VC里面快速调用Nt系列函数示例方法

最新推荐文章于 2023-08-19 22:46:16 发布
最新推荐文章于 2023-08-19 22:46:16 发布
阅读量5.3k 收藏 5
点赞数
分类专栏: ASM/WTL/MFC/QT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangningyu/article/details/42031021
版权

以下代码仅在Win7 x64测试,可以快速调用NT函数

当初研究的目的也只是为了一个稳定通用的ring3 inline hook bypass

funaddr + 5的方法除外,如果你还有其他方法或思路,欢迎交流指导!


Microsoft Windows [版本 6.1.7601]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。

#include <Windows.h>
#include <stdio.h>

LONG __declspec(naked) NtCall(DWORD FunctionIndex,DWORD ClassIndex,...)
{
	__asm
	{
		push ebp
		mov ebp,esp
		mov eax,FunctionIndex
		mov ecx,ClassIndex
		lea edx,[ebp+0x10]
		call fs:[0xC0]
		add esp,0x4
		leave
		retn
	}
}

#define NtTerminateProcess(ProcessHandle,ExitStatus) NtCall(0x29,0x0,ProcessHandle,ExitStatus)
#define NtUserSendInput(nInputs,pInput,cbSize) NtCall(0x1082,0x0,nInputs,pInput,cbSize)
#define NtDeleteFile(ObjectAttributes) NtCall(0x0B2,0x0,ObjectAttributes)
#define NtReadVirtualMemory(ProcessHandle,BaseAddress,Buffer,NumberOfBytesToRead,NumberOfBytesRead) NtCall(0x3C,0x0,ProcessHandle,BaseAddress,Buffer,NumberOfBytesToRead,NumberOfBytesRead)
#define NtWriteVirtualMemory(ProcessHandle,BaseAddress,Buffer,NumberOfBytesToWrite,NumberOfBytesWritten) NtCall(0x37,0x0,ProcessHandle,BaseAddress,Buffer,NumberOfBytesToWrite,NumberOfBytesWritten)
#define NtOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId) NtCall(0x23,0x0,ProcessHandle,DesiredAccess,ObjectAttributes,ClientId)
#define NtClose(Handle) NtCall(0x0C,0x0,Handle)
#define NtWaitForSingleObject(ObjectHandle,Alertable,TimeOut) NtCall(0x1,0x0D,ObjectHandle,Alertable,TimeOut)
#define NtDelayExecution(Alertable,DelayInterval) NtCall(0x31,0x6,Alertable,DelayInterval)
#define NtProtectVirtualMemory(ProcessHandle,BaseAddress,NumberOfBytesToProtect,NewAccessProtection,OldAccessProtection) NtCall(0x4D,0x0,ProcessHandle,BaseAddress,NumberOfBytesToProtect,NewAccessProtection,OldAccessProtection)
#define NtAllocateVirtualMemory(ProcessHandle,BaseAddress,ZeroBits,RegionSize,AllocationType,ProtectionType) NtCall(0x15,0x0,ProcessHandle,BaseAddress,ZeroBits,RegionSize,AllocationType,ProtectionType)
#define NtFreeVirtualMemory(ProcessHandle,BaseAddress,RegionSize,FreeType) NtCall(0x1B,0x0,ProcessHandle,BaseAddress,RegionSize,FreeType)

int main()
{
	printf("Terminating self in one second\n");
	Sleep(100);
	NtTerminateProcess(GetCurrentProcess(),-1);
	printf("You should never see this message\n");
	getchar();
	return 0;
}


NtCall第一个参数请参考:

; __stdcall ZwTerminateProcess(x, x)
public _ZwTerminateProcess@8
_ZwTerminateProcess@8 proc near

arg_0= byte ptr  4

mov     eax, 29h        ; NtTerminateProcess
xor     ecx, ecx
lea     edx, [esp+arg_0]
call    large dword ptr fs:0C0h
add     esp, 4
retn    8
_ZwTerminateProcess@8 endp ; sp-analysis failed




