ntdll.dll

驱动拦截NT的API实现隐藏木马客户端

NT下有一个文件NTDLL.DLL,大部分NTAPI都是在这个库中封装的。其中实现查找文件和目录的API接口是ZwQueryDirectoryF
junwong·2012-03-09 16:00

可重用驱动代码片段

以前没有搞过,昨天下午一直搞不好,昨晚看了看NativeAPI参考,在Ring3下只用DDK数据类型并引入NTDLL.DLL写了个例程,编译调试运行通过,拿到驱动程序里编译也可以。
晨曦之光·2012-03-09 14:00

SYSENTER系统服务调用过程

一.NtDll.Dll中,NtReadFile过程如下:ntdll!
nailgo·2012-03-08 21:03

新汇编指令sysenter 和sysexit

做过NativeAPI编程的话应该就知道,即使是看起来像内核的NTDLL.dll也只不过是Ring3级的,最终的系统调用是由ntoskrnl.exe程序向内核发送IO请求,然后内核与驱动程序返回执行结果
nailgo·2012-03-08 21:42

强制卸载目标进程模块

哈哈,又有了种结束进程的方式,卸载目标进程的ntdll.dll
qq752923276·2012-03-08 18:00

temu zhi 2a文件分析

      2a文件,为一个病毒样本,采用temu动态执行后,获得其执行路径,然后在vine下,提取出受污点影响的模块有三个:shlwapi.dll、kernel32.dll、ntdll.dll
upkevin·2012-03-08 09:23

native app开发小结

,大概可以分为三层:应用层程序,即普通的APP程序;Native App程序,如常见的chkdsk工具,PQ分区工具等,都属于这类,它是在win子系统未启动起来就执行的程序,执行环境比较纯净,只能调用ntdll.dll
yatere·2012-02-04 19:00

MSDN未公开函数文档

函数自kernel32.dll,ntdll.dll,shell32.dll,user32.dll和shlwapi.dll。
wordman·2011-12-27 21:36

修改进程权限(转载)

函数RtlAdjustPrivliege封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。
whatday·2011-12-08 10:00

修改进程权限(转载)

函数RtlAdjustPrivliege封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。
飘雪超人·2011-12-08 10:00

vc 6.0 堆栈错误一例

Warning:Shrinkingsafetypoolfrom512to512tosatisfyrequestof16bytes.First-chanceexceptioninFEDCP.exe(NTDLL.DLL
bennyfun79·2011-12-07 11:00

RING3下蓝屏的方法

RING3下蓝屏的方法一、RtlSetProcessIsCriticalVB代码如下:OptionExplicitPublicDeclareFunctionRtlAdjustPrivilegeLib"ntdll.dll
张志松·2011-11-14 18:00

如何获取父进程的ID

如何获取父进程的ID(hangwire发表于2001-12-2617:00:47)从所周知,在WindowsNT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数
冷风·2011-10-23 20:25

如何获取父进程的ID

如何获取父进程的ID(hangwire发表于2001-12-2617:00:47)  从所周知,在WindowsNT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API
chinafe·2011-10-23 20:00

<寒江独钓>Windows内核安全编程__传统键盘过滤程序

同名的函数有两个:一个在内核中(ntknos.exe),一个在应用层(ntdll.dll)。在应用程序中调用CreateFile就可以引发对这个函数的调用。
aksnzhy·2011-10-13 12:00

题目

  foxmark.lib包含的文件:ntdll.dll是NT操作系统重要的模块。ntdll.dll是NT操作系统重要的模块。
jingxuewang110·2011-09-28 17:00

菜鸟之驱动开发3

操作SSDT表,我们会用到ntdll.dll中导出的KeServiceDescriptorTable这个结构体。首先声明KeSe
favormm·2011-08-16 20:00

Win7 CreateRemoteThread 另类使用方法

同样的代码,在XP下面随便你怎么整,WIN7的话是相当纠结的,具体哪些错误就不解释了~~ gg点了二十多页,在韩国某大牛的博客上总算找到一点思路(虽然看不懂韩文,但代码还算勉强看得懂吧) 原来是要用动态调用ntdll.dll
wangningyu·2011-05-31 13:00

暴力关机

functionRtlAdjustPrivilege(Privilege:ULONG;Enable:BOOLEAN;CurrentThread:BOOLEAN;Enabled:PBOOLEAN):DWORD;stdcall;external'ntdll.dll
haiou327·2011-05-30 12:00

