ZwQuerySystemInformation调用然后调用GetLastError提示126指定的模块没有被找到是啥问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 2 楼 ZwQuerySystemInformation不会设置LastError的，它的调用状态是在返回值里。 2013-1-7 09:55 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 3 楼大哥有吧不然我咋能获取到 2013-1-8 11:44 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼 Zw不会设置LastError 你获取到的是前面其他API设置的 2013-1-8 12:20 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 5 楼大哥前面获取的都是零表示没有错误 2013-1-8 13:31 0
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 6 楼大哥，Zw/Nt系列函数是系统调用的封装，User Mode部分实现在ntdll.dll里面 ; __stdcall NtQuerySystemInformation(x, x, x, x) public _NtQuerySystemInformation@16 _NtQuerySystemInformation@16 proc near mov eax, 0ADh ; NtQuerySystemInformation ; RtlGetNativeSystemInformation mov edx, 7FFE0300h call dword ptr [edx] retn 10h _NtQuerySystemInformation@16 endp 你看看，哪里来的LastError？你又没调用RtlNtStatusToDosError。它的返回值是NTSTATUS，已经代表了成功和失败的状态信息，没必要再搞个LastError来多此一举。 2013-1-8 17:32 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼 LZ的逻辑很混乱 GetLastError是用户层的API 而ZwQuerySystemInformation是系统功能调用，其返回值代表调用状态还是先理清思路再说，是写驱动？还是写App？驱动里面无法直接调用用户层的GetLastError 并且调用了ntdll.dll里面的ZwQuerySystemInformation之后，也不会立刻设置LastError 所以LZ调用ZwQuerySystemInformation之后再调用GetLastError本身就是一个严重的低级错误 2013-1-8 17:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 2 楼 ZwQuerySystemInformation不会设置LastError的，它的调用状态是在返回值里。 2013-1-7 09:55 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 3 楼大哥有吧不然我咋能获取到 2013-1-8 11:44 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼 Zw不会设置LastError 你获取到的是前面其他API设置的 2013-1-8 12:20 0
smove 雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 90 回帖 279 粉丝 0 关注私信	smove 5 楼大哥前面获取的都是零表示没有错误 2013-1-8 13:31 0
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 6 楼大哥，Zw/Nt系列函数是系统调用的封装，User Mode部分实现在ntdll.dll里面 ; __stdcall NtQuerySystemInformation(x, x, x, x) public _NtQuerySystemInformation@16 _NtQuerySystemInformation@16 proc near mov eax, 0ADh ; NtQuerySystemInformation ; RtlGetNativeSystemInformation mov edx, 7FFE0300h call dword ptr [edx] retn 10h _NtQuerySystemInformation@16 endp 你看看，哪里来的LastError？你又没调用RtlNtStatusToDosError。它的返回值是NTSTATUS，已经代表了成功和失败的状态信息，没必要再搞个LastError来多此一举。 2013-1-8 17:32 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼 LZ的逻辑很混乱 GetLastError是用户层的API 而ZwQuerySystemInformation是系统功能调用，其返回值代表调用状态还是先理清思路再说，是写驱动？还是写App？驱动里面无法直接调用用户层的GetLastError 并且调用了ntdll.dll里面的ZwQuerySystemInformation之后，也不会立刻设置LastError 所以LZ调用ZwQuerySystemInformation之后再调用GetLastError本身就是一个严重的低级错误 2013-1-8 17:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复