微软基本没有提供给用户态程序调用Native API的接口,因为Windows SDK中几乎没有调用所需的头文件和库文件(SDK中只有少量的Native API所需的数据结构),但是可以利用以下两种方法在用户态调用Native API。
通过下面的三个步骤则可以在运行期获取Native API的函数指针,从而实现调用该函数的目的。
第一步,声明函数原型和相关数据结构;
例如:
typedef NTSTATUS (__stdcall *ZwQuerySystemInformationFunc)(
IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
OUT PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength OPTIONAL);
第二步,利用函数GetProcProcess和GetModuleHandle获取Native API函数指针;
例如:
ZwQuerySystemInformation = (ZwQuerySystemInformationFunc)GetProcAddress (GetModuleHandle(_T ("ntdll.dll")), "ZwQuerySystemInformation"));
第三步,调用该函数。
完整例子可以参照示例代码GetSystemInformation,当然,这种方法也可以实现运行期获取Windows User Mode API的函数指针。
上面的方法中实际获取的是ntdll.dll中Native API proxy函数的指针,在Windows这些proxy函数实际都是通过调用INT 2Eh实现转核和API的实际调用的(XP之后的Windows还实现了一种利用sysenter指令转核的Native API调用接口,ntdll.dll中的proxy函数就是利用这种方式实现的),所以用户态程序也可以通过INT 2Eh的方式实现Native API的调用。
这种方式主要只需要两个步骤:
第一步,声明Native API的函数原型;
例如:
NTSTATUS __stdcall MyZwQuerySystemInformation (IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
IN OUT PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength OPTIONAL)
第二步,在该函数中添加INT 2Eh及设置相应寄存器的相关代码;
char** ppStackFrame = (char**)&SystemInformationClass;
__asm
{
mov eax, 0ADH;
mov edx, ppStackFrame;
int 2EH;
}
完整例子可以参照示例代码GetSystemInformation。
完整例子可以参照示例代码 GetSystemInformation 。