NTDLL

最新推荐文章于 2024-07-04 10:45:39 发布
最新推荐文章于 2024-07-04 10:45:39 发布
阅读量1.9k 收藏
点赞数

ntdll.dll是最基本的Dll,不但其他Dll的动态链接要由这个Dll完成,连系统调用也需要通过这个Dll进入内核。Windows内核在初始化阶段首次需要装入这个Dll的时候为其创建了一个文件映射区对象,并使用一个全局指针PspSystemDllSection指向该对象的数据结构。

 

 

 

 

 

 

nt!PspSystemDll

 

kd> dd nt!PspSystemDll
809d3378  e12f4b00 7c930000 7c952556 00000000
809d3388  fbd3e280 ffffffff 00000001 809c104c
809d3398  00000064 00000001 00000000 00000000
809d33a8  00000000 00000000 00000000 00000000
809d33b8  00000000 00001388 00000006 00000005
809d33c8  809d33c8 809d33c8 00000014 00000001
809d33d8  000f8cc0 00000000 00000000 0000066c
809d33e8  23030200 00000001 00000000 00000000

 

kd> dt _section e12f4b00
nt!_SECTION
   +0x000 Address          : _MMADDRESS_NODE
   +0x014 Segment          : 0xe132f440 _SEGMENT
   +0x018 SizeOfSection    : _LARGE_INTEGER 0xd0000
   +0x020 u                : __unnamed
   +0x024 InitialPageProtection : 0x10

 

kd> dt  _SEGMENT  0xe132f440
nt!_SEGMENT
   +0x000 ControlArea      : 0x81f972f8 _CONTROL_AREA
   +0x004 TotalNumberOfPtes : 0xd0
   +0x008 NonExtendedPtes  : 0xd0
   +0x00c Spare0           : 0
   +0x010 SizeOfSegment    : 0xd0000
   +0x018 SegmentPteTemplate : _MMPTE
   +0x01c NumberOfCommittedPages : 0
   +0x020 ExtendInfo       : (null)
   +0x024 SegmentFlags     : _SEGMENT_FLAGS
   +0x028 BasedAddress     : 0x7c930000
   +0x02c u1               : __unnamed
   +0x030 u2               : __unnamed
   +0x034 PrototypePte     : 0xe132f478 _MMPTE
   +0x038 ThePtes          : [1] _MMPTE

 

kd> dd 0xe132f440+38  //ThePtes
e132f478  1f63d121 1f63f121 1f800121 1f601121
e132f488  1f842121 1f603121 1f844121 1f645121
e132f498  1f886121 1f647121 1f888121 1f649121
e132f4a8  1f88a121 1f64b121 1f88c121 1f64d121
e132f4b8  1f88e121 1f64f121 1f890121 1f651121
e132f4c8  1f892121 1f653121 1f854121 1f655121
e132f4d8  1f896121 1f617121 1f8d8121 1f659121
e132f4e8  1f95a121 1f65b121 1f8dc121 1f65d121 

 

kd> !dc 1f63d000
#1f63d000 00905a4d 00000003 00000004 0000ffff MZ..............
#1f63d010 000000b8 00000000 00000040 00000000 ........@.......
#1f63d020 00000000 00000000 00000000 00000000 ................
#1f63d030 00000000 00000000 00000000 000000d0 ................
#1f63d040 0eba1f0e cd09b400 4c01b821 685421cd ........!..L.!Th
#1f63d050 70207369 72676f72 63206d61 6f6e6e61 is program canno
#1f63d060 65622074 6e757220 206e6920 20534f44 t be run in DOS
#1f63d070 65646f6d 0a0d0d2e 00000024 00000000 mode....$.......

正好对应NTDLL文件的头0-400位置的内容

 

 


kd> !dc 1f63f000  //对应0X400-0X1399位置的内容
#1f63f000 8d1075ff e850f045 0002f23b 8c0fc085 .u..E.P.;.......
#1f63f010 00044a98 f045b70f e9f84589 00008a87 .J....E..E......
#1f63f020 8310758b 3c8d02c1 c1c18b18 a5f302e9 .u.....<........
#1f63f030 e183c88b e9a4f303 00008b2b ff50b5ff ........+.....P.
#1f63f040 3d89ffff 7c9b9f68 9b9f7068 15b9e87c ...=h..|hp..|...
#1f63f050 83660002 9b9f7005 9ce9fe7c 0f0000e1 ..f..p..|.......
#1f63f060 b70ffeb6 da8b783c 8304ebc1 fb030fe3 ....<x..........
#1f63f070 783cb70f e383da8b 66fb030f 66783c8b ..<x.......f.<xf
kd> !dc 1f800121
#1f800120 850fc085 00081dd5 5f40c033 c2c95b5e ........3.@_^[..
#1f800130 c0330010 c88fe940 90900000 8b909090 ..3.@...........
#1f800140 ec8b55ff 0244ec81 28a10000 537c9b9d .U....D....(..|S
#1f800150 56085d8b 5710758b f73bff33 89fc4589 .].V.u.W3.;..E..
#1f800160 fffdf0b5 390974ff 850f147d 0007b8dc .....t.9}.......
#1f800170 82b9c033 8d000000 fffdf4bd 68abf3ff 3..............h
#1f800180 00000104 fdf4858d e850ffff 00001721 ..........P.!...
#1f800190 c73bff33 b973840f f8830007 74820f02 3.;...s........t
kd> !dc 1f800000
#1f800000 b3e8e900 7d830000 850f03e0 0000b58c .......}........
#1f800010 0000b768 b58de900 90900000 8b909090 h...............
#1f800020 ec8b55ff 8b4cec83 33530845 66c33bdb .U....L.E.S3.;.f
#1f800030 5cfc45c7 5d896600 ef840ffe 5300081d .E.\.f.].......S
#1f800040 f44d8d53 cee85051 840002ee e3840fc0 S.M.QP..........
#1f800050 5600081d 57f8758b 685f186a 00800021 ...V.u.Wj._h!...
#1f800060 89f4458d 036adc45 50ec458d 50d4458d .E..E.j..E.P.E.P
#1f800070 10000168 08458d00 d47d8950 c7d85d89 h.....E.P.}..]..

