Small_Boy 发表于 2015-1-21 22:18:42

原生API:


原生API是用于和Windows 进行交互的底层API

一个函数从调用到执行流程:
User Application ==》Kernel32.dll==》Ntdll.dll==》||Ntosknl.exe==》Kernel Data Structure
            用户层                                          内核层
Ntdll.dll正是用户层和内核层之间的桥梁,用户层必须通过ntdll.dll才能调用内核层的相关函数

原生API的功能相对一般的API比较开放,可以允许达到一般的API无法达到的功能
所以原生API很直接

如果一般的杀毒软件只是设置对Kernel32.dll等单个调用进行监测的话,也能很有效的躲过杀毒软件监测

除了Ntdll.dll原生API,经常还调用到NtContinue,这是被用于从一个异常处理返回的函数,这个函数里面
装有返回上一个被中断的现场出的地址,这个地址可以编辑。恶意代码可以触发异常然后在调用NtContinue
函数改变返回值,使其返回目标执行地址。

敉沧 发表于 2015-1-31 20:01:40

感谢分享。
楼主打错了一个单词~~ntosknl.exe 应为 ntoskrnl.exe

Small_Boy 发表于 2015-2-8 18:04:36

楼主粗心大意,不好意思哈!
页: [1]
查看完整版本: 原生API: