首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]ntdll!Ntopenprocess 和 nt!ntopenprocess 的区别是什么呀?高手帮忙看下
发表于: 2009-10-23 23:14 5765

[求助]ntdll!Ntopenprocess 和 nt!ntopenprocess 的区别是什么呀?高手帮忙看下

bobohack 活跃值
2009-10-23 23:14
5765
ntdll!Ntopenprocess  和 nt!ntopenprocess 的区别是什么呀?高手帮忙看下

lkd> x ntdll!*openprocess
77466f40 ntdll!NtOpenProcess = <no type information>
77466f40 ntdll!ZwOpenProcess = <no type information>
lkd> x nt!*openprocess
82870838 nt!ZwOpenProcess (<no parameter info>)
82abcc0d nt!NtOpenProcess (<no parameter info>)
lkd> u 7746f40
07746f40 ??              ???
             ^ Memory access error in 'u 7746f40'
lkd> u ntdll!ntopenprocess
ntdll!NtOpenProcess:
77466f40 b8be000000      mov     eax,0BEh
77466f45 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
77466f4a ff12            call    dword ptr [edx]
77466f4c c21000          ret     10h
77466f4f 90              nop
ntdll!ZwOpenProcessToken:
77466f50 b8bf000000      mov     eax,0BFh
77466f55 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
77466f5a ff12            call    dword ptr [edx]
lkd> u nt!ntopenprocess
nt!NtOpenProcess:
82abcc0d 8bff            mov     edi,edi
82abcc0f 55              push    ebp
82abcc10 8bec            mov     ebp,esp
82abcc12 51              push    ecx
82abcc13 51              push    ecx
82abcc14 64a124010000    mov     eax,dword ptr fs:[00000124h]
82abcc1a 8a803a010000    mov     al,byte ptr [eax+13Ah]
82abcc20 8b4d14          mov     ecx,dword ptr [ebp+14h]

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (2)
ImHolly
雪    币: 412
活跃值: (30)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
2
ntdll!NtOpenProcess:ntdll导出的函数,用户态下的;
nt!NtOpenProcess:ntoskrnl中实现的函数,内核态下的;
调用与被调用的关系
2009-10-23 23:42
0
竹君
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
3
http://hi.baidu.com/sysdog/blog/item/3617f8d12108e386a0ec9c23.html
2009-10-24 00:21
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//