设为首页收藏本站
切换到窄版

鱼C论坛

 找回密码
 立即注册
鱼C论坛»论坛 技术交流 Windows程序设计 《Windows内核安全与驱动开发》 原生API:
返回列表 发新帖
查看: 2449|回复: 2

原生API:

[复制链接]
Small_Boy
发表于 2015-1-21 22:18:42 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能^_^

您需要 登录 才可以下载或查看,没有账号?立即注册

x

原生API是用于和Windows 进行交互的底层API

一个函数从调用到执行流程:
User Application ==》Kernel32.dll==》Ntdll.dll==》||Ntosknl.exe==》Kernel Data Structure
            用户层                                            内核层
Ntdll.dll正是用户层和内核层之间的桥梁,用户层必须通过ntdll.dll才能调用内核层的相关函数

原生API的功能相对一般的API比较开放,可以允许达到一般的API无法达到的功能
所以原生API很直接

如果一般的杀毒软件只是设置对Kernel32.dll等单个调用进行监测的话,也能很有效的躲过杀毒软件监测

除了Ntdll.dll原生API,经常还调用到NtContinue,这是被用于从一个异常处理返回的函数,这个函数里面
装有返回上一个被中断的现场出的地址,这个地址可以编辑。恶意代码可以触发异常然后在调用NtContinue
函数改变返回值,使其返回目标执行地址。
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复

使用道具 举报

敉沧
发表于 2015-1-31 20:01:40 | 显示全部楼层
感谢分享。
楼主打错了一个单词~~  ntosknl.exe 应为 ntoskrnl.exe
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

Small_Boy
 楼主| 发表于 2015-2-8 18:04:36 | 显示全部楼层
楼主粗心大意,不好意思哈!
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|鱼C工作室 ( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)

GMT+8, 2024-5-4 03:11

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表