-
这个问题让我很费解,请各位大侠帮助,先谢过了。 最近用softice调试内核,发现如下难以理解的事情! 在softice里使用命令:u zwcreatefile,现象如下: ntoskrnl!ZwCreateFile 0008:804D1A46 MOV EAX, 00...全文
◆
◆
-
wowocock:而且INT2E并非RING3->RING0使用,RING0中也可以使用INT2E来进行调用,而无须特权变化,相当于无特权级变化的CALL而已,当然用中断门的方法对性能还是有影响的,所以MS在XP后就直接在RING0中采用CALL的方式来在zwcreatefile中跳到IDT2E的...(2004-05-20 23:45)
-
wowocock:zwcreatefile在内核中也可以使用,不过其功能和NTDLL过来的一样,都必须经过INT 2E的参数验证,而NtCreateFile则不用参数验证,所以2个都可以使用,看你是否需要参数验证而已.....(2004-05-20 23:39)
