Function ZwOpenFile和NtOpenFile之间有什么区别?
ZWOpenFile和NtOpenFile都是nt dll的函数。ZWOpenFile的实现方式与NtOpenFile相同。但我不明白为什么ZWOpenFile包含在nt dll函数中。有人能解释一下区别吗?这是: 内核模式驱动程序调用本机系统服务例程的Zw版本,通知例程参数来自可信的内核模式源。在这种情况下,例程假定它可以安全地使用参数,而无需首先验证它们。但是,如果参数可能来自用户模式源或内核模式源,则驱动程序将调用例程的Nt版本,该例程根据调用线程的历史确定参数是源自用户模式还是内核模式。有关例程如何区分用户模式参数和内核模式参数的更多信息,请参阅 基本上,它与参数的验证方式有关。这是: 内核模式驱动程序调用本机系统服务例程的Zw版本,通知例程参数来自可信的内核模式源。在这种情况下,例程假定它可以安全地使用参数,而无需首先验证它们。但是,如果参数可能来自用户模式源或内核模式源,则驱动程序将调用例程的Nt版本,该例程根据调用线程的历史确定参数是源自用户模式还是内核模式。有关例程如何区分用户模式参数和内核模式参数的更多信息,请参阅Function ZwOpenFile和NtOpenFile之间有什么区别?,function,kernel32,Function,Kernel32,ZWOpenFile和NtOpenFile都是nt dll的函数。ZWOpenFile的实现方式与NtOpenFile相同。但我不明白为什么ZWOpenFile包含在nt dll函数中。有人能解释一下区别吗?这是: 内核模式驱动程序调用本机系统服务例程的Zw版本,通知例程参数来自可信的内核模式源。在这种情况下,例程假定它可以安全地使用参数,而无需首先验证它们。但是,如果参数可能来自用户模式源或内核模式源,则驱动程序将调用例程的Nt版本,该例程根据调用线程的历史确定参数是源自用户模式还是内核模式。
基本上,它与参数的验证方式有关。通常,内核驱动程序应该只使用
ZwXxx()ZwXxx()NtXxx()Zwxxx()NtXxx()ZwXxx()据我所知,Microsoft只记录了在用户模式下使用的
NtXxx()ZwXxx()ZwXxx()ZwXxx()NtXxx()Zwxxx()NtXxx()ZwXxx()据我所知,微软只记录了在用户模式下使用的
NtXxx()ZwXxx(). 举例说明已经说过的话,以确保OP或其他任何人了解完整情况