatchDeviceControl->Nt!NtOpenProcess->用TCB里的信息测试访问权限，发现是用户态的请求，打开失败而Nt!NtXXXX主要是供内核自己和hal之类的组件调用的，这些调用不需要创建trap frame,因而更快一点有的调用的目的就是操作trap frame,如ZwSetContextThread/NtSetContextThread，最好都不要用，而是用PsSetContextThread 2009-8-16 16:47 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 3 楼非常感谢 leftup 兄辛苦了打了那么多系统调用流程基本上都懂一些细节和设计方面有点模糊就是说如果我的驱动在内核我直接调用NT函数，它没有像zw那样那样建立trap frame设置PreviousMode为内核态再调用nt* 那么复杂那么既然这样我干脆全用nt系列的就是了？不是又快又好？还有就是： zw的流程是什么样的（reactos上能看到它的实现吧？） nt是否确定被导出，是可用的 2009-8-16 17:25 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 4 楼 leftup 兄怎么联系你？ 2009-8-16 17:26 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 5 楼驱动在内核不是重点，因为kernel里的所有代码都在内核态，但是为什么你在用户态调用一个系统调用，进入内核，有一些访问的要求会被拒绝呢？调用NtXXXX时被调用函数查看PreviousMode是用户态，很多AccessCheck会通不过，这就有点像服务端Impersonate客户端一样而调用ZwXXXX时被调用函数查看PreviousMode是核心态，很多AccessCheck会直接通过而不检查ACL,Privilege之类的简单来说NtXXXX函数都是通过PreviousMode来区分调用者是代表用户态还是核心态的 2009-8-16 17:57 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 6 楼这个我知道啊我的意思是说我直接用nt 的不是更好么？只要它导出了我为什么不用呢？用他有什么好处又有什么坏处？ 2009-8-17 11:37 0
superlzdcn 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	superlzdcn 7 楼高人也！我好崇拜你哦 2009-8-17 15:40 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 8 楼 ....不知道你说的什么意思 2009-8-17 15:54 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼 nt*函数可以使用，但由于她不会更改prevmode,所以若你当前mode是user mode，就不能使用kernel mode的buffer。 2009-8-17 16:01 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 10 楼 nt*函数可以使用，但由于她不会更改prevmode,所以若你当前mode是user mode，就不能使用kernel mode的buffer。那我的驱动在内核的话要怎样在能安全稳定的使用呢？ 2009-8-17 16:31 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 11 楼可以创造或者“借用”USER MODE BUFFER 2009-8-17 18:01 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 12 楼既然想调用NtXXXX，那就直接从User mode 调用就行了用不着驱动了 2009-8-17 19:01 0
zhzhtst 雪币： 462 活跃值： (53) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 167 粉丝 1 关注私信	zhzhtst 11 13 楼看最新的WDK文档，里面加了一节内容 “Using Nt and Zw Versions of the Native System Services Routines”，或者看这里http://blogs.msdn.com/wdkdocs/archive/2009/06/30/kernel-programming-nt-and-zw-versions-of-the-native-system-services-routines.aspx，以及这里http://www.osronline.com/article.cfm?id=257 2009-8-18 12:54 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 14 楼既然想调用NtXXXX，那就直接从User mode 调用就行了用不着驱动了 leftup 兄我说的是内核的nt函数。。。 2009-8-18 15:06 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 15 楼感谢zhzhtst提供的资料！ 2009-8-18 15:59 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 16 楼还有个问题想请教一下 mj 等大牛内核中什么时候会出现调用NtXxx函数，而PreviousMode为UserMode的情况？ 2009-8-18 16:26 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 17 楼如果PreviousMode是UserMode,那就和从用户态调用没多大区别那干嘛非得从内核调用，难到内核的就香一点跑到内核为了干点从用户态能办到的事，好像没什么意义 2009-8-18 16:57 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 18 楼讲得很透彻以前我一直不知道Zw是什么意思，原来本来就是没什么意思 2009-8-18 17:08 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 19 楼看下这个贴吧 http://bbs.pediy.com/showthread.php?t=55142&highlight=Nt+%E5%86%85%E6%A0%B8+%E6%A0%B8%E6%80%81+%E6%80%81%E8%B0%83+%E8%B0%83%E7%94%A8+%E5%87%BD%E6%95%B0+%E6%95%B0 我的问题就跟他差不多 2009-8-18 17:11 0
小瓜雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	小瓜 20 楼学习中。。。。。。。。 2009-8-19 14:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

SueMoon