汪宁宇
关注
专栏目录
Windows下用C++编写NT Service程序
04-26
本压缩包包含以下4个文件: CX_NTSercvice.h文件 CX_NTSercvice头文件 CX_NTSercvice.cpp文件 CX_NTSercvice源文件 test.cpp 示例程序 CX_NTSercvice.CHM 帮助文档.
VC手动解析PE文件调用DLL函数(资源+文件)
03-25
VC++编程环境中,我们经常会遇到需要手动解析PE(Portable Executable)文件并调用DLL(Dynamic Link Library)函数的情况。PE文件格式是Windows操作系统中用于执行程序的标准格式,而DLL则是共享库,包含了可被多...
C++如何在r3静态调用NT函数
weixin_30562507的博客
11-23 468
原文最早发表于百度空间2010-02-22。 1、把ntapi.h、ntdll.lib放在一个目录,然后设置工具——选项——项目和解决方案——VC++目录——包含文件,把刚刚的目录设置在改包 含文件中,然后设置库文件,把刚刚的目录设置在改包含文件中。上面的设置是统一设置,方便以后新建项目都可以使用,如果要对单独的项目进行设置, 则按下面的步骤操作:把ntapi.h、ntdll.lib放在一个目录...
新型后门睡眠技术赏析
最新发布
ss810540895的博客
08-19 326
在Cobalt Strike等传统C2中,往往利用一段独立的混淆保护逻辑(Sleep Stub)实现对内存空间的加密,但Sleep Stub中对载荷的加密逻辑本身既存在于一段可执行空间中,又无法对该空间进行加密,只能暴露在内存空间中,因此Sleep Stub实际上在保护执行载荷的同时也引入了新的检测特征。此外,针对常见的睡眠手段,如利用Sleep()、CPU时间戳等实现的睡眠行为已经有了非常成熟的对抗方式,通过线程状态筛查、栈回溯、敏感API监控等方式能够较好地对潜在的恶意载荷进行筛查。
Windows内核新手上路2——挂钩shadow SSDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 1657
Windows内核新手上路2——挂钩shadow SSDT          文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPointNtUserSetParentNtUser
分析了一下360安全卫士的hook(zt)
lionzl的专栏
07-11 3363
分析了一下360安全卫士的hook(zt)2010-6-3 18:36阅读(12) 分析了一下360的HOOK,通过直接hook KiFastCallEntry实现以所有系统调用的过滤。 我分析的版本如下: 主程序版本: 6.0.1.1003 HookPort.sys版本: 1, 0, 0, 1005 HookPort.sys的TimeStamp: 4A8D4AB8 简
VC 虚拟设备驱动VXD示例编写源代码.rar
07-10
这个过程中,VxD需要理解和实现INT 16H BIOS中断,这是传统的键盘处理方法,以及可能的Windows API函数,如GetKeyboardState和SendInput。 虚拟鼠标驱动(vmd)的实现则更为复杂,因为它不仅需要模拟鼠标移动,还...
VC如何调用DLL文件.doc
07-23
下面是一个简单的示例,展示如何在VC应用程序中显式加载和调用DLL中的函数: ```cpp // 设置全局变量glibsample用于存储dll句柄 HINSTANCE glibsample = NULL; // showme是指向dll库中showme()函数的指针 typedef ...
解析dll符号的工具函数以及windwos pe文件分析工具代码vc
07-23
本文将深入探讨解析DLL符号的工具函数,以及Windows PE(Portable Executable)文件的分析方法,这些都是软件开发和逆向工程中的重要知识点。 首先,解析DLL符号的工具函数通常涉及到以下几个步骤: 1. **加载DLL*...
使用NT本机API进行注册表操作
04-08
2. 使用`NTSTATUS`定义的宏(如`NT_SUCCESS`)检查函数调用的结果。 3. 使用` Zw*Xxx* `(例如`ZwOpenKey`)形式的函数名,因为NT API在Windows NT内核模式中使用,而在用户模式下则使用`Nt*Xxx*`形式。 4. 使用`...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
一个反键盘记录工具的分析
08-22 1470
除了nProtect,国外还有一些反键盘记录工具,比如下面这个还不错:http://www.anti-keyloggers.com/是个通用型的,与QQ的nProtect专门用于保护密码不同。而且反破解做的不错(对我这种破解外行而言,呵呵)。它的原理我简单的说一下,就是替换键盘类驱动的KeyboardClassServiceCallback,然后把得到的ScanCode传递到用户态
YJX_Driver_011_驱动保护原理实战__IDA
weixin_30651273的博客
03-24 276
1、 【00:28】认识Win32子系统   【02:02】WinAPI 一般分为3类:USER函数、GDI函数、Kernel函数     【02:38】GDI --> 物理设备上执行绘图操作 --> win32k.sys     【02:55】win32k.sys 一般我们很少用到,常用的是 ntkrnlpa.exe 和 ntkrnlpa.lib (kernel32.dll)...
获得SSDT表函数
cqyczj的专栏
04-18 1757
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
使用 NtDeleteFile 来删除文件
weixin_34377919的博客
11-30 757
2019独角兽企业重金招聘Python工程师标准>>> ...
Gloomy对Windows内核的分析(内存与进程管理器)
峥嵘岁月
01-31 3939
内存与进程管理器==========================                                   But I fear tomorrow Ill be crying,                                   Yes I fear tomorrow Ill be crying.                      
Windows NT内核函数大全
qq_42577465的博客
06-06 1609
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
call dword ptr xxx与call xxx的比较
04-16 5632
一:问题 call dword ptr xxx与call xxx 前者为什么比后者就效率了?还有一个问题 #include  using namespace std; int main() { cout __asm jmp main return 0; } 这个函数为啥不是死循环?怎么执行一会就结束? 如果加个计数器 #include  using
C++ 逆向辅助学习----汇编基础 学习指令集原理与call原理跟使用 5
qq_42095701的博客
04-11 724
[bx]和loop指令 1.[bx]和内存单元的描述 1.1 [bx]是什么呢? 和[0]有些类似,[0]表示内存单元,它的偏移地址是0。 1.2 我们要完整地描述一个内存单元,需要两种信息: (1)内存单元的地址; (2)内存单元的长度(类型)。 我们用[0]...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪宁宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值