利用API引进ntdll

最新推荐文章于 2024-06-15 16:46:40 发布
最新推荐文章于 2024-06-15 16:46:40 发布
阅读量99 收藏
点赞数 1
分类专栏: 逆向 文章标签: c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73667990/article/details/129673637
版权 
HMODULE GetModuleHandleA(
  [in, optional] LPCSTR lpModuleName
);

获取指定模块的句柄

FARPROC GetProcAddress(
  [in] HMODULE hModule,
  [in] LPCSTR  lpProcName
);

从指定的动态链接库 (DLL) 检索导出函数 (也称为过程) 或变量。
例如:我想导出NtSetInformationFile函数

sub_1400016B3(const CHAR *a1)
{
  HMODULE ModuleHandleA; // rax
  ModuleHandleA = GetModuleHandleA("ntdll");
  return GetProcAddress(ModuleHandleA, a1);
}
int main
{
	v17 = sub_1400016B3("NtSetInformationFile");
	v14 = v17(hObject, 参数1, 参数2, 参数3, 参数4);
}

其中NtSetInformationFile函数

//把文件挂上删除队列
ntAux = pfNtSetInformationFile(hTargetFile, &stIOStatus, &stFileInfo, sizeof(stFileInfo), FILE_INFORMATION_CLASS::FileDispositionInformation);
HDO清风
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
C++调用NTAPI枚举并强制关闭指定进程
Rprop
03-24 4万+
#include "../../RLib/RLib/native/RLib_Native.h" #pragma comment(lib, "ntdll.lib") Array *found_if_process_by_name(LPCWSTR name IN, LPCWSTR parent_name IN) { unsigned long bytes = 0; ManagedMemoryB
开发知识点-C++入门到入土知识手册
aming小老弟
10-18 632
指针经典笔试题练习题讲解typedef笔试题多个源文件-理论多个源文件-实践PBC++简述C++标准C++的应用场景第一个C++程序const修饰普通变量const修饰成员变量const修饰成员函数const修饰对象const修饰引用onst修饰函数返回值为普通变量和对象const修饰函数返回值为const的指针const修饰函数返回值为const的引用extern c的使用_cplusplus的使用string对象的构造方法string对象的赋值。
直接从WoW64层(C ++)调用32位NtDLL API-C/C++开发
05-27
直接从WoW64层(C ++)调用32位NtDLL API wowJit直接从WoW64层(C ++)调用32bit NtDLL API主要是受到ReWolf的启发:将x86与x64代码混合
ntdllapi
B_H_L的专栏
06-05 3119
ntdll.dll是Windows系统从ring3到ring0的入口。位于Kernel32.dll和user32.dll中的所有win32 API 最终都是调用ntdll.dll中的函数实现的。ntdll.dll中的函数使用SYSENTRY进入ring0,函数的实现实体在ring0中
C++ 控制台程序的线程分析
whl0071的专栏
07-26 453
ntdll.dll是windows子系统的基础模块,kernel32.dll等模块的很多调用最后都是到ntdll.dll 有很多API也隐式的创建线程,像异步socket,多媒体定时器都会创建辅助线程 金山词霸也会注入线程
NtDLLAPI
伤了
04-14 713
转帖From:郁金香的csdn博客http://blog.csdn.net/kkksi13996362600/archive/2009/03/05/3959312.aspx   1. 内容 2. 介绍 3. 文件 3.1 NtQueryDirectoryFile 3.2 NtVdmControl 4. 进程 5. 注册表 5.1 NtEnumerateKey 5.2 NtEnu...
WINDOWS+PE权威指南读书笔记(17)
沐一 · 林 的博客
12-29 921
目录 动态加载技术 Windows 虚拟地址空间分配: 用户态低 2GB 空间分配: 核心态高 2GB 空间分配: HelloWorld 进程空间分析: Windows 动态库技术: DLL静态调用: DLL动态调用: 导出函数起始地址实例: 在编程中使用动态加载技术: 获取 kernel32.dll 基地址: 获取 GetProcAddress 地址: 在代码中使用获取的函数地址编程: 动态API技术编程实例: 小结: 动态加载技术 该技术可以让程序设计者脱离复杂的导
