在应用层使用ntdll.dll中的未导出函数

最新推荐文章于 2020-12-19 08:42:08 发布
最新推荐文章于 2020-12-19 08:42:08 发布
阅读量3.6k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengkuangfj/article/details/28657835
版权 
// Test.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"


typedef NTSTATUS (NTAPI* NTCREATEFILE)(
	OUT PHANDLE FileHandle,
	IN ACCESS_MASK DesiredAccess,
	IN POBJECT_ATTRIBUTES ObjectAttributes,
	OUT PIO_STATUS_BLOCK IoStatusBlock,
	IN PLARGE_INTEGER AllocationSize OPTIONAL,
	IN ULONG FileAttributes,
	IN ULONG ShareAccess,
	IN ULONG CreateDisposition,
	IN ULONG CreateOptions,
	IN PVOID EaBuffer OPTIONAL,
	IN ULONG EaLength
	);

typedef NTSTATUS (NTAPI* NTCLOSE)(
	IN HANDLE Handle
	);


int _tmain(int argc, _TCHAR* argv[])
{
	HMODULE				hModule			= NULL;
	NTCREATEFILE		NtCreateFile	= NULL;
	NTCLOSE				NtClose			= NULL;
	UNICODE_STRING		FileName		= {0};
	OBJECT_ATTRIBUTES	Oa				= {0};
	HANDLE				hFile1			= NULL;
	NTSTATUS			ntStatus		= STATUS_UNSUCCESSFUL;
	IO_STATUS_BLOCK		Iosb			= {0};
	HANDLE				hFile2			= INVALID_HANDLE_VALUE;
	PWCHAR				pBuffer			= NULL;
	DWORD				dwRet			= 0;
	

	__try
	{
		hModule 
最低0.47元/天 解锁文章
fengkuangfj
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ntdll.dll文件的memset模块运算流程图
06-16
ntdll.dllmemset为一段代码,它的功能是对堆栈的一段进行清零,在调用时需要输入3个参数,分别是需清零堆栈段的首地址,清零堆栈段大小,清零堆栈段填充的内容
memset()函数及其作用
bin__blog的博客
10-23 163
转 zhttps://blog.csdn.net/qq_27522735/article/details/53374765
memset 线程安全_恶意.NET安全攻防(一):使用ETW隐藏你的.NET
weixin_35748962的博客
12-19 260
前言随着目前的防御机制不断加强对于PowerShell的检测功能,攻击者也不断改变他们所使用的战术,并逐渐改用到很少会被监测到的技术,.NET就是其的一种。随着时间的推移,很多攻击者已经习惯了可以用于后漏洞利用的大量.NET Payload。诸如GhostPack和SharpHound这样的工具套件,已经成为攻击者武器库的一部分,负责为其提供“动力”的框架,通常会是Cobalt S...
windows黑客编程系列(九):使用ntdll.dll公开的API进行压缩
至臻求学,胸怀云月
04-24 2839
文章目录压缩技术利用WIN32自带API实现数据压缩WIN APIRtlGetCompressionWorkSpaceSizeRtlCompressBufferRtlDecompressBuffer编码实现运行效果 压缩技术 病毒木马悄悄的隐藏在别人的计算机上,目的是搜集用户的隐私数据。为了顺利完成任务,不可避免的会使用用户计算机的资源,而且这很可能会引起用户的察觉。 为了减少被发现的可能,病...
关于 LoadLibrary
Coder in Tokyo
04-01 746
我们平常使用Dll导出函数是用的是LoadLibrary。然后再GetProcAddress取得函数的入口地址。LoadLibrary是在kernel32.dll定义的。那么kernel32.dll是由谁来导入的呢? 显然不能用LoadLibrary,这是一个先有鸡还是先有蛋的问题。答案是使用Ntdll导出函数 LdrLoadDll,然后再LdrGetProcedureAddres
ntdll.dll导出函数统计
05-14
主要记录ntdll.dll导出的所有函数。可以查看所有导出函数
解决VS2019 ntdll.dll下载符号失败的问题
09-28
VS2019运行UWP时,出现ntdll.dll下载符号失败问题,通过本文操作,可以解决这个问题,并且加速了调试程序速度。
Windows系统如何获取系统的启动时间.NTDLL.DLL有很多鲜为人知的API函数,这些函数非常有用
03-20
总结来说,利用NTDLL.DLL的`ZwQuerySystemInformation`函数和`SYSTEM_BASIC_INFORMATION`结构,我们可以有效地获取Windows系统的启动时间。这个过程涉及到Windows API的使用、内存分配、时间转换等多个方面,对于...
Call_Ntdll_API.rar如何才能调用Native API即ntdll.dll
08-06
本篇文章将详细讲解如何在VC++环境调用ntdll.dll的Native API。 首先,我们需要理解VC++如何导入动态链接库(DLL)。在Windows下,通常有两种方式来调用DLL函数:隐式链接和显式链接。对于ntdll.dll这样的...
20201130__NTDLL.DLL.v1.zip
12-01
4. **ntdlldef.src**:这个文件可能是NTDLL.DLL的定义文件,包含了函数原型、常量定义等,供编译器和链接器使用。 综上所述,20201130__NTDLL.DLL.v1.zip的缺失可能影响到Windows XP/2003 Server系统的正常运行和...
ntdll.dll学习总结
热门推荐
bcbobo21cn的专栏
10-16 1万+
ntdll.dll ntdll.dll描述了windows本地NTAPI的接口。是重要的Windows NT内核级文件。当Windows启动时,ntdll.dll就 驻留在内存特定的写保护区域,使别的程序无法占用这个内存区域。[1]  文名 ntdll.dll 外文名 NT Layer DLL 版    本 6.3.9600.17736 系统DLL文件 是 属    于 Wind
memset函数详解
weixin_40953784的博客
04-08 3211
环境:win10,vs2017,qt5.9.7。 我们对于一个结构体,比如: struct _TestStruct { char a[20]; int b; short c; bool e; int f[5]; }; 定义一个_TestStruct类型的变量_TestStruct tes...
memset
My Blog
03-12 366
函数原型 void *memset(void *s, int ch, size_t n); 函数解释:将s前n个字节 (typedef unsigned int size_t)用 ch 替换并返回 s 。将s所指向的某一块内存的前n个字节的内容全部设置为ch指定的ASCII值, 块的大小由第三个参数指定,这个函数通常为新申请的内存做初始化工作, 其返回值为指向S的指针。
MFC动态载入DLL
sinat_31608641的博客
04-05 733
//相机 CSDExVisionDev* m_pCSDExVisionDev; typedef HRESULT(*TCreateVisionDev)(CSDExVisionDev **pp_MotionDev); void CMFCApplication1Dlg::LoadDllLibrary(CString strPath) { HINSTANCE hInst = LoadLibrary(...
通过反汇编ntdll.dll可以通过汇编代码重写ntdll.dll的api吗
最新发布
07-14
在尝试重写ntdll.dll的API之前,需要明确以下几点: 1. 法律和授权:修改和重写操作系统核心组件的行为可能是违法的。确保你具备合法的授权或许可,并遵守相关的法律和规定。 2. 系统稳定性和安全性:修改核心...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值