自己调用NTDLL函数

最新推荐文章于 2020-06-16 21:43:53 发布
最新推荐文章于 2020-06-16 21:43:53 发布
阅读量1.9k 收藏 2
点赞数
文章标签: c/c++ c# python
原文链接:http://www.cnblogs.com/Quincy/p/4838600.html
版权
本文介绍了一种在DLL初始化时避免调用其他系统DLL函数的问题,即直接调用NTDLL接口。作者提供了如何声明并使用NTDLL导出函数的方法,并封装了一个NTRegistry类来代替系统注册表API,详细说明了项目设置和测试程序的实现。
摘要由CSDN通过智能技术生成

一、概述

在DLL初始化的时候有时不能调用其它系统DLL的函数,以免导致问题,但有时候又必须要调用怎么办?一种办法就是自己直接调用NTDLL接口,这样肯定没有问题。

下面我写个自己调用Registry的封装类,用来代替原本系统注册表API。

 

二、申明NTDLL导出函数

在自己工程中需要调用NTDLL导出函数,可以通GetProcessAddr来获取函数地址再调用,也可以通过导入库的方式(这种需要ntdll.lib文件,在DDK中有),我这里采用第二种方式。

函数和类型声明:

NTDllDecl.h

#pragma once
#include <windows.h>
#include <winternl.h>

namespace NT {
    extern "C" {

// macro definition
#ifndef NTSTATUS
#define NTSTATUS    LONG                                
#endif

#ifndef NTAPI
#define NTAPI        __stdcall                                
#endif

#ifndef NTSYSAPI 
#define NTSYSAPI    __declspec(dllimport)
#endif

#ifndef STATUS_BUFFER_OVERFLOW
#define STATUS_BUFFER_OVERFLOW           ((NTSTATUS)0x80000005L)
#endif

typedef enum _KEY_INFORMATION_CLASS {
    KeyBasicInformation,
    KeyNodeInformation,
    KeyFullInformation,
    KeyNameInformation,
    KeyCachedInformation,
    KeyFlagsInformation,
    KeyVirtualizationInformation,
    KeyHandleTagsInformation,
    MaxKeyInfoClass  // MaxKeyInfoClass should always be the last enum
} KEY_INFORMATION_CLASS;

typedef enum _KEY_VALUE_INFORMATION_CLASS {
    KeyValueBasicInformation,
    KeyValueFullInformation,
    KeyValuePartialInformation,
    KeyValueFullInformationAlign64,
    KeyValuePartialInformationAlign64,
    MaxKeyValueInfoClass  // MaxKeyValueInfoClass should always be the last enum
} KEY_VALUE_INFORMATION_CLASS;

typedef struct _KEY_BASIC_INFORMATION {
    LARGE_INTEGER LastWriteTime;
    ULONG   TitleIndex;
    ULONG   NameLength;
    WCHAR   Name[1];            // Variable length string
} KEY_BASIC_INFORMATION, *PKEY_BASIC_INFORMATION;

typedef struct _KEY_NODE_INFORMATION {
    LARGE_INTEGER LastWriteTime;
    ULONG   TitleIndex;
    ULONG   ClassOffset;
    ULONG   ClassLength;
    ULONG   NameLength;
    WCHAR   Name[1];            // Variable length string
//          Class[1];           // Variable length string not declared
} KEY_NODE_INFORMATION, *PKEY_NODE_INFORMATION;

typedef struct _KEY_FULL_INFORMATION {
    LARGE_INTEGER LastWriteTime;
    ULONG   TitleIndex;
    ULONG   ClassOffset;
    ULONG   ClassLength;
    ULONG   SubKeys;
    ULONG   MaxNameLen;
    ULONG   MaxClassLen;
    ULONG   Values;
    ULONG   MaxValueNameLen;
    ULONG   MaxValueDataLen;
    WCHAR   Class[1];           // Variable length
} KEY_FULL_INFORMATION, *PKEY_FULL_INFORMATION;

typedef struct _KEY_VALUE_BASIC_INFORMATION {
    ULONG   TitleIndex;
    ULONG   Type;
    ULONG   NameLength;
    WCHAR   Name[1];            // Variable size
} KEY_VALUE_BASIC_INFORMATION, *PKEY_VALUE_BASIC_INFORMATION;

typedef struct _KEY_VALUE_PARTIAL_INFORMATION {
    ULONG   TitleIndex;
    ULONG   Type;
    ULONG   DataLength;
    UCHAR   Data[1];            // Variable size
} KEY_VALUE_PARTIAL_INFORMATION, *PKEY_VALUE_PARTIAL_INFORMATION;

