티스토리 뷰
728x90
반응형
[Reversing] Zw함수의 접두사의 의미
참조
ex)
zwopenprocess, zwopenprocesstoken, zwqueryinformationtoken 함수등 함수명 앞에 접두사 Nt 및 Zw로 시작하는 걸 볼 수 있다.
MSDN 검색 결과 Nt의 접두사는 NT의 약자지만, Zw의 접두사는 의미가 없다고 한다. 최근 알게된 사실로는 직접 호출이 불가능하여 간접호출만 되면서 뒤에 접두사가 Nt > Zw 로 바뀌는 것을 알게되었다.
그저 다른 API와 이름으로 인한 잠재적인 충돌을 피하기 위해 사용했다고 하며, 자세한 내용은 해당 링크를 참고하면 될 것 같다.
| 접두사 | 커널 구성요소 | 루틴 예 |
|---|---|---|
Cm | Configuration manager | CmRegisterCallbackEx |
Ex | Executive | ExAllocatePool |
Hal | Hardware abstraction layer | HalGetAdapter |
Io | I/O manager | IoAllocateIrp |
Ke | Kernel core | KeSetEvent |
Mm | Memory manager | MmUnlockPages |
Ob | Object manager | ObReferenceObject |
Po | Power manager | PoSetPowerState |
Tm | Transaction manager | TmCommitTransaction |
Nt,Zw | Native system services | NtCreateFile , ZwCreateFile |
728x90
반응형
'Reversing > ETC' 카테고리의 다른 글
| [Reversing] CreateProcessInternalW() (0) | 2020.02.11 |
|---|---|
| [Reversing] Crypto-Ransomware (0) | 2020.01.17 |
| [Reversing] RTF, OLE, Open XML (0) | 2019.12.20 |
| [Reversing] CSIDL Values (0) | 2019.11.28 |
| [Reversing] API 동적 로딩 기법, PEB의 LDR 이용 (0) | 2019.11.25 |
댓글
250x250
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today