请指教！多谢了

  最近用softice调试内核，发现如下难以理解的事情！
  在softice里使用命令:u zwcreatefile,现象如下：
  ntoskrnl!ZwCreateFile
  0008:804D1A46 MOV EAX, 00000020
  0008:804D1A4B LEA EDX, [ESP+04]
  0008:804D1A4F INT 2E

  让我感到奇怪的是：这些语句应该出现在ntdll.dll中就比较好理解了。因为上面的语句明显是要切入内核，这是ntdll要完成的功能呀！
  可是这里为什么出现在了ntoskrnl中，而且从这些代码所在的内存地址可以看出本身就在内核中（2G以上空间）。
   真是让人费解，希望各位大侠指教。

谢谢大侠解答！这个问题迷惑了我很长时间，呵呵。如果我在softice里想设置断点或者看ntdll.dll中的NtCreateProcess等函数，应该怎么做？
默认的bpx ntcreateprocess就将断点设置到ntoskrnl中了！