[求助]导出内核函数问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

0

[求助]导出内核函数问题

发表于: 2008-4-24 21:24 4850

[求助]导出内核函数问题

Zeaphyr

活跃值

2008-4-24 21:24

4850

我想导出ntdll.dll中的ZwQuerySystemInformation在ring3下用，程序看起来已经成功导出了，但是调用的时候要报错，请高手指点下，导出代码如下：
HMODULE g_hNtDLL = LoadLibrary( _T("ntdll.dll") );
if ( !g_hNtDLL )
{
return FALSE;
}

ZwQSI ZwQuerySystemInformation =
(ZwQSI)GetProcAddress( g_hNtDLL, "ZwQuerySystemInformation");

if( ZwQuerySystemInformation == NULL)
{
return FALSE;
}

调用代码如下：
Status = ZwQuerySystemInformation(SystemHandleInformation, pBuffer, 0, &size);

函数声明如下：
typedef
NTSTATUS
(*ZwQSI)( IN SYSTEM_INFORMATION_CLASS,
   OUT PVOID,
   IN ULONG,
               OUT PULONG );

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・0

免费

支持

分享

最新回复 (3)
YamingW 雪币： 212 活跃值： (985) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 29 粉丝 0 关注私信	YamingW 2 楼 #include <windows.h> #include <stdio.h> #include <stdlib.h> typedef unsigned long NTSTATUS; typedef unsigned short USHORT; typedef unsigned long ULONG; typedef unsigned long DWORD; typedef long LONG; typedef __int64 LONGLONG; typedef struct { USHORT Length; USHORT MaxLen; USHORT Buffer; } UNICODE_STRING; struct process_info { ULONG NextEntryDelta; ULONG ThreadCount; ULONG Reserved1[6]; LARGE_INTEGER CreateTime; LARGE_INTEGER UserTime; LARGE_INTEGER KernelTime; UNICODE_STRING ProcessName; ULONG BasePriority; ULONG ProcessId; }; typedef NTSTATUS (__stdcall NtQuerySystemInformation1)( IN ULONG SysInfoClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG RetLen ); int main() { HINSTANCE hNtDll; NtQuerySystemInformation1 NtQuerySystemInformation; NTSTATUS rc; ULONG ulNeed = 0; void buf = NULL; size_t len = 0; struct process_info p ; int done; hNtDll = LoadLibrary ("NTDLL"); if (!hNtDll) return 0; NtQuerySystemInformation = (NtQuerySystemInformation1)GetProcAddress (hNtDll, "NtQuerySystemInformation"); if (!NtQuerySystemInformation) return 0; do { len += 0x1000; buf = realloc (buf, len); if (!buf) return 0; rc = NtQuerySystemInformation (5, buf, len, &ulNeed); } while (rc == 0xc0000004);// STATUS_INFO_LEN_MISMATCH if (rc <0) { free (buf); return 0; } printf("\nProcessName　　　　 ProcessID"); p = (struct process_info )buf; done = 0; while (!done) { if ((p->ProcessName.Buffer != 0)) { printf("\n%-20S%d",p->ProcessName.Buffer,p->ProcessId); } done = p->NextEntryDelta == 0; p = (struct process_info )(((char *)p) + p->NextEntryDelta); } free (buf); FreeLibrary (hNtDll); return 0; } 2008-4-25 10:33 0
exile 雪币： 2105 活跃值： (594) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 3 楼 Zw要在内核下调用，Nt可直接调用 2008-4-25 10:45 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 4 楼 2楼的代码已经很详细了，主要注意的问题： 1.ZwQuerySystemInformation的第二个参数： IN OUT PVOID 2.ZwQuerySystemInformation第一次调用必定不成功，从返回的size参数中得到所需要的字节数，然后再重新给pBuffer分配内存，再调用才会成功。不知道楼主所指的报错，具体是怎么样的，是报什么样的错。 2008-4-25 21:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

Zeaphyr

发帖

回帖

RANK

他的文章

[求助]导出内核函数问题 4851

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区