// Registry
NTSYSAPI
NTSTATUS
NTAPI
ZwCreateKey(
    OUT PHANDLE KeyHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes,
    IN ULONG TitleIndex,
    IN PUNICODE_STRING Class,
    IN ULONG CreateOptions,
    OUT PULONG Disposition
    );

NTSYSAPI
NTSTATUS
NTAPI
ZwOpenKey(
    OUT PHANDLE KeyHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes
    );

NTSYSAPI
NTSTATUS
NTAPI
ZwQueryKey(
    IN HANDLE KeyHandle,
    IN KEY_INFORMATION_CLASS KeyInformationClass,
    OUT PVOID KeyInformation,
    IN ULONG KeyInformationLength,
    OUT PULONG ResultLength
    );

NTSYSAPI
NTSTATUS
NTAPI
ZwSetValueKey(
    IN HANDLE KeyHandle,
    IN PUNICODE_STRING ValueName,
    IN ULONG TitleIndex,
    IN ULONG Type,
    IN PVOID Data,
    IN ULONG DataSize
    );

NTSYSAPI
NTSTATUS
NTAPI
ZwQueryValueKey(
    IN HANDLE KeyHandle,
    IN PUNICODE_STRING ValueName,
    IN KEY_VALUE_INFORMATION_CLASS KeyValueInformationClass,
    OUT PVOID KeyValueInformation,
    IN ULONG KeyValueInformationLength,
    OUT PULONG ResultLength
    );

NTSYSAPI
NTSTATUS
NTAPI
ZwEnumerateKey(
    IN HANDLE KeyHandle,
    IN ULONG Index,
    IN KEY_INFORMATION_CLASS KeyInformationClass,
    OUT PVOID KeyInformation,
    IN ULONG KeyInformationLength,
    OUT PULONG ResultLength
    );

NTSYSAPI
NTSTATUS
NTAPI
ZwClose(
    IN HANDLE Handle
    );

NTSYSAPI
NTSTATUS 
NTAPI
RtlFormatCurrentUserKeyPath( 
    OUT PUNICODE_STRING RegistryPath 
    );


    }
};

 

三、封装自己注册表函数

自己定义一个类用来封装注册表函数,我这里只封装了几个需要用的注册表函数(参考ReatOS和Windows代码),其余的可以后续再添加。

注册封装类声明:

NTRegistry.h

//********************************************************************  
//    文件名:        NTRegistry.h
//    文件描述:      Ntdll导出注册表函数定义头文件
//    作者:           
//    版本:          1.0
// 
//    修改历史:      
//    备注:          
//*********************************************************************
#pragma once

#ifndef STATIC
#define STATIC        static
#endif

#ifndef NTSTATUS
#define NTSTATUS    LONG
#endif


class NTRegistry
{
public:
    
    STATIC LONG RegCreateKey(
                HKEY hKey,
                LPCWSTR lpSubKey,
                DWORD Reserved,
                LPWSTR lpClass,
                DWORD dwOptions,
                REGSAM samDesired,
                LPSECURITY_ATTRIBUTES lpSecurityAttributes,
                PHKEY phkResult,
                LPDWORD lpdwDisposition);

    STATIC LONG RegOpenKey(
                HKEY hKey,
                LPCWSTR lpSubKey,
                DWORD ulOptions,
                REGSAM samDesired,
                PHKEY phkResult);

    STATIC LONG RegQueryInfoKey(
                HKEY hKey,
                LPWSTR lpClass,
                LPDWORD lpcbClass,
                LPDWORD lpReserved,
                LPDWORD lpcSubKeys,
                LPDWORD lpcbMaxSubKeyLen,
                LPDWORD lpcbMaxClassLen,
                LPDWORD lpcValues,
                LPDWORD lpcbMaxValueNameLen,
                LPDWORD lpcbMaxValueLen,
                LPDWORD lpcbSecurityDescriptor,
                PFILETIME lpftLastWriteTime
                );

