win7 到 win10 用户层API调用变化

最新推荐文章于 2023-12-08 13:49:42 发布
最新推荐文章于 2023-12-08 13:49:42 发布
阅读量3.1k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1025464759/article/details/50262209
版权

自己的笔记,不一定正确,切勿照搬

从win7到win10,很多KERNEL32中的函数都搬家到了KERNELBASE中,比如CreateProcess之类的,而Kernel32中则只留下了一个存根函数CreateProcessWStub,上windbg附加另一个windbg,下断 bp kernel32!createprocesswstub果然断下了,kn回溯看到如下:

dbgeng!DebugCreate-->kernel32!CreateProcessWStub-->kernelbase!CreateProcessW


(这就是以前的CreateProcessW)

反汇编一下 kernel32!createprocesswstub:

KERNEL32!CreateProcessWStub:
00007ffe`8ff53b00 4c8bdc          mov     r11,rsp<span style="white-space:pre">			</span>
00007ffe`8ff53b03 4883ec58        sub     rsp,58h<span style="white-space:pre">			</span>//局部变量占用58h字节
00007ffe`8ff53b07 488b8424a8000000 mov     rax,qword ptr [rsp+0A8h]<span style="white-space:pre">	</span>//复制参数作为下个函数的参数
00007ffe`8ff53b0f 498943f0        mov     qword ptr [r11-10h],rax
00007ffe`8ff53b13 488b8424a0000000 mov     rax,qword ptr [rsp+0A0h]
00007ffe`8ff53b1b 498943e8        mov     qword ptr [r11-18h],rax
00007ffe`8ff53b1f 488b842498000000 mov     rax,qword ptr [rsp+98h]
00007ffe`8ff53b27 498943e0        mov     qword ptr [r11-20h],rax
00007ffe`8ff53b2b 488b842490000000 mov     rax,qword ptr [rsp+90h]
00007ffe`8ff53b33 498943d8        mov     qword ptr [r11-28h],rax
00007ffe`8ff53b37 8b842488000000  mov     eax,dword ptr [rsp+88h]
00007ffe`8ff53b3e 89442428        mov     dword ptr [rsp+28h],eax
00007ffe`8ff53b42 8b842480000000  mov     eax,dword ptr [rsp+80h]
00007ffe`8ff53b49 89442420        mov     dword ptr [rsp+20h],eax
00007ffe`8ff53b4d ff152d260500    call    qword ptr [KERNEL32!_imp_CreateProcessW (00007ffe`8ffa6180)]
00007ffe`8ff53b53 4883c458        add     rsp,58h
00007ffe`8ff53b57 c3              ret


反正就是对参数做了些处理然后就调用KernelBase!CreateProcessW了,你说没看到? 这里的KERNEL32!_imp_CreateProcessW就是

0:004>dq 7ffe8ffa6180
00007ffe`8ffa6180  00007ffe`8dcbc960 00007ffe`8dce7950

0:004>uf 00007ffe`8dcbc960
KERNELBASE!CreateProcessW:

对,就是输入表里指向的KernelBase!CreateProcessW!

然后它又调用了KERNELBASE!CreateProcessInternalW,而且是原封不动地调用,自己什么都没做

就不贴代码了,太长,期间两个重要的函数贴出来


DbgUiConnectToDbg DbgUiGetThreadDebugObject
</pre>最后处理完后调用了ntdll!NtCreateUserProcess:<p></p><p>代码:</p><pre name="code" class="plain">00007ffe`90c86520 4c8bd1          mov     r10,rcx
00007ffe`90c86523 b8bb000000      mov     eax,0BBh
00007ffe`90c86528 f604250803fe7f01 test    byte ptr [SharedUserData+0x308 (00000000`7ffe0308)],1
00007ffe`90c86530 7503            jne     ntdll!NtCreateUserProcess+0x15 (00007ffe`90c86535)
00007ffe`90c86532 0f05            syscall
00007ffe`90c86534 c3              ret
00007ffe`90c86535 cd2e            int     2Eh
00007ffe`90c86537 c3              ret

