个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
34
4
我最近在研究私有(private) API。我尝试在运行时使用 LoadLibrary 和 GetProcAddress 调用 ntdll.dll 中的 NtOpenFile 等函数。幸运的是,它成功了。今天早上我在我的计算机上执行了文件搜索,并在我的 C 盘中找到了 ntdll.lib。据我所知,这样的 .lib 文件应该包含可用于链接的 dll 导出 stub 。因此,我尝试将我的应用程序链接到该库,但我不断收到 unresolved external symbol 错误。但是,dumpbin/EXPORTS 显示 ntdll.lib 显然导出了 NtOpenFile。我该如何解决这个错误?
最佳答案
不再是这种情况,你可以找到 ntdll.lib 导入库和 NT header ,因为我在 2019 年写了这篇文章。
用 GetProcAddress() 方法需要很多额外的代码。当然,直接导入更简洁,并且是我们用于 C/C++ 桌面应用程序的模式。
我过去常常通过使用 .def 文件等创建一个简单的 Windows DLL 项目来制作我自己的“ntdll.lib”导入库。一次添加每个 ntdll API 函数,因为我需要它们作为 stub 和用于头文件。丢弃 .dll,仅使用其中的 .lib。
但至少从 MSVC 2017 开始,它包括用户模式(用于桌面应用程序)ntdll.lib 库,用于 32 位和 64 位版本的 x86 和 ARM。这可能需要安装 Windows 10 WDK。只需在“C:\Program Files (x86)”中搜索“ntdll.lib”,您就会找到它们。
然后在标题前面,很多 ntdll 原型(prototype)和定义都在“winternl.h”中,但不幸的是很多部分都丢失了和/或只有结构的简化版本等。要解决这个问题,您可以使用“Process Hacker”项目中出色的 NT header 集: https://github.com/processhacker/processhacker header 在“phnt”中。
您将使用:
而不是典型的“windows.h”和“winternl.h”组合#include <phnt_windows.h>
#include <phnt.h>
然后将特定的 Windows 10 作为目标(默认为 Windows 7),您将遵循:
#undef PHNT_VERSION
#define PHNT_VERSION PHNT_THRESHOLD
请注意“phnt_windows.h”已经为您包含了“windows.h”。因此,您应该能够在任何其他 Windows、stdlib、STL 等之后跟随它;与典型的桌面构建环境没有太大区别。
或其他一些使用:
https://github.com/Fyyre/ntdll
还包括库:
https://github.com/x64dbg/ScyllaHide/tree/master/3rdparty/ntdll
还有一个也有 ntdll 库:
https://github.com/odzhan/injection/tree/master/ntlib
关于c - 链接到 ntdll.lib 并调用 ntdll.dll 中的函数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35509388/
34
4
0
C语言sscanf()函数:从字符串中读取指定格式的数据 头文件: ?
最近,我有一个关于工作预评估的问题,即使查询了每个功能的工作原理,我也不知道如何解决。这是一个伪代码。 下面是一个名为foo()的函数,该函数将被传递一个值并返回一个值。如果将以下值传递给foo函数,
CStr 函数 返回表达式,该表达式已被转换为 String 子类型的 Variant。 CStr(expression) expression 参数是任意有效的表达式。 说明 通常,可以
CSng 函数 返回表达式,该表达式已被转换为 Single 子类型的 Variant。 CSng(expression) expression 参数是任意有效的表达式。 说明 通常,可
CreateObject 函数 创建并返回对 Automation 对象的引用。 CreateObject(servername.typename [, location]) 参数 serv
Cos 函数 返回某个角的余弦值。 Cos(number) number 参数可以是任何将某个角表示为弧度的有效数值表达式。 说明 Cos 函数取某个角并返回直角三角形两边的比值。此比值是
CLng 函数 返回表达式,此表达式已被转换为 Long 子类型的 Variant。 CLng(expression) expression 参数是任意有效的表达式。 说明 通常,您可以使
CInt 函数 返回表达式,此表达式已被转换为 Integer 子类型的 Variant。 CInt(expression) expression 参数是任意有效的表达式。 说明 通常,可
Chr 函数 返回与指定的 ANSI 字符代码相对应的字符。 Chr(charcode) charcode 参数是可以标识字符的数字。 说明 从 0 到 31 的数字表示标准的不可打印的
CDbl 函数 返回表达式,此表达式已被转换为 Double 子类型的 Variant。 CDbl(expression) expression 参数是任意有效的表达式。 说明 通常,您可
CDate 函数 返回表达式,此表达式已被转换为 Date 子类型的 Variant。 CDate(date) date 参数是任意有效的日期表达式。 说明 IsDate 函数用于判断 d
CCur 函数 返回表达式,此表达式已被转换为 Currency 子类型的 Variant。 CCur(expression) expression 参数是任意有效的表达式。 说明 通常,
CByte 函数 返回表达式,此表达式已被转换为 Byte 子类型的 Variant。 CByte(expression) expression 参数是任意有效的表达式。 说明 通常,可以
CBool 函数 返回表达式,此表达式已转换为 Boolean 子类型的 Variant。 CBool(expression) expression 是任意有效的表达式。 说明 如果 ex
Atn 函数 返回数值的反正切值。 Atn(number) number 参数可以是任意有效的数值表达式。 说明 Atn 函数计算直角三角形两个边的比值 (number) 并返回对应角的弧
Asc 函数 返回与字符串的第一个字母对应的 ANSI 字符代码。 Asc(string) string 参数是任意有效的字符串表达式。如果 string 参数未包含字符,则将发生运行时错误。
Array 函数 返回包含数组的 Variant。 Array(arglist) arglist 参数是赋给包含在 Variant 中的数组元素的值的列表(用逗号分隔)。如果没有指定此参数,则
Abs 函数 返回数字的绝对值。 Abs(number) number 参数可以是任意有效的数值表达式。如果 number 包含 Null,则返回 Null;如果是未初始化变量,则返回 0。
FormatPercent 函数 返回表达式,此表达式已被格式化为尾随有 % 符号的百分比(乘以 100 )。 FormatPercent(expression[,NumDigitsAfterD
FormatNumber 函数 返回表达式,此表达式已被格式化为数值。 FormatNumber( expression [,NumDigitsAfterDecimal [,Inc
我是一名优秀的程序员,十分优秀!