Question

windows所有函数调用都要进入系统内核吗?

比如调用ntdll.dll中的DbgUiRemoteBreakin和DbgBreakPoint函数,通用它们会进入内核吗?

Answer 1

必须进入内核的，windows的api调用，需要借助于内核栈。..一般来就是我们看到　sysenter指令，早期的windows是用的int 0x2e这个陷井指令进入内核。

windows的函数　叫做API 即appplication programing interface 应用程序接口。

追问

你的意思是所有的windows函数调用都会进入内核？

追答

必须的啊，所有的操作系统都使用了封装思想啊，windows上的GUI界面就是explorer.exe主要是给电脑菜鸟的，控制界面就是cmd.exe那是主要给系统管理员的，API接口那是主要给程序员的。

每个api调用都进内核的，你用windbg调试会发现整个过程的，来这里，可以详细看一下这个过程，例子是分析　CreateFile函数如何从ring3到ring 0 的，以及如何理解api的http://tieba.baidu.com/p/2812935931

追问

我知道CreateFile函数是怎么进入内核的，但是我想问的是那两个函数DbgUiRemoteBreakin和DbgBreakPoint有没有进入内核，我在内核里找不到这两个函数的内核服务函数，也就是内核执行体。你能找到吗？他们内核态函数是怎么样的？

追答

1、先澄清一个问题，追问的时候没有仔细看，并不是所有的API都进入内核的，比如　GetModuleHandle(0)，你传递0参数的时候，它是在ring3下直接访问的PEB获取模块基址
2、 它们会进入内核的，你在windbg中“k”一下就会发现DbgUiRemoteBreakin会调用　DbgBreakPoint　　，另外这两个函数的功能类似于　我们内核调试的时候　按ctrl +B 直接中断到调试器或者阻断到系统的情况。你可以建立远程线程，在线程函数中调用。不过得自己写驱动程序。ntdll.dll中的DbgUi系列函数、Dbg系列函数以及DbSs系列函数都得在驱动中实现吧，因为它需要通过调试器来看到。这是跨进程的。。

Answer 2

你说的这两个函数那必须要进内核的，因为要使被调试进程挂起。
但大多WINAPI是不进内核的，WINAPI在内核的基础上多来一层的目的一是为了内核透明，二就是为了性能，老进内核性能消耗太大。

追问

首先，谢谢您的回答，不过还是有点不明白：
1.这两个函数进入内核的?进入内核后它们两是变成Nt头的还是怎么样的?
2.大多WINAPI是不进内核的,但是有什么方法知道一个函数调用进不进内核呢？

追答

没有去跟过这些函数，不知道内核里对应什么样的内容。WINAPI设计的初衷就是对程序员透明，所以要知道某个函数有没有进内核也许只能看官方的文档，当然，你也可以跟反汇编。