这个简单了,因为参数都已经布置好了,eax中放入服务号,如果支持快速系统服务就syscall否则int 2e,剩下的就是内核的事情了。

总结一下,KERNELBASE!CreateProcessInternalW做了几乎所有的用户层工作,ntdll!NtCreateUserProcess负责把调用传进内核,KERNELBASE!CreateProcessW和KERNEL32!CreateProcessWStub完全就是路过,啥都不做,只是传递了一下参数。

扯谎列白
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
思路:如何跳过CreateProcess调用底层创建进程函数
享受开发,颠倒银河
10-28 6088
论坛近日有人在问如何跳过CreateProcess调用底层的NtCreateProcess。 我想说的是不能单纯看这个问题,首先不同NT内核版本CreateProcess进入 底层的路径是不同的: 2k ->NtCreateProcess xp ->NtCreateProcessEx vista/win7/2008 ->NtCreateUserProcess 拿wi
python在win10上打包exe文件在win7上不兼容,显示api-ms-win-core-path的dll文件找不到的问题的解决方法
m0_51413399的博客
09-28 1万+
这里如果能写一个程序脚本则可以大大减少我们的工作量,由于新员工所配发的电脑普遍都是win10系统,而绝大部分老员工配发的电脑都是win7系统,考虑到代码的移植性的问题所以我们有必要把程序打包成exe文件,用以适配其他人的电脑和用于调试机。并且将该dll文件添加至该python环境中,至此后面的exe程序都能够顺利在win7环境下运行了。新建工程,创建(.py)文件,大部分数据处理是对特殊文件的处理,即.bin文件等,使用open file命令打开即可。创建好的exe文件在工程目录下的dist文件夹里。
Win7系统缺少api-ms-win-core-localregistry-l1-1-0.dll文件的解决办法
最新发布
file
12-08 2029
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个api-ms-win-core-localregistry-l1-1-0.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.
WIN7触摸API实例WinTouch.NET-master.rar
03-29
- 源代码:源码文件展示了如何在.NET项目中调用WIN7触摸API,以及API的使用逻辑。 - 文档:可能包含API的详细解释和使用指南,帮助开发者理解代码背后的原理。 总的来说,WinTouch.NET-master项目是学习和理解WIN7...
Win7~10开始菜单替换源码.rar
11-28
总的来说,"Win7~10开始菜单替换源码"涉及到的是如何通过编程手段改变Windows操作系统的用户体验,以及如何通过开源协作模式来保持软件的生命力。对于开发者来说,这是一个学习Windows API应用和UI设计的好案例;...
Win32 API大全_Win32API_
09-29
7. **文件系统操作**:Win32 API提供了读写文件、创建删除文件和目录的函数,如CreateFile、ReadFile、WriteFile和DeleteFile。此外,FindFirstFile和FindNextFile用于文件和目录的搜索。 8. **注册表操作**:...
autocad r14 win10补丁 win7补丁 64位可用
11-08
这可能涉及到对系统API调用的更新、驱动兼容性的调整或其他底层优化,以确保软件的稳定性和性能。 在安装补丁时,用户需要注意以下几点: 1. 确保备份原有文件:在替换或修改任何系统或软件文件之前,最好备份原有...
win32api参考手册API超级大全.zip
06-10
Win32 API参考手册API超级大全》是一个包含丰富的Windows操作系统编程接口知识的资源集合,主要针对使用C或C++语言进行Windows系统级编程的开发者。这个压缩包包含三份重要的文档:`Win32 API大全2.chm`、`Win32 ...
使用CreateProcess()创建进程
江东小熊熊
10-30 1万+
#include &lt;iostream&gt; #include &lt;windows.h&gt; using namespace std; int main(int argc, char* argv[]) { STARTUPINFO si = { sizeof(si) }; PROCESS_INFORMATION pi; si.dwFlags = STARTF_USESHO...
注意CreateProcessW函数
ITLionWoo的专栏
04-11 6307