 

kd> dt  _CONTROL_AREA 0x81f972f8
nt!_CONTROL_AREA
   +0x000 Segment          : 0xe132f440 _SEGMENT
   +0x004 DereferenceList  : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x00c NumberOfSectionReferences : 1
   +0x010 NumberOfPfnReferences : 0xce
   +0x014 NumberOfMappedViews : 0x15
   +0x018 NumberOfSystemCacheViews : 0
   +0x01c NumberOfUserReferences : 0x16
   +0x020 u                : __unnamed
   +0x024 FilePointer      : 0x81f50bc8 _FILE_OBJECT
   +0x028 WaitingForDeletion : (null)
   +0x02c ModifiedWriteCount : 0
   +0x02e FlushInProgressCount : 0
   +0x030 WritableUserReferences : 0
   +0x034 QuadwordPad      : 0

 

kd> dt  _FILE_OBJECT  0x81f50bc8
nt!_FILE_OBJECT
   +0x000 Type             : 5
   +0x002 Size             : 0x70
   +0x004 DeviceObject     : 0x81faf030 _DEVICE_OBJECT
   +0x008 Vpb              : 0x81fa4da0 _VPB
   +0x00c FsContext        : 0xe12ed8e8
   +0x010 FsContext2       : 0xe12eda30
   +0x014 SectionObjectPointer : 0x81f0d2c4 _SECTION_OBJECT_POINTERS
   +0x018 PrivateCacheMap  : (null)
   +0x01c FinalStatus      : 0
   +0x020 RelatedFileObject : (null)
   +0x024 LockOperation    : 0 ''
   +0x025 DeletePending    : 0 ''
   +0x026 ReadAccess       : 0x1 ''
   +0x027 WriteAccess      : 0 ''
   +0x028 DeleteAccess     : 0 ''
   +0x029 SharedRead       : 0x1 ''
   +0x02a SharedWrite      : 0 ''
   +0x02b SharedDelete     : 0 ''
   +0x02c Flags            : 0x44040
   +0x030 FileName         : _UNICODE_STRING "\WINDOWS\system32\ntdll.dll"
   +0x038 CurrentByteOffset : _LARGE_INTEGER 0x0
   +0x040 Waiters          : 0
   +0x044 Busy             : 0
   +0x048 LastLock         : (null)
   +0x04c Lock             : _KEVENT
   +0x05c Event            : _KEVENT
   +0x06c CompletionContext : (null)

 

 

 

whowho
关注
ntdll.dll
02-23
是一个dll文件,ntdll.dllNT操作系统重要的模块。在一些程序中也是必不可少啊!
ntdll的头文件和库文件,包含32位和64位
02-18
ntdll的头文件和库文件,包含32位和64位,头文件是全的,亲测可用
深入理解ntdll.dll:Windows核心组件及其故障修复指南
最新发布
Nebula_042的博客
07-04 870
当遇到ntdll.dll故障时,这可能表明操作系统内部出现了严重问题,因为这个文件是Windows系统正常运行的基础。ntdll.dll是Windows操作系统中的一个核心动态链接库(Dynamic Link Library,DLL)文件,它在系统运行中扮演着极其重要的角色。ntdll.dll提供了大量用于执行系统级操作的函数,例如内存管理、文件操作、进程和线程的创建及管理。内存问题或硬件故障也可能导致ntdll.dll故障。不成功的系统更新可能破坏ntdll.dll文件。它负责处理系统级别的异常和错误。
ntdll
huanongying131的博客
10-30 614
http://undocumented.ntinternals.net/index.html?page=UserMode%2FStructures%2FTHREAD_BASIC_INFORMATION.html
NTDLL 库文件和头文件
09-10
NTDLL 库文件和头文件 SDK平台的源文件和lib,大家肯定需要的!呵呵!
解决VS2019 ntdll.dll下载符号失败的问题
09-28
### 解决VS2019 ntdll.dll下载符号失败的问题 在开发过程中,使用Visual Studio 2019(简称VS2019)进行UWP应用开发时,可能会遇到一个常见问题——ntdll.dll下载符号失败。这一问题不仅会打断开发流程,还会严重...
Call_Ntdll_API.rar如何才能调用Native API即ntdll.dll
08-06
ntdll.dll是这些Native API的核心组件,它为Windows系统提供了一个与硬件无关的接口,允许应用程序和系统服务直接交互。本篇文章将详细讲解如何在VC++环境中调用ntdll.dll中的Native API。 首先,我们需要理解VC++...
ntdll.lib x64/x86
07-08
ntdll.lib是一个重要的系统库文件,它在Windows操作系统中扮演着至关重要的角色。这个库文件主要为内核模式驱动程序和系统服务提供接口,使得它们能够与NT内核进行交互。这里的"ntdll"是“NT Dynamic Link Library”...
20201130__NTDLL.DLL.v1.zip
12-01
《深入解析NTDLL.DLL与Windows XP/2003 Server操作系统源代码》 NTDLL.DLL,全称是NT Dynamic Link Library,是Windows NT内核系列操作系统中的一个核心动态链接库,它提供了Windows NT内核与应用程序之间的接口。...
windows-ntdll-api-library:轻松使用windows ntdll api,
06-06
windows-ntdll-api-library 我们可以轻松使用ntdll api(包括导出的api和未导出的api)。 只需将库链接到您的项目。 会持续更新。 如何使用 包含 all.h 文件。 包括 /ntdlllib 所有.h 将库路径(lib/win32 或 ...
ntdll.lib和ntdll.h文件压缩包
04-11
ntdll.lib和ntdll.h文件压缩包,免积分下载
ntdll 32/64 .lib文件及.h文件
09-26
编译caffe动态库可能会报出error LNK2019: 无法解析的外部符号 NtClose,该符号在函数 mdb_env_map 中被引用 等一类错误,需要添加此库文件。
ntdll.dll故障
a874045的博客
04-17 1万+
计算机安装了QTP软件和VMware Workstation Pro之后,打开eclipse发现ntdll.dll出现故障了,经过百度, 我做了以下的操作: 第一:首先把新安装的软件全部卸载干净,然后重新打开eclipse,发现问题仍然存在。 第二:我以管理员身份进入DOS系统,输入 sfc/scannow,这个过程有点慢,需要耐心等待。 第三:扫描完成后,我输入了 for %...
错误模块路径:c:\Windows\system32\ntdll.dll
热门推荐
上善若水 的专栏
02-21 5万+
重新注册Window动态库就可以了。 运行中输入cmd,在命令提示符下输入:for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1 注意,是在命令提示符下,不是在“运行框”中!!
电脑提示ntdll.dll缺失怎么办?修复ntdll.dll文件
s__777的博客
01-10 1331
电脑提示ntdll.dll缺失,如果你不去处理的话,那么你的程序游戏什么都是启动不了的,有什么方法可以解决。今天给大家几种解决方法修复ntdll.dll文件。
启动应用程序出现ntdll.dll找不到问题解决
wbcmbfy的博客
02-23 1286
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个mfc70.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现mfc70.dll丢失要怎么解决?
ntdll.dll报错的解决方法分享指南,修复ntdll.dll文件
aizhiniao6的博客
01-19 4146
有时在工作或游戏过程中,电脑可能会突然弹出一个错误提示,告知你 ntdll.dll文件出错或找不到了。这种情况虽然很让人无奈,但其实解决起来通常并不复杂。接下来,我可以向你介绍如何应对和解决ntdll.dll报错的问题。
ntdll.dll报错
06-09
ntdll.dll是Windows操作系统的重要组件之一,如果出现ntdll.dll报错,可能是由于以下几个原因导致的: 1. 磁盘错误:磁盘出现硬件故障或软件错误时,可能损坏ntdll.dll文件。 2. 病毒感染:计算机感染病毒或恶意软件时,可能会破坏系统文件,包括ntdll.dll。 3. 应用程序冲突:某些应用程序可能会冲突,导致ntdll.dll文件被破坏或删除。 4. 操作系统损坏:操作系统出现错误或损坏时,可能会影响ntdll.dll文件。 要解决ntdll.dll报错问题,可以尝试以下方法: 1. 运行系统文件检查器:在命令提示符下输入sfc /scannow命令,可以检查和修复系统文件。 2. 扫描病毒:使用杀毒软件扫描计算机,清除病毒和恶意软件。 3. 卸载冲突应用程序:如果出现应用程序冲突,可以尝试卸载或更新该应用程序。 4. 修复操作系统:如果操作系统损坏,可以尝试使用系统还原或重新安装操作系统。 如果以上方法都不能解决问题,建议联系专业技术人员进行诊断和修复。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值