Do not call this routine from kernel-mode code; instead, call the ZwXxx equivalent. User-mode code can call can this routine or the ZwXxx equivalent. For further comments, if any, see the ZwXxx equivalent.
不是完全不让用，是让你用ZwXXXX
至于区别ZwXXXX和用户态的系统调用会在内核栈上创建一个trap frame
然后通过统一流程到达NtXXXX
而 trap frame的作用主要是保存调用者的完整信息用于恢复执行
ZwXXXX会创建一个trap frame并把TCB的PreviousMode设为内核态
用户态的系统调用会创建一个会创建一个并把TCB的PreviousMode设为用户态
而NtXXXX不创建trap frame
比如说你调用DeviceIoControl 发给你自己编的Device Driver 让它帮你打开一个内核态才能访问的进程
可能的流程是
DeviceIoControl ->Ntdll!NtDeviceIoControlFile ->创建trap frame，PreviousMode为用户态 -> Nt!NtDeviceIoControlFile
->你的Device Driver  XxxDispatchDeviceControl->Nt!ZwOpenProcess->创建trap frame，PreviousMode为内核态->Nt!NtOpenProcess->用TCB里的信息测试访问权限，发现是内核态的请求，验证通过，返回Handle

而假如调用NtXXXX
DeviceIoControl ->Ntdll!NtDeviceIoControlFile ->创建trap frame，PreviousMode为用户态 -> Nt!NtDeviceIoControlFile
->你的Device Driver  XxxDispatchDeviceControl->Nt!NtOpenProcess->用TCB里的信息测试访问权限，发现是用户态的请求，打开失败

而Nt!NtXXXX主要是供内核自己和hal之类的组件调用的，这些调用不需要创建trap frame,因而更快一点
有的调用的目的就是操作trap frame,如ZwSetContextThread/NtSetContextThread，最好都不要用，
而是用PsSetContextThread

非常感谢 leftup 兄 辛苦了 打了那么多
系统调用流程基本上都懂  一些细节和设计方面有点模糊
就是说如果我的驱动在内核 我直接调用NT*函数，它没有像zw*那样那样建立trap frame设置PreviousMode为内核态再调用nt* 那么复杂  那么既然这样 我干脆全用nt系列的就是了？ 不是又快又好？
还有就是：
zw*的流程是什么样的 （reactos上能看到它的实现吧？）
nt*是否确定被导出，是可用的

leftup 兄 怎么联系你？

驱动在内核不是重点，因为kernel里的所有代码都在内核态，但是为什么你在用户态调用一个系统调用，进入内核，有一些访问的要求会被拒绝呢？
调用NtXXXX时被调用函数查看PreviousMode是用户态，很多AccessCheck会通不过，这就有点像服务端Impersonate客户端一样
而调用ZwXXXX时被调用函数查看PreviousMode是核心态，很多AccessCheck会直接通过而不检查ACL,Privilege之类的
简单来说NtXXXX函数都是通过PreviousMode来区分调用者是代表用户态还是核心态的

这个我知道啊

我的意思是说我直接用nt 的不是更好么？ 只要它导出了我为什么不用呢？
用他有什么好处 又有什么坏处？

高人也！我好崇拜你哦

....不知道你说的什么意思

nt*函数可以使用，但由于她不会更改prevmode,所以若你当前mode是user mode，就不能使用kernel mode的buffer。

nt*函数可以使用，但由于她不会更改prevmode,所以若你当前mode是user mode，就不能使用kernel mode的buffer。

那我的驱动在内核的话 要怎样在能安全稳定的使用呢？

可以创造或者“借用”USER MODE BUFFER

既然想调用NtXXXX，那就直接从User mode 调用就行了
用不着驱动了

看最新的WDK文档，里面加了一节内容
“Using Nt and Zw Versions of the Native System Services Routines”，
或者看这里d05K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6K6i4K6u0W2L8i4y4V1L8W2)9J5k6h3y4G2L8g2)9J5c8Y4N6V1K9$3c8G2j5%4y4Q4x3V1k6S2M7X3y4Z5K9i4k6W2i4K6u0r3x3U0l9H3z5g2)9J5c8U0l9$3i4K6u0r3x3K6m8Q4x3V1k6C8k6i4u0F1k6h3I4Q4x3X3c8H3M7X3!0Y4M7X3q4E0L8h3W2F1k6#2)9J5k6r3&6@1i4K6u0V1j5h3&6V1i4K6u0V1P5Y4N6Q4x3X3c8$3k6i4u0K6K9h3!0F1M7#2)9J5k6r3!0X3i4K6u0V1N6r3S2W2i4K6u0V1L8X3q4@1K9i4k6W2i4K6u0V1M7%4W2K6N6r3g2E0i4K6u0V1M7$3g2J5N6X3W2U0k6i4y4Q4x3X3c8J5L8%4g2@1K9h3&6W2M7#2)9J5k6h3q4K6M7s2S2Q4c8f1k6Q4b7V1y4Q4z5p5x3`.
以及这里ae5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3!0K6M7X3!0F1L8r3W2F1k6g2)9J5k6h3y4G2L8g2)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3X3g2U0k6X3#2Q4x3@1k6A6k6q4)9K6c8o6t1#2y4H3`.`.

既然想调用NtXXXX，那就直接从User mode 调用就行了
用不着驱动了

leftup  兄 我说的是内核的nt函数。。。

感谢zhzhtst提供的资料！

还有个问题想请教一下 mj 等大牛
内核中什么时候会出现调用NtXxx函数 ，而PreviousMode为UserMode的情况？

如果PreviousMode是UserMode,那就和从用户态调用没多大区别
那干嘛非得从内核调用，难到内核的就香一点
跑到内核为了干点从用户态能办到的事，好像没什么意义

讲得很透彻
以前我一直不知道Zw是什么意思，原来本来就是没什么意思

看下这个贴吧  http://bbs.pediy.com/showthread.php?t=55142&highlight=Nt+%E5%86%85%E6%A0%B8+%E6%A0%B8%E6%80%81+%E6%80%81%E8%B0%83+%E8%B0%83%E7%94%A8+%E5%87%BD%E6%95%B0+%E6%95%B0

我的问题就跟他差不多

学习中。。。。。。。。