获取Windows进程的父进程编号

本文通过NTDLL.dll中未公开APINtQueryInformationProcess来获取进程的相关信息,其中就包含了进程的父进程编号。
Matrix_Designer·2011-05-16 16:00

一句代码提升进程权限

一句代码提升进程权限RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE,1,0,NULL);这个函数封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在
saiksy·2011-05-08 17:00

NtQueryInformationProcess用法

     从所周知,在WindowsNT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。
yiyefangzhou24·2011-03-12 08:00

关于NTDLL.DLL 异常错误问题

通过后台异常统计,发现挺多用户在打开软件时就自动崩溃,直接关掉了,调试下错误地址指向NTDLL.DLL加载错误,汗需要去网络上下个NTDLL.DLL的库来替换,就不会出问题了,具体的原因是什么?
lin_angle·2011-02-11 12:00

转:native api的学习笔记

我比较喜欢这样理解:nativeAPI可以译做“原生API”比如您的应用程序调用Win32API如ReadFile,此时ReadFile会在底层调用ntdll.dll中导出的NtReadFile,读取文件的实际工作就转交给了
leitianjun·2010-12-21 16:00

VC6遇到 Loaded 'ntdll.dll', no matching symbolic information f...

VC6遇到Loaded'ntdll.dll',nomatchingsymbolicinformationf...Loaded'ntdll.dll',nomatchingsymbolicinformationfound.Loaded'C
xufenghfut·2010-11-07 15:00

Windows中系统调用的流程

Windows中系统调用的流程潘爱民,2010.9.24在《Windows内核原理与实现》一书,我曾经详细地解析了Windows应用程序发出的系统调用,经过ntdll.dll中的stub函数,再通过sysenter
songqingxi·2010-09-29 15:00

一句代码提升进程权限

RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE,1,0,NULL); 这个函数封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息
pengranxiang·2010-09-25 12:00

Windows中系统调用的流程

Windows中系统调用的流程潘爱民,2010.9.24在《Windows内核原理与实现》一书,我曾经详细地解析了Windows应用程序发出的系统调用,经过ntdll.dll中的stub函数,再通过sysenter
panaimin·2010-09-24 15:00

Windows中系统调用的流程

Windows中系统调用的流程潘爱民,2010.9.24在《Windows内核原理与实现》一书,我曾经详细地解析了Windows应用程序发出的系统调用,经过ntdll.dll中的stub函数,再通过sysenter
panaimin·2010-09-24 15:00

快速关机

该函数由 ntdll.dll 输出,其原型如下:NTSYSAPINTSTATUSNTAPINt
tody_guo·2010-08-03 12:00

Win32多线程编程(1) — 基础概念篇

例如我们调用Kernel32.dll中的CreateFile创建文件,最终将执行ntdll.dll中的系统服务NtCreateFile。内核为我们创建的文件对象以内核级数据结构FILE_OBJEC
phunxm·2010-07-25 19:00

Win32多线程编程(1) — 基础概念篇

例如我们调用Kernel32.dll中的CreateFile创建文件,最终将执行ntdll.dll中的系统服务NtCreateFile。 内核为我们创建的文件对象以内核级数据结构FI
sabolasi·2010-07-25 19:00

用ZwQueryVirtualMemory枚举进程模块

CreateToolhelp32Snapshot,Module32First,Module32Next等"ToolHelpFunctions"接口来实现,并且这也是最通用的方法(从Win95就开始支持了),但是今天我们要介绍的是ntdll.dll
aurain·2010-07-05 16:00

PEB获取GetProcAddrees函数地址

寄存器指向TEB结构2.在TEB+0x30地方指向PEB结构3.在PEB+0x0C地方指向PEB_LDR_DATA结构4.在PEB_LDR_DATA+0x1C地方就是一些动态连接库地址了,如第一个指向ntdll.dll
lwglucky·2010-06-25 09:56

PEB获取GetProcAddrees函数地址

寄存器指向TEB结构2.在TEB+0x30地方指向PEB结构3.在PEB+0x0C地方指向PEB_LDR_DATA结构4.在PEB_LDR_DATA+0x1C地方就是一些动态连接库地址了,如第一个指向ntdll.dll
lwglucky·2010-06-25 09:56

