|
阅读:1459回复:2
请各位大侠帮助我,多谢了,呵呵
这个问题让我很费解,请各位大侠帮助,先谢过了。
最近用softice调试内核,发现如下难以理解的事情! 在softice里使用命令:u zwcreatefile,现象如下: ntoskrnl!ZwCreateFile 0008:804D1A46 MOV EAX, 00000020 0008:804D1A4B LEA EDX, [ESP+04] 0008:804D1A4F INT 2E 让我感到奇怪的是:这些语句应该出现在ntdll.dll中就比较好理解了。因为上面的语句明显是要切入内核,这是ntdll要完成的功能呀! 可是这里为什么出现在了ntoskrnl中,而且从这些代码所在的内存地址可以看出本身就在内核中(2G以上空间)。 |
|
|
沙发#
发布于:2004-05-20 23:39
zwcreatefile在内核中也可以使用,不过其功能和NTDLL过来的一样,都必须经过INT 2E的参数验证,而NtCreateFile则不用参数验证,所以2个都可以使用,看你是否需要参数验证而已.....
|
|
|
|
板凳#
发布于:2004-05-20 23:45
而且INT2E并非RING3->RING0使用,RING0中也可以使用INT2E来进行调用,而无须特权变化,相当于无特权级变化的CALL而已,当然用中断门的方法对性能还是有影响的,所以MS在XP后就直接在RING0中采用CALL的方式来在zwcreatefile中跳到IDT2E的地址中了,虽然在XP以后系统不使用INT2E来进行系统调用,HOOK INT2E也不再有效,但INT2E其例程内部的地址,还是系统服务调度的必经之路,我以前曾经发布过一个修改WEBCRAZY的STRACE的例子,使其通用于2K/XP/2003就是采用HOOK该必经之路的方法,嘿嘿.....
|
|
|