Windows程序调试----第三部分 调试技术----第9章 内存调试
tiewen的专栏
04-19 5364
第9章内存调试     能够方便高效地进行动态内存分配,是C++编程语言的重要优点之一;而调试时容易错误使用动态分配的内存也是其最大的缺点之一。Windows程序也可能同样存在与系统资源泄漏或者堆栈相关的内存问题。内存问题是Windows程序错误的常见来源之一、而且如果没有合适的工具进行调试:它们将是最难以追踪到的错误之一。     动态内存分配错误有以下两种基本类型:内存错误和内存泄露。当一
奇虎360技术总监任寰:Chrome安全架构的进化
xinyuan82的博客
12-14
12月13-14日,SyScan首次登陆北京,携手奇虎360合力举办SyScan360国际前瞻信息安全会议。此次活动为期两天,将涵盖Windows、Android、iOS、浏览器、软件漏洞挖掘攻击等各个方向互联网安全话题,为国内外从事互联网安全领域的研究同行们提供良好的交流与合作的平台。同时本次大会还将汇集国际安全领域最新的研究成果,共享最新的安全技术,众多国际重量级的演讲嘉宾将汇聚一堂,分享最前...
Call_Ntdll_API.rar如何才能调用Native APIntdll.dll
08-06
请问vc++如何才能调用Native APIntdll.dll
windows-ntdll-api-library:轻松使用windows ntdll api
06-06
windows-ntdll-api-library 我们可以轻松使用ntdll api(包括导出的api和未导出的api)。 只需将库链接到您的项目。 会持续更新。 如何使用 包含 all.h 文件。 包括 /ntdlllib 所有.h 将库路径(lib/win32 或 ...
ntdll 64位
05-16
ntdll 64位,可用于深度学习caffe封装 error LNK2019: 无法解析的外部符号 NtClose,该符号在函数 mdb_env_map 中被引用 D:\google-jar\liblmdb \mdb.obj error LNK2019: 无法解析的外部符号 NtCreateSection,该...
Windows系统中如何获取系统的启动时间.NTDLL.DLL中有很多鲜为人知的API函数,这些函数非常有用
03-20
Windows系统中如何获取系统的启动时间.NTDLL.DLL中有很多鲜为人知的API函数,这些函数非常有用
ntdll 32位
05-16
ntdll 32位,可用于深度学习caffe封装 error LNK2019: 无法解析的外部符号 NtClose,该符号在函数 mdb_env_map 中被引用 D:\google-jar\liblmdb \mdb.obj error LNK2019: 无法解析的外部符号 NtCreateSection,...
rootkit
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-14 1356
第一章    背景 1.1 Rootkit的概念 1.2 Rootkit及其检测技术的发展现状 1.3 Rootkit检测工具介绍 1.4本书所涉及的概念和工具 第二章    Rootkit与检测技术相关的硬件基础 2.1 三环和零环 2.2 保护模式的内存保护 2.3  IDT/GDT/LDT 2.4 系统调用环境切换 第三章
C++】——Stack与Queue(含优先队列(详细解读)
m0_74092462的博客
06-09 1027
优先队列是一种容器适配器,根据严格的弱排序标准,它的第一个元素总是它所包含的元素中最大的。stack是一种容器适配器,专门用在具有后进先出操作的上下文环境中,其删除只能从容器的一端进行元素的插入与提取操作。 队列是一种容器适配器,专门用于在FIFO上下文(先进先出)中操作,其中从容器一端插入元素,另一端提取元素。
c++ 6.11
Johan1111的博客
06-11 271
(5)另外, RMB 类还包含一个静态整型成员变量 count,用于记录当前已创建的 RMB 对象的数量。每当创建一个新的 RMB 对象时,count 应该自增 1;(1)重载算术运算符 + 和 -,使得可以对两个 RMB 对象进行加法和减法运算,并返回一个新的 RMB 对象作为结果。(2)重载关系运算符 >,判断一个 RMB 对象是否大于另一个 RMB 对象,并返回 true 或 false。(3)重载前置减减运算符 --,使得每次调用时 RMB 对象的 yuan、jiao 和 fen 分别减 1。
C++提高编程-05】----C++之Deque容器实战
最新发布
一伦明悦的博客
06-15 894
Deque(双端队列)是C++ STL中的一种序列容器
ntdll.dll中的api能重写吗,怎么重写
07-14
在一般情况下,不建议直接重写ntdll.dll中的API,因为它是Windows操作系统的核心动态链接库,对其进行修改可能会导致系统不稳定或出现安全风险。 如果你有特定的需求需要修改或扩展ntdll.dll中的API,可以考虑以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值