当前位置：文江博客话题详情

Windows Native API：何时以及为何使用 Zw 与 Nt 前缀 API 调用？

发布于 2024-10-13 09:49:24 字数 287 浏览 1 评论 0原文

在本机 API 中，Microsoft 导出每个 API 调用的两个版本，例如，一种以 Zw 为前缀，另一种以 Nt 为前缀。 ZwCreateThread 和 NtCreateThread。

这两个版本的调用有什么区别？何时以及为什么应该专门使用 Zw 或 Nt？

据我了解，Zw 版本确保调用者驻留在内核模式，而 Nt 则不然。

Zw 和 Nt 前缀/缩写的具体含义是什么？

人们可以猜测 Nt 可能指的是 NT（新技术）Windows 系列或 Native（可能不是）？至于Zw，它代表什么吗？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

泪冰清 2024-10-20 09:49:24

除了 Larry Osterman 的回答（您一定应该阅读），我还应该提到另一件事：

由于 NtXxx 变体执行检查，就好像调用来自用户模式一样，这意味着 < strong>传递给 NtXxs 函数的任何缓冲区都必须驻留在用户模式地址空间中，而不是内核模式。因此，如果您在驱动程序中调用像 NtCreateFile 这样的函数并将其指针传递给内核模式缓冲区，您将因此得到 STATUS_ACCESS_VIOLATION。

请参阅使用 Nt 和 Zw 版本的本机系统服务例程。

内核模式驱动程序调用本机系统服务例程的 Zw 版本，以通知例程参数来自受信任的内核模式源。在这种情况下，例程假设它可以安全地使用这些参数，而无需首先验证它们。但是，如果参数可能来自用户模式源或内核模式源，则驱动程序将调用 Nt 版本的例程，该例程根据调用线程的历史记录确定参数是否源自用户模式。模式或内核模式。
本机系统服务例程对它们接收的参数做出额外的假设。如果例程接收到指向由内核模式驱动程序分配的缓冲区的指针，则例程假定该缓冲区是在系统内存中分配的，而不是在用户模式内存中分配的。如果例程接收到由用户模式应用程序打开的句柄，则例程会在用户模式句柄表中查找该句柄，而不是在内核模式句柄表中查找。

另外，Zw 不代表任何东西。请参阅Zw 前缀是什么意思？：

Windows 本机系统服务例程的名称以前缀 Nt 和 Zw 开头。 Nt前缀是Windows NT的缩写，而Zw前缀没有任何意义。选择 Zw 部分是为了避免与其他 API 潜在的命名冲突，部分是为了避免使用将来可能需要的任何潜在有用的两字母前缀。

回复收藏 0 原文

凯凯我们等你回来 2024-10-20 09:49:24

我打算将此作为评论 user541686 的答案，但太长了...

user541686 的答案 100% 准确。这也有点误导。由“使用 Nt 和 Zw...”文章 user541686 对此进行了更详细的介绍。释义：
Nt 和 Zw API 调用之间的主要区别在于，Zw 调用通过系统调用调度程序，但对于驱动程序，Nt 调用是对 API 的直接调用。

当驱动程序调用 Zw API 时，通过系统调用调度程序运行的唯一实际效果是它将 KeGetPreviousMode() 设置为 KernelMode 而不是 UserMode（显然对于用户模式代码，Zw 和 Nt 形式是相同的）。当各种系统调用看到 ExGetPreviousMode 是 KernelMode 时，它们会绕过访问检查（因为驱动程序可以执行任何操作）。

如果驱动程序调用 NT 形式的 API，则可能会因访问检查而失败。

一个具体的例子：如果驱动程序调用NtCreateFile，NtCreateFile将调用SeAccessCheck()来查看调用驱动程序的应用程序是否有创建文件的权限。如果同一驱动程序调用 ZwCreateFile，则 NtCreateFile API 调用将不会调用 SeAccessCheck，因为 ExGetPreviousMode 返回 KernelMode，因此假定驱动程序有权访问该文件。

对于驱动程序作者来说，了解两者之间的区别非常重要，因为它可能对安全性产生深远的影响......