用户态轻松调用ntdll中的native api

ntdll中的native api功能非常强大,然而微软却没有提供用户态调用native api的接口,而这些native api所需要的数据结构微软也基本没有公布,幸好有了一批牛人的贡献,给出了很多native api的定义,让我们的生活免去了许多痛苦,本文在介绍了最基本的native api的调用方式之外,还介绍了一种更加优美,移植性更强的调用方式

 

调用方式一(一般方式):

第一步:声明函数指针
             比如我们需要调用NtCreateFile函数,那么我们就需要根据NtCreateFile的定义来声明一个相同类型的函数指针(这样做会让编译器比较高兴)

typedef NTSTATUS ( *  MyNtCreateFile) (
                      OUT PHANDLE             FileHandle,
                      IN ACCESS_MASK          DesiredAccess,
                      IN POBJECT_ATTRIBUTES   ObjectAttributes,
                       // OUT PIO_STATUS_BLOCK    IoStatusBlock,
                      OUT PVOID    IoStatusBlock,
                      IN PLARGE_INTEGER       AllocationSize OPTIONAL,
                      IN ULONG                FileAttributes,
                      IN ULONG                ShareAccess,
                      IN ULONG                CreateDisposition,
                      IN ULONG                CreateOptions,
                      IN PVOID                EaBuffer OPTIONAL,
                      IN ULONG                EaLength 
                     );
    MyNtCreateFile MyNtCreateFileFun;

第二步: 获取native api在natdll中的地址

MyNtCreateFileFun =  (MyNtCreateFile)GetProcAddress (GetModuleHandle( " ntdll.dll " ),  " NtCreateFile " ); 

第三步: 调用native api完成功能

其实这也不算复杂,然而每次在程序移植的时候让我非常的郁闷,每次都要去定义声明函数指针,每次都要在代码中出现获取指定native api地址的代码,又烦又乱,后来终于在<Undocumented Windows 2000 Secrets>中找到了一个更加有可移植性的方法

 

调用方式二(仍然以NtCreateFile来举例):

第一步:添加ntdll.lib到工程中,(在工程设置里面添加或者加上 #pragma comment(lib,"ntdll.lib") ),ntdll.lib在安装了DDK之后就可以找到

第二步:声明指定native api
            我将native api的定义放在了统一的头文件中,以后可以不断的丰富该文件,将来工作量会不断的减小,在使用的时候将该头文件包含进来即可