информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100 		Сетевые кракеры и правда о деле ЛевинаПортрет посетителяSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
 Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Очередное исследование 19 миллиардов... 
 Оптимизация ввода-вывода как инструмент... 
 Зловреды выбирают Lisp и Delphi 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / operating systems
Имя Пароль
если вы видите этот текст, отключите в настройках форума использование JavaScript
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
Спасибо, а чтоб вопрос не выглядел совсем ламерским 09.01.03 14:58  Число просмотров: 1571
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Вот что меня смутило: 
Export, ntdll.dll
Ordinal	Address	Name
0000003E	77F81106	NtAccessCheckByType
000002BC	77F81106	ZwAccessCheckByType
0000004C	77F81114	NtAreMappedFilesTheSame
000002CA	77F81114	ZwAreMappedFilesTheSame
00000060	77F81122	NtCreateMailslotFile
000002DE	77F81122	ZwCreateMailslotFile
0000006C	77F81130	NtCreateToken
000002EA	77F81130	ZwCreateToken
000000F6	77F8113E	NtSaveKey
00000373	77F8113E	ZwSaveKey
0000010C	77F8114C	NtSetLdtEntries
00000389	77F8114C	ZwSetLdtEntries
...

---
Я смотрел только в ntdll.dll и поленился заглянуть в ntoskrnl. Теперь заглянул - там они действительно разные
<operating systems>
Zw и Nt функции 08.01.03 15:58  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Ничего срочного и важного, просто мне интересно, может кто знает, зачем одни и те же входы экспортируются и как Zw и как Nt. Короче, зачем одной точке входа два имени? В общем-то проверял и Ida-ой и просмотрщиками хедеров. За все Zw и Nt не ручаюсь - не проверял, но то, что большинство из них это просто разные имена, а адрес в таблице экспортов один - это точно.
Цитирую 09.01.03 14:12  
Автор: IgorR <Igor Razin> Статус: Member
<"чистая" ссылка>
...при дизассемблировании ntoskernel.exe становится видно, что идентификаторы Nt* указывают на настоящий код, а их разновидность Zw* ссылаются на заглушки INT 2Eh. Это означает, что набор функций Zw* работает через шлюз, переключающий режимы пользователя и ядра, а функции Nt* указывают непосредственно на код, вывполняющийся после переключения режима.
Спасибо, а чтоб вопрос не выглядел совсем ламерским 09.01.03 14:58  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Вот что меня смутило: 
Export, ntdll.dll
Ordinal	Address	Name
0000003E	77F81106	NtAccessCheckByType
000002BC	77F81106	ZwAccessCheckByType
0000004C	77F81114	NtAreMappedFilesTheSame
000002CA	77F81114	ZwAreMappedFilesTheSame
00000060	77F81122	NtCreateMailslotFile
000002DE	77F81122	ZwCreateMailslotFile
0000006C	77F81130	NtCreateToken
000002EA	77F81130	ZwCreateToken
000000F6	77F8113E	NtSaveKey
00000373	77F8113E	ZwSaveKey
0000010C	77F8114C	NtSetLdtEntries
00000389	77F8114C	ZwSetLdtEntries
...

---
Я смотрел только в ntdll.dll и поленился заглянуть в ntoskrnl. Теперь заглянул - там они действительно разные
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach