在Win32环境,C ++中从ntdll.dll调用Nt函数

时间:2012-04-09 15:26:02

标签: c++ winapi native function-call ntdll

我想从ntdll.dll调用一些Nt函数,我就是这样做的。

对于调用:NtTestAlert(),您需要典型的ntcall内核例程,可通过int 2Eh访问。 (从这里我得到了Nt函数http://undocumented.ntinternals.net/

代码也未完成,我得到了:

*错误C2664:' _ ntcall' :无法从' int'转换参数1到' MESS( _stdcall )'

#include <iostream>
#include <windows.h>
#include <Ntsecapi.h>

using namespace std;

typedef int(__stdcall MESS)(unsigned int);

void __ntcall(MESS *msg)
{
    __asm
    {
        int 2Eh;
    }
}

int main(void)
{
    MESS *me = 0;
    int result = 0;

    HINSTANCE__ *hModule= LoadLibrary(L"C:\\Windows\\System32\\ntdll.dll");

    if(hModule != 0)
    {
        me = (MESS*)GetProcAddress(hModule, "NtTestAlert");

        if(me != 0)
        {
            unsigned int type = 1;

            result = (__ntcall((*me)(type)));
        }
        else
        {
            cout << "Error Load function!" << endl;
        }

        FreeLibrary(hModule);
    }
    else
    {
        cout << "Error load Dll!" << endl;
    }

    return 0;
}

1 个答案:

答案 0 :(得分:8)

您只需调用您检索指针的函数即可。 int 2Eh是一个旧的(并且自XP SP2过时)进行系统调用的方法。调用(仅通过正常方法)NTDLL函数,这是在下面发生的事情。你无需关心它。

旁注:你似乎更混淆了一些概念。 NtTestAlert没有参数。

NTSYSAPI NTSTATUS NTAPI NtTestAlert();

因此会转换为(您的MESS类型):

typedef NTSTATUS(__stdcall *TFNNtTestAlert)();

基于你的例子:

#include <iostream>
#include <windows.h>
#include <tchar.h>
#include <Ntsecapi.h>

using namespace std;

typedef NTSTATUS (__stdcall *TFNNtTestAlert)();
// NTSTATUS is LONG, in case that isn't defined in the above headers

int main(void)
{
    HMODULE hModule=GetModuleHandle(TEXT("ntdll.dll"));

    if(hModule != 0)
    {
        TFNNtTestAlert pfnNtTestAlert = (TFNNtTestAlert)GetProcAddress(hModule, "NtTestAlert");

        if(pfnNtTestAlert != 0)
        {
            result = pfnNtTestAlert();
        }
        else
        {
            cout << "Error Load function!" << endl;
            return 1;
        }
    }
    else
    {
        cout << "Error load Dll!" << endl;
        return 2;
    }

    return 0;
}

系统调用机制:

Windows中的syscall机制在某些时候使用int 2Eh(现在是sysenter)来传递用户模式堆栈上的参数,即系统调用的索引,然后调用调度程序。然后,这将线程转换为内核模式,其中检查来自用户模式堆栈的参数,然后继续处理。这是一个非常粗略的轮廓。我建议你阅读Gary Nebbett关于这个主题的书。