完美工具:Dll Explorer

例如:在图1中,firefox.exe还使用了ntdll.dll,kernel32.dll等图1DllExplorer实例展示 请用浏览器鼠标右键,将目标另存为DllExplore.r
hello_wyq·2010-06-24 21:00

获取CPU使用率

1、2k以后的操作系统可使用 ntdll.dll中的隐式函数 Windows NT/2000中获取CPU使用率的方法与Windows 9x系统中所使用的方法不同,Windows NT/2000中获取CPU
·2010-06-23 18:00

Windbg加载symbol过慢

Windbg越来越慢了,随便attach到一个.net进程后,Windbg都会花上3到5分钟来加载symbol,比如ntdll.dll,mscoreei.dll等,而且期间cpu(双核)的使用率维持在50%
Sento·2010-06-02 23:00

windbg c++ sample

函数通常将异常传递达Ntdll.dll文件这将捕捉并试图处理它。 在该进程的内存快照存在某些情况下,您可以看到到一个线程持有锁点的线程调用的 UnhandledExceptionFilter 函数。
realduke2000·2010-05-19 00:00

提权

includeconstunsignedintSE_SHUTDOWN_PRIVILEGE=0x13;1#defineSE_DEBUG_PRIVILEGE0x14//DEBUG权限intmain(){   HMODULEhDll=::LoadLibrary(L"ntdll.dll
ljz888666555·2010-04-08 10:00

逆向分析NtDLL.dll!RtlUnwind函数

引言:RtlUnwind是Kernel32.dll!_except_handler3中的全局展开函数。7C957A40;int__stdcallRtlUnwind(PVOIDTargetFrame,PVOIDTargetIp,7C957A40PEXCEPTION_RECORDExceptionRecord,PVOIDReturnValue)7C957A407C957A40varExceptionR
yuzl32·2010-03-22 22:00

Windows APC机制zzz

WindowsAPC机制zzz前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为
小默·2010-03-18 15:00

关于在WIN32调用一些Zw系列的文件操作函数

/archive/2007/10/27/1848037.aspx 都好久沒上來写文章了,都不知道做什么好,結果还是学写了一下用NativeAPI的程序,這些API的原型当然久在DDK里面找啦,不过因为NTDLL.DLL
wangningyu·2010-01-23 22:00

WINDOWS核心系统文件

ntoskrnl.exe 执行体和内核 2、ntkrnlpa.exe(仅用盱32位系统) 执行体和内核 3、hal.dll 硬件抽象层 4、win32k.sys WINDOWS子系统的内核模式部分 5、ntdll.dll
deepfuture·2009-12-22 11:00

WINDOWS核心系统文件

ntoskrnl.exe 执行体和内核 2、ntkrnlpa.exe(仅用盱32位系统) 执行体和内核 3、hal.dll 硬件抽象层 4、win32k.sys WINDOWS子系统的内核模式部分 5、ntdll.dll
deepfuture·2009-12-22 11:00

【原创】vegas提示NTDLL.DLL出错的解决办法

ntdll.dll是什么?ntdll.dll出错怎么办?ntdll.dll位置在哪?ntdll.dll下载之后放在哪里?请看本文详解。
shuzilang·2009-12-15 10:00

在内核调试会话中设置用户态断点

我们就以向NTDLL.dll模块的ZwTerminateProcess函数(Stub)为例谈谈二者的区别。区别一、在内核调试会话中设置这个断点的“难度”略大些。
S.l.e!ep.¢%·2009-11-02 17:00

HOOK SSDT Hide Process (六)

/99375.html在HOOKSSDTHideProcess(五)  R3已经知道ZwQuerySystemInformation函数用来enum进程那么现在看下R0的HOOK函数实现先从致是调用回ntdll.dll
S.l.e!ep.¢%·2009-10-26 19:00

Zw*与Nt*的区别

Zw*与Nt*的区别2007-08-1909:56某些Zw*和Nt*函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢?
S.l.e!ep.¢%·2009-10-25 17:00

w3wp.exe报错

IIS就不能用了    错误1:  错误应用程序 w3wp.exe,版本 6.0.3790.1830,错误模块 ntdll.dll,版本 5.2.3790.1830,错误地址 0x000327f9。    
forever1209·2009-09-16 13:33
上一页 1 2 3 4 5 6 7 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他