    STATIC LONG RegSetValue( 
                HKEY hKey,
                LPCWSTR lpValueName,
                DWORD Reserved,
                DWORD dwType,
                CONST BYTE* lpData,
                DWORD cbData);

    STATIC LONG RegQueryValue(
                HKEY hKey,
                LPCWSTR lpValueName,
                LPDWORD lpReserved,
                LPDWORD lpType,
                LPBYTE lpData,
                LPDWORD lpcbData
                );

    STATIC LONG RegEnumKey(
                HKEY hKey,
                DWORD dwIndex,
                LPWSTR lpName,
                LPDWORD lpcbName,
                LPDWORD lpReserved,
                LPWSTR lpClass,
                LPDWORD lpcbClass,
                PFILETIME lpftLastWriteTime);

    STATIC LONG RegCloseKey(HKEY hKey);

private:

    STATIC NTSTATUS OpenCurrentUser(
                IN ACCESS_MASK DesiredAccess,
                OUT PHANDLE KeyHandle);

    STATIC NTSTATUS OpenLocalMachineKey(
                OUT PHANDLE KeyHandle);

    STATIC NTSTATUS OpenCurrentConfigKey (PHANDLE KeyHandle);

    STATIC NTSTATUS OpenUsersKey(PHANDLE KeyHandle);

    STATIC NTSTATUS OpenClassesRootKey(PHANDLE KeyHandle);

    STATIC NTSTATUS MapDefaultKey(
                OUT PHANDLE RealKey, 
                IN HKEY Key);
};

 

注册封装类定义:

NTRegistry.cpp

#include "StdAfx.h"
#include "NTRegistry.h"
#include "NTDllDecl.h"

#define ARGUMENT_PRESENT( arg )                                            \
    ((( PVOID ) arg ) != (( PVOID ) NULL ))

#define DEFAULT_KEY_NAME_SIZE                    128
#define DEFAULT_CLASS_SIZE                        128
#define DEFAULT_VALUE_SIZE                        128

#define REG_MAX_NAME_SIZE                        256
#define REG_MAX_DATA_SIZE                        2048

#ifndef STATUS_SUCCESS
#define STATUS_SUCCESS                          ((NTSTATUS)0x00000000L) 
#endif

#define RTL_CONSTANT_STRING(__SOURCE_STRING__)                            \
{                                                                        \
    sizeof(__SOURCE_STRING__) - sizeof((__SOURCE_STRING__)[0]),            \
    sizeof(__SOURCE_STRING__),                                            \
    (__SOURCE_STRING__)                                                    \
}

#define IsPredefKey(HKey)                                               \
    (((ULONG_PTR)(HKey) & 0xF0000000) == 0x80000000)