看下面这个代码有什么问题:  #define PROCESS_NAME _T(“C://Windows/NotePad.ext”)      if (!CreateProcessW(NULL, PROCESS_NAME, NULL, NULL, FALSE, 0, NULL, NULL, &startupInfo, &processInformation))  这里的问
Windows API 开发
科学研究
03-29 513
导航: Windows API开发手册: 说明简介 此页没有内容条目 内容 Windows API 函数 for Visual Basic API简介 Windows API 就是 windows应用程序接口,是针对microsoft windows操作系统家族的系统编程接口,这样的系统包括 Windows 10 Windows 8.1 Windows 8 Windows 7 Windows Vista Windows Server 2012 Windows 2008 R2 Windows Server 2
Windows API函数大全(Windows编程参考手册)
热门推荐
eli的博客
11-29 1万+
文档声明: 以下资料均属于本人在学习过程中产出的学习笔记,如果错误或者遗漏之处,请多多指正。并且该文档在后期会随着学习的深入不断补充完善。感谢各位的参考查看。 笔记资料仅供学习交流使用,转载请标明出处,谢谢配合。 如果存在相关知识点的遗漏,可以在评论区留言,看到后将在第一时间更新。 作者:Aliven888 ...
win7 createprocess 如何以当前登陆用户身份运行程序
wanlitengfei的专栏
05-08 7302
开发中有时会遇到这样的问题,当服务程序需要使用某些功能时,由于用户的关系而受到限制, 比如访问注册表的HKEY_CURRENT_USER键,使用网络等等,这时候就需要以当前登陆用户的身份 去进行操作,通常会创建一个进程来完成需要的功能。如果使用CreateProcess来创建进程的话, 新创建的进程和服务程序依然是相同的用户身份,还是无法达到目的,只有使用CreateProcessAsUse
win7 api-ms-win-core-libraryloader
07-04
### 回答1: api-ms-win-core-libraryloader是Windows 7操作系统中的一个动态链接库(DLL)文件,它提供了关于加载和卸载动态链接库的功能。 在Windows 7中,通过使用api-ms-win-core-libraryloader可以方便地加载和卸载动态链接库,以便在应用程序中使用其中的函数和变量。这个库提供了一组函数,用于加载动态链接库并获取其中导出的函数的指针。通过这些函数,应用程序可以动态地加载和调用其他模块(DLL)中的函数,从而实现不同模块之间的交互和通信。 使用api-ms-win-core-libraryloader的函数,我们可以根据动态库的路径或名称来加载它们。一旦动态库加载成功,就可以使用GetProcAddress函数获取其中函数的地址,并通过函数指针调用相应的函数。在使用完成后,可以使用FreeLibrary函数来卸载动态库,释放相应的资源。 api-ms-win-core-libraryloader在Windows 7中起到了至关重要的作用。它使得在应用程序开发中,我们能够方便地进行模块化的设计和实现,将不同的功能划分为不同的DLL,从而提高代码的可维护性和灵活性。同时,它也为不同模块之间的通信和交互提供了方便的途径。 总之,api-ms-win-core-libraryloader是Windows 7操作系统中提供动态链接库加载和卸载功能的重要组件,为应用程序的开发和运行提供了便利。 ### 回答2: api-ms-win-core-libraryloader是Windows 7操作系统中的一个API(应用程序编程接口),用于加载和卸载动态链接库(DLL)文件。在Windows 7中,DLL文件被广泛应用于软件开发中,用于提供可重用的功能和资源。 api-ms-win-core-libraryloader通过提供一组函数来管理DLL文件的加载和卸载。这些函数包括LoadLibrary、FreeLibrary和GetProcAddress等。LoadLibrary函数用于加载DLL文件到进程的内存中,使得该DLL中的函数可以被其他模块调用。FreeLibrary函数用于卸载DLL文件并释放相关的资源。GetProcAddress函数用于获取DLL文件中指定函数的地址,以便能够直接调用该函数。 使用api-ms-win-core-libraryloader可以实现一些功能,如动态加载外部库、插件和扩展,以实现程序的模块化和灵活性。此外,它还可以帮助解决不同DLL版本冲突的问题,通过动态加载具体版本的DLL来避免冲突。 总之,api-ms-win-core-libraryloader是一个重要的API,它在Windows 7操作系统中扮演着管理DLL文件加载和卸载的角色,为软件开发者提供了方便的功能和灵活性,同时也有助于解决DLL版本冲突的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值