Từ 1 tới 4 trên tổng số 4 kết quả

Đề tài: Hàm native API NT CreateProcess

  1. #1
    Ngày gia nhập
    10 2008
    Nơi ở
    sài gòn
    Bài viết
    422

    Angry Hàm native API NT CreateProcess

    đây là document của hàm NTcreateProcess http://undocumented.ntinternals.net/...teProcess.html

    mình muốn biết cách sử dụng hàm này như thế nào,mình có nghe các bạn nói rằng cái hàm này ta không thể gọi như 1 hàm API thông thường được mà phải đi qua 1 tầng Kelnel nữa,không rõ có đúng không ???

    NtCreateProcess

    NTSYSAPI
    NTSTATUS
    NTAPI

    NtCreateProcess(

    OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, IN HANDLE ParentProcess, IN BOOLEAN InheritObjectTable, IN HANDLE SectionHandle OPTIONAL, IN HANDLE DebugPort OPTIONAL, IN HANDLE ExceptionPort OPTIONAL );






    Requirements:
    Library: ntdll.lib



    See also:
    PsCreateSystemProcess
    NtTerminateProcess
    NtOpenProcess
    Đã được chỉnh sửa lần cuối bởi haian : 26-03-2009 lúc 01:09 PM.

  2. #2
    Ngày gia nhập
    10 2008
    Nơi ở
    sài gòn
    Bài viết
    422

    cho em hỏi thêm là liệu có thể Hook được hàm NtCreateProcess này như bình thường không ( nghĩa là em đã biết hàm này trong thư viện NTdll.dll rồi,chỉ việc hook giống như Hook các hàm API trong user mode có được không

  3. #3
    Ngày gia nhập
    07 2008
    Nơi ở
    /media/Anime
    Bài viết
    2,288

    Có một hàm NtCreateProcess/ZwCreateProcess chạy trong kernel mode, tuy nhiên hàm NtCreateProcess này thì nằm trong ntdll tức là vẫn là nằm trong user mode -> cứ hook nó bình thường thôi.
    Càng yêu mèo thì mèo càng mập. Mèo càng mập ta lại càng yêu.

  4. #4
    Ngày gia nhập
    10 2008
    Nơi ở
    sài gòn
    Bài viết
    422

    Có một hàm NtCreateProcess/ZwCreateProcess chạy trong kernel mode,
    Mình không hiểu rõ câu này cậu nói ý là gì lắm ,có phải ý cậu là 2 hàm NtCreateProcess/ZwCreateProcess đều là hàm native API không,hay là chỉ có hàm ZwCreateProcess là hàm native API thôi

    tuy nhiên hàm NtCreateProcess này thì nằm trong ntdll tức là vẫn là nằm trong user mode -> cứ hook nó bình thường thôi.
    Nếu ta chặn hàm NtCreateProcess có phải là sẽ chặn triệt để được bất kỳ 1 Process nào không,hay đây vẫn không phải là lời gọi cuối cùng trong Kelnel

Các đề tài tương tự

  1. So sánh kiểu dữ liệu trong C Native và VC++ khi lập trình APIs
    Gửi bởi vuongngocnam trong diễn đàn Windows API, Hooking, xử lý Windows Message
    Trả lời: 2
    Bài viết cuối: 16-07-2010, 10:54 AM
  2. ntnative.h tổng hợp tất cả các struct,define của Native API
    Gửi bởi trần trân trong diễn đàn Dự án & Source code VC++
    Trả lời: 0
    Bài viết cuối: 17-06-2010, 11:34 AM
  3. CreateProcess Ẩn Cửa sổ VC++
    Gửi bởi Cpro trong diễn đàn Windows API, Hooking, xử lý Windows Message
    Trả lời: 5
    Bài viết cuối: 19-07-2009, 04:57 PM
  4. CreateProcess Ẩn Cửa sổ VC++
    Gửi bởi Cpro trong diễn đàn Thắc mắc lập trình Visual C++
    Trả lời: 5
    Bài viết cuối: 19-07-2009, 04:57 PM
  5. Phương pháp Hook các hàm native API ???
    Gửi bởi haian trong diễn đàn Windows API, Hooking, xử lý Windows Message
    Trả lời: 1
    Bài viết cuối: 26-03-2009, 08:41 PM

Quyền hạn của bạn

  • Bạn không thể gửi đề tài mới
  • Bạn không thể gửi bài trả lời
  • Bạn không thể gửi các đính kèm
  • Bạn không thể chỉnh sửa bài viết của bạn