Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Спасибо, а чтоб вопрос не выглядел совсем ламерским 09.01.03 14:58 Число просмотров: 1587
Автор: amirul <Serge> Статус: The Elderman
|
Вот что меня смутило:
Export, ntdll.dll
Ordinal Address Name
0000003E 77F81106 NtAccessCheckByType
000002BC 77F81106 ZwAccessCheckByType
0000004C 77F81114 NtAreMappedFilesTheSame
000002CA 77F81114 ZwAreMappedFilesTheSame
00000060 77F81122 NtCreateMailslotFile
000002DE 77F81122 ZwCreateMailslotFile
0000006C 77F81130 NtCreateToken
000002EA 77F81130 ZwCreateToken
000000F6 77F8113E NtSaveKey
00000373 77F8113E ZwSaveKey
0000010C 77F8114C NtSetLdtEntries
00000389 77F8114C ZwSetLdtEntries
...
---
Я смотрел только в ntdll.dll и поленился заглянуть в ntoskrnl. Теперь заглянул - там они действительно разные
|
|
<operating systems>
|
Zw и Nt функции 08.01.03 15:58
Автор: amirul <Serge> Статус: The Elderman
|
|
Ничего срочного и важного, просто мне интересно, может кто знает, зачем одни и те же входы экспортируются и как Zw и как Nt. Короче, зачем одной точке входа два имени? В общем-то проверял и Ida-ой и просмотрщиками хедеров. За все Zw и Nt не ручаюсь - не проверял, но то, что большинство из них это просто разные имена, а адрес в таблице экспортов один - это точно.
|
|
Цитирую 09.01.03 14:12
Автор: IgorR <Igor Razin> Статус: Member
|
|
...при дизассемблировании ntoskernel.exe становится видно, что идентификаторы Nt* указывают на настоящий код, а их разновидность Zw* ссылаются на заглушки INT 2Eh. Это означает, что набор функций Zw* работает через шлюз, переключающий режимы пользователя и ядра, а функции Nt* указывают непосредственно на код, вывполняющийся после переключения режима.
|
| |
Спасибо, а чтоб вопрос не выглядел совсем ламерским 09.01.03 14:58
Автор: amirul <Serge> Статус: The Elderman
|
Вот что меня смутило:
Export, ntdll.dll
Ordinal Address Name
0000003E 77F81106 NtAccessCheckByType
000002BC 77F81106 ZwAccessCheckByType
0000004C 77F81114 NtAreMappedFilesTheSame
000002CA 77F81114 ZwAreMappedFilesTheSame
00000060 77F81122 NtCreateMailslotFile
000002DE 77F81122 ZwCreateMailslotFile
0000006C 77F81130 NtCreateToken
000002EA 77F81130 ZwCreateToken
000000F6 77F8113E NtSaveKey
00000373 77F8113E ZwSaveKey
0000010C 77F8114C NtSetLdtEntries
00000389 77F8114C ZwSetLdtEntries
...
---
Я смотрел только в ntdll.dll и поленился заглянуть в ntoskrnl. Теперь заглянул - там они действительно разные
|
|
|
подробно о проекте
Анализ криптографических сетевых...