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 2 楼 Do not call this routine from kernel-mode code; instead, call the ZwXxx equivalent. User-mode code can call can this routine or the ZwXxx equivalent. For further comments, if any, see the ZwXxx equivalent. 不是完全不让用，是让你用ZwXXXX 至于区别ZwXXXX和用户态的系统调用会在内核栈上创建一个trap frame 然后通过统一流程到达NtXXXX 而 trap frame的作用主要是保存调用者的完整信息用于恢复执行 ZwXXXX会创建一个trap frame并把TCB的PreviousMode设为内核态用户态的系统调用会创建一个会创建一个并把TCB的PreviousMode设为用户态而NtXXXX不创建trap frame 比如说你调用DeviceIoControl 发给你自己编的Device Driver 让它帮你打开一个内核态才能访问的进程可能的流程是 DeviceIoControl ->Ntdll!NtDeviceIoControlFile ->创建trap frame，PreviousMode为用户态 -> Nt!NtDeviceIoControlFile ->你的Device Driver XxxDispatchDeviceControl->Nt!ZwOpenProcess->创建trap frame，PreviousMode为内核态->Nt!NtOpenProcess->用TCB里的信息测试访问权限，发现是内核态的请求，验证通过，返回Handle 而假如调用NtXXXX DeviceIoControl ->Ntdll!NtDeviceIoControlFile ->创建trap frame，PreviousMode为用户态 -> Nt!NtDeviceIoControlFile ->你的Device Driver XxxDispatchDeviceControl->Nt!NtOpenProcess->用TCB里的信息测试访问权限，发现是用户态的请求，打开失败而Nt!NtXXXX主要是供内核自己和hal之类的组件调用的，这些调用不需要创建trap frame,因而更快一点有的调用的目的就是操作trap frame,如ZwSetContextThread/NtSetContextThread，最好都不要用，而是用PsSetContextThread 2009-8-16 16:47 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 3 楼非常感谢 leftup 兄辛苦了打了那么多系统调用流程基本上都懂一些细节和设计方面有点模糊就是说如果我的驱动在内核我直接调用NT函数，它没有像zw那样那样建立trap frame设置PreviousMode为内核态再调用nt* 那么复杂那么既然这样我干脆全用nt系列的就是了？不是又快又好？还有就是： zw的流程是什么样的（reactos上能看到它的实现吧？） nt是否确定被导出，是可用的 2009-8-16 17:25 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 4 楼 leftup 兄怎么联系你？ 2009-8-16 17:26 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 5 楼驱动在内核不是重点，因为kernel里的所有代码都在内核态，但是为什么你在用户态调用一个系统调用，进入内核，有一些访问的要求会被拒绝呢？调用NtXXXX时被调用函数查看PreviousMode是用户态，很多AccessCheck会通不过，这就有点像服务端Impersonate客户端一样而调用ZwXXXX时被调用函数查看PreviousMode是核心态，很多AccessCheck会直接通过而不检查ACL,Privilege之类的简单来说NtXXXX函数都是通过PreviousMode来区分调用者是代表用户态还是核心态的 2009-8-16 17:57 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 6 楼这个我知道啊我的意思是说我直接用nt 的不是更好么？只要它导出了我为什么不用呢？用他有什么好处又有什么坏处？ 2009-8-17 11:37 0
superlzdcn 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	superlzdcn 7 楼高人也！我好崇拜你哦 2009-8-17 15:40 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 8 楼 ....不知道你说的什么意思 2009-8-17 15:54 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼 nt*函数可以使用，但由于她不会更改prevmode,所以若你当前mode是user mode，就不能使用kernel mode的buffer。 2009-8-17 16:01 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 10 楼 nt*函数可以使用，但由于她不会更改prevmode,所以若你当前mode是user mode，就不能使用kernel mode的buffer。那我的驱动在内核的话要怎样在能安全稳定的使用呢？ 2009-8-17 16:31 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 11 楼可以创造或者“借用”USER MODE BUFFER 2009-8-17 18:01 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 12 楼既然想调用NtXXXX，那就直接从User mode 调用就行了用不着驱动了 2009-8-17 19:01 0
zhzhtst 雪币： 462 活跃值： (53) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 167 粉丝 1 关注私信	zhzhtst 11 13 楼看最新的WDK文档，里面加了一节内容 “Using Nt and Zw Versions of the Native System Services Routines”，或者看这里http://blogs.msdn.com/wdkdocs/archive/2009/06/30/kernel-programming-nt-and-zw-versions-of-the-native-system-services-routines.aspx，以及这里http://www.osronline.com/article.cfm?id=257 2009-8-18 12:54 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 14 楼既然想调用NtXXXX，那就直接从User mode 调用就行了用不着驱动了 leftup 兄我说的是内核的nt函数。。。 2009-8-18 15:06 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 15 楼感谢zhzhtst提供的资料！ 2009-8-18 15:59 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 16 楼还有个问题想请教一下 mj 等大牛内核中什么时候会出现调用NtXxx函数，而PreviousMode为UserMode的情况？ 2009-8-18 16:26 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 17 楼如果PreviousMode是UserMode,那就和从用户态调用没多大区别那干嘛非得从内核调用，难到内核的就香一点跑到内核为了干点从用户态能办到的事，好像没什么意义 2009-8-18 16:57 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 18 楼讲得很透彻以前我一直不知道Zw是什么意思，原来本来就是没什么意思 2009-8-18 17:08 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 19 楼看下这个贴吧 http://bbs.pediy.com/showthread.php?t=55142&highlight=Nt+%E5%86%85%E6%A0%B8+%E6%A0%B8%E6%80%81+%E6%80%81%E8%B0%83+%E8%B0%83%E7%94%A8+%E5%87%BD%E6%95%B0+%E6%95%B0 我的问题就跟他差不多 2009-8-18 17:11 0
小瓜雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	小瓜 20 楼学习中。。。。。。。。 2009-8-19 14:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复