#define ClosePredefKey(Handle)
最低0.47元/天 解锁文章
NTdll函数原型
lwqamm的博客
03-05 949
NtFsControlFile 发送一个I/O控制IOCTL为代表的公开设备对象.通常用于文件系统有关的特别命令.NtNotifyChangeDirectoryFile 寄存器一个线程希望得到通知时,一个目录的内容发生变化.NtDeviceIoControlFile 发送IOCTL装置的设备驱动,这是一个打开的文件对象.NtCreateIoCompletion 告诉I/O管理器,一个线程希望时得到通知的I/O完成.NtImpersonateClientOfPort 线程模拟确定的进程的另一端的一个港口.
ntdll-h 兼容性增强版使用手册
最新发布
gitblog_00092的博客
09-20 898
ntdll-h 兼容性增强版使用手册 ntdll ntdll.h - compatible with MSVC 6.0, Intel C++ Compiler and MinGW. Serves as a complete replacement for Windows.h ...
通过ntdll.dll函数枚举进程
_ACME_的博客
04-02 1110
C语言代码如下: #include <windows.h> #include <stdio.h> #include <stdlib.h> #include <NTSecAPI.h>//定义一个函数指针用来访问ntdll.dll中的ZwQuerySystemInformation函数 typedef DWORD(WINAPI *ZWQUERYSYSTEMINFORMATION)(DWORD, PVOI
NT 函数原型
lei35151的专栏
11-15 4340
NTSYSAPI NTSTATUS NTAPI NtAcceptConnectPort( OUT PHANDLE PortHandle, IN PVOID PortIdentifier, IN PPORT_MESSAGE Message, IN BOOLEAN Accept, IN OUT PPORT_VIEW ServerView OPTIONAL, OUT PREMOTE_P
NTDLL.dll5 : 导出函数
it技术学习
07-29 2915
================================================== Function Name     : __isascii Address           : 0x7c94c8a2 Relative Address  : 0x0002c8a2 Ordinal           : 1185 (0x4a1) Filename          :
函数ntdll.dll RtlRemoteCall的实现过程
06-02
函数RtlRemoteCall是ntdll中的一个未文档化的函数,其功能主要是修改EIP,实现远程线程调用。该函数的实现过程易语言版的在此:。该函数的内部实现过程其实非常简单,主要是使用NtGetContextThread获得线程上下文,...
直接从WoW64层(C ++)调用32位NtDLL API-C/C++开发
05-27
2. **函数调用约定**:32位和64位系统间的函数调用约定也可能不同,例如参数传递和返回值处理。 3. **指针大小**:32位和64位环境下的指针大小不同,需要适配。 4. **异常处理**:跨架构调用可能需要处理异常和...
Call_Ntdll_API.rar如何才能调用Native API即ntdll.dll
08-06
在提供的"Call_Ntdll_API.rar"压缩包中,可能包含了示例代码或教程,可以帮助你更深入地了解如何在实际项目中调用ntdll.dll函数。通过学习并实践这些内容,你可以更好地理解和掌握在VC++调用Native API的技巧。...
SyscallDumper:转储系统调用代码,名称和Ntdll.dll的偏移量
05-07
这是一个简单的(少于100行)C ++程序的实现,该程序从ntdll.dll转储系统调用信息。 ntdll.dll是用户模式应用程序通过其访问Windows内核的接口。 ntdll.dll为需要访问内核域的每个基本活动导出函数。 示例包括与...
ntdll中一些未公开函数
03-03
ntdll中一些未公开函数,英文chm文件
ntdll.dll导出函数统计
05-14
主要记录ntdll.dll导出的所有函数。可以查看所有导出的函数
ntdll.lib x64/x86
07-08
包含ntdll.h 64位ntdll.lib 32位btdll.lib
ntdll.lib
08-19
这是ntdll的导出库文件,编写native函数时要用到,其中的ntdll.h也一起发上来
使用native API时需要的ntdll.h与ntdll.lib
03-10
windows所有的Native API都包含了,开心吧
NTDLL中有用的函数
weixin_33726313的博客
06-29 1126
1. NTSYSAPI PIMAGE_NT_HEADERS NTAPI RtlImageNtHeader( IN PVOID ModuleAddress ); 转载于:https://www.cnblogs.com/fanzi2009/archive/2011/06/16/2082271.html...
ntdll函数逆向
qq_41490873的博客
06-16 1292
RtlEncodePointer :该函数的作用是把传进来的值和进程的指定信息进行异或 然后返回该值 .text:7C9333DF __stdcall RtlEncodePointer(x) .text:7C9333DF public _RtlEncodePointer@4 .text:7C9333DF _RtlEncodePointer@4 proc near ; CODE XREF: RtlDecodePointer(x)+6↓j .text:7C
用户态轻松调用ntdll中的native api
08-06 6284
ntdll中的native api功能非常强大,然而微软却没有提供用户态调用native api的接口,而这些native api所需要的数据结构微软也基本没有公布,幸好有了一批牛人的贡献,给出了很多native api的定义,让我们的生活免去了许多痛苦,本文在介绍了最基本的native api的调用方式之外,还介绍了一种更加优美,移植性更强的调用方式 调用方式一(一般方式):第一步:
ntdll函数的完整说明(包括Undocumented and Documented)- 应求
温研的专栏 (探索OS内核的奥秘)
09-30 4335
    通过ntdll导出的Native API可在用户态实现一些原本只能在内核才能实现的功能,但是这些函数及其使用的数据结构有很大一部分是Undocumented的(Documented的可在DDK中查到相关信息)。下面的链接提供了一个.chm文件,其中详细描述了这些Undocumented的Native API和相关数据结构。  点击下载
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值