В чем разница между NtCreateProcess и ZwCreateProcess?

Question

В чем разница между NtCreateProcess и ZwCreateProcess?В ntdll.dll и NtCreateProcess, и ZwCreateProcess указывают на один и тот же адрес

Answer 1

В пользовательском режиме группы API-интерфейсов Nt и Zw идентичны. В режиме ядра они разные. Nt API содержит фактическую реализацию. API Zw использует механизм системных вызовов и гарантирует, что он вызывает в режиме ядра и что нет необходимости проверять параметры, если они содержат адреса в режиме пользователя. В противном случае вы можете использовать API из пользовательского режима с параметрами ядра, что не очень хорошо. Так что это просто механизм безопасности.

Answer 2

На мой взгляд, лучший ответ можно найти на OSR Online: здесь .

В качестве альтернативы вы можете читать книги по Native API, например, книгу Гэри Неббетта, называемую «Справочник по Native API Windows NT / 2000», он посвящает некоторое пространство этому вопросу, или вы можете использовать WinDbg (произносится как «wind -сумка ") себя.