Zw函数与Nt函数的分别与联系

Ring3中的NATIVE API，和Ring0的系统调用，都有同名的Zw和Nt系列函数，一度让初学者感到迷糊。N久前的我，也是相当的迷糊。现在就以ZwOpenProcess和NtOpenProcess函数为例，详细阐述下他们的分别和联系。
ntdll.dll导出了NtOpenProcess和ZwOpenProcess两个函数，我们记为ntdll!NtOpenProcess和ntdll!ZwOpenProcess。仔细看一下，会发现他们的入口点实际上都是一样的，这就是说，ntdll!ZwOpenProcess仅仅是ntdll!NtOpenProcess函数的别名而已，实现如下：
ZwOpenProcess  
.text:7C92D5FE                 mov     eax, 7Ah         ; NtOpenProcess
.text:7C92D603                 mov     edx, 7FFE0300h
.text:7C92D608                 call     dword ptr [edx]
.text:7C92D60A                 retn     10h
　　7FFE0300h处是ntdll!KiFastSystemCall的入口，ntdll!KiFastSystemCall会保存起当前的栈指针，然后通过引发0x2e中断，陷入内核。
　　当触发0x2e中断后，CPU将执行环境切换到Ring0状态，然后去调用内核模块的0x2e处理例程nt!KiSystemService。nt!KiSystemService会在参数检查、栈拷贝等操作之后，根据Ring3代码传递过来的调用号0x7A，在SSDT中查找相应的函数地址，然后调用找到的函数。对于我们的例子来说，这个函数就是内核模块的导出函数nt!NtOpenProcess。nt!NtOpenProcess才是真正的打开进程实现函数。但是内核模块也导出了nt!ZwOpenProcess，这个nt!ZwOpenProcess，有什么用处呢？会不会像ntdll!ZwOpenProcess一样，也仅仅是ntdll!NtOpenProcess的一个别名？实际上，nt!ZwOpenProcess并不仅仅是nt!NtOpenProcess一个别名，我们可以看一下nt!ZwOpenProcess的实现：
kd> u nt!ZwOpenProcess
nt!ZwOpenProcess:
804fede8   mov     eax,7Ah
804feded   lea       edx,[esp+4]
804fedf1   pushfd
804fedf2   push     8
804fedf4   call       nt!KiSystemService (8053d891)
804fedf9   ret       10h
　　与ntdll.ZwOpenProcess是不是很接近？nt!ZwOpenProcess也只是让nt!KiSystemService调用SSDT中的第0x7A号函数，他自己本身没有进行任何打开进程的实现。
　　到这儿，就可以总结一下了：用户空间中的Zw***和Nt***的实现都是一样的，比如ntdll!ZwOpenProcess和ntdll!NtOpenProcess的入口都是0x7C92D5FE，ntdll!ZwOpenFile和ntdll!NtOpenFile的入口都是0f7C92D59E。内核空间中的Zw函数，是Nt函数的一个Stup，只是mov系统调用号到eax中，转而直接调用（注意，没有像ntdll!ZwOpenProcess）nt!KiSystemService去从SSDT中找到相应号码的函数再调用之，真正的实现都在Nt***函数中。

 

什么是“未公开”函数呢？微软为了某种目的。对于一些封装在系统中的函数没有在任何开发文档提供任何函数说明和定义。而这些函数有很多都是很有用的。所幸的是一些有心之人对Windows系统动态连接库做了十分详细的分析，从而将这些未公开函数公开以供广大开发人员共享（我对他们的感激之情就象滔滔江水，绵绵不绝…）

　　首先他们都是微软未公开的函数，之所以未公开主要是因为这些函数大部分功能太强大了，把他们公开会让一些别有用心的人利用。9x下的我不知道，NT(含2000/xp)下你可以参考《Windows NT Native API》,他们中的大部分函数几乎就从来没有变过。而几乎所有从Kenerl.dll中引出的Win32API,都是通过调用的Native API(NTDLL.DLL中导出)实现系统调用的。举一个例子：NtQuerySystemInformation 这个函数就强大到可以查询所有的系统信息,使用时需要用户拥有相当高的访问权限。

in ring3：
lkd> ? ntdll!ZwOpenProcess
Evaluate expression: 2089999739 = 7c92dd7b
lkd> ? ntdll!NtOpenProcess
Evaluate expression: 2089999739 = 7c92dd7b
　　可以看到，在ntdll中，ZwOpenProcess和NtOpenProcess其实是同一个函数，只不过拥有两个名称而已。
　　也就是说，在ring3环境中，Zw***系列函数和Nt***系列函数无区别。
in ring0：
lkd> u nt!ZwOpenProcess
nt!ZwOpenProcess:
804de044 b87a000000     mov      eax,7Ah
804de049 8d542404        lea      edx,[esp+4]
804de04d 9c              pushfd
804de04e 6a08           push 8
804de050 e8dc150000     call nt!KiSystemService (804df631)
804de055 c21000         ret      10h
lkd> u nt!NtOpenProcess
nt!NtOpenProcess:
80573d06 68c4000000     push 0C4h
80573d0b 6810b44e80     push offset nt!ObWatchHandles+0x25c (804eb410)
80573d10 e826f7f6ff     call nt!_SEH_prolog (804e343b)
80573d15 33f6           xor      esi,esi
80573d17 8975d4          mov      dword ptr [ebp-2Ch],esi
80573d1a 33c0           xor      eax,eax
80573d1c 8d7dd8         lea      edi,[ebp-28h]
80573d1f ab              stos dword ptr es:[edi]
　　可以看得出，ZwOpenProcess函数很短，首先把0x7a(NtOpenProcess的服务号)存入eax，然后做一些保存现场的工作即KiSystemService——这个函数根据eax中的service id在SSDT中查找相应的系统服务，然后调用之。
　　而NtOpenProcess函数很长（反汇编结果只是一部分），事实上，NtOpenProcess便是真正执行打开进程操作的函数（在r0中通常称为服务，或例程），所以，若在驱动中直接调用Nt系列函数，是不会经过SSDT的，也就不会被SSDT HOOK所拦截。
简单总结如下：
　　r3下无论如何调用，均无法绕过SSDT HOOK，r0下调用Nt*可以绕过SSDT HOOK。