|
阅读:988回复:3
请指教!多谢了
最近用softice调试内核,发现如下难以理解的事情!
在softice里使用命令:u zwcreatefile,现象如下: ntoskrnl!ZwCreateFile 0008:804D1A46 MOV EAX, 00000020 0008:804D1A4B LEA EDX, [ESP+04] 0008:804D1A4F INT 2E 让我感到奇怪的是:这些语句应该出现在ntdll.dll中就比较好理解了。因为上面的语句明显是要切入内核,这是ntdll要完成的功能呀! 可是这里为什么出现在了ntoskrnl中,而且从这些代码所在的内存地址可以看出本身就在内核中(2G以上空间)。 真是让人费解,希望各位大侠指教。 |
|
|
沙发#
发布于:2004-05-20 23:12
ntdll.dll导出的Zw*与Nt*实际指向同一函数。2000下此类函数利用Int 2E进入ring0,由KiSystemService分发服务。
ntoskrnl.exe导出的Nt*是为内核程序准备的,他们没有外包装,一开始就是函数的实现;Zw*进行了包装,它们的实质是用Int 2E重进入内核(对NT/2000而言),让KiSystemService分发,最后一般仍会进入同名的Nt*函数(若有的话)。 |
|
|
|
板凳#
发布于:2004-05-21 08:29
谢谢大侠解答!这个问题迷惑了我很长时间,呵呵。如果我在softice里想设置断点或者看ntdll.dll中的NtCreateProcess等函数,应该怎么做?
默认的bpx ntcreateprocess就将断点设置到ntoskrnl中了! |
|
|
地板#
发布于:2004-05-21 09:53
bpx ntdll!ntcreateprocess
|
|
|
