用户层 --> 内核层？？？讨论50分

我有几个问题不明白，希望大虾伸出援助之手，50分以示谢意。

1.如何在驱动中调用NTDLL.DLL中的 NT开头的函数，例如NtCreateProcess.NtDelayExecution（不讨论驱动中的PsCreateSystemThread函数）。

2.NTDLL.DLL的导出函数和NTOSKRNL.EXE的导出函数有什么不同？


（我在编译的时候加上TARGETLIBS=$(DDK_LIB_PATH)\\ntdll.lib
，然后在头文件中加上原形申明，然后引用此函数。
NTSYSAPI NTSTATUS NTAPI NtCreateProcess(
OUT PHANDLE phProcess,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN HANDLE hParentProcess,
IN BOOLEAN bInheritParentHandles,
IN HANDLE hSection OPTIONAL,
IN HANDLE hDebugPort OPTIONAL,
IN HANDLE hExceptionPort OPTIONAL
);工程在编译的时候一个错误都没有，可是一启动就报什么重入的问题，请问这是怎么回事啊？？？

这只是一个技术讨论问题，请围绕在驱动中调用应用层函数这个主题

说说

[quote]因为有些函数ntdll.dll中有而NTOSKRNL.EXE却没有。

看wowocock老大的ring 0 call ring 3,也许有启发 [/quote]

晕了，这到底是谁的文章，怎么我看到的出处不同呢

就是因为转载往往出处不明，如今写文章都喜欢加个“原创”

wowocock老大
您对在驱动层hook应用层的api（ntdll.dll中关于时间的相关函数）有何高见.

还是采用常规的DLL HOOK的方法比较好,虽然也可以在NT核心下象9X那样在RING0挂接API,不过不保险.....

？？？

wowocock老大
您对在驱动层hook应用层的api（ntdll.dll中关于时间的相关函数）有何高见.

顶，我发现在DriverEntry中出现PAGE_FAULT_IN_NONPAGED_AREA的错误，这是为什么啊？是不是在ring0中不能访问ring3的内存地址啊？

你要确保在同一个CONTEXT下

顶，我发现在DriverEntry中出现PAGE_FAULT_IN_NONPAGED_AREA的错误，这是为什么啊？是不是在ring0中不能访问ring3的内存地址啊？

正在再次接受arthurtu老大空投？？？

是啊
看
http://www.driverdevelop.com/forum/html_91247.html?1114498697

正在再次接受arthurtu老大空投？？？

老大有结果了吗？

正在再次接受arthurtu老大空投

老大有结果了吗？

顶

俺在线等候您的回复

这恐怕累点，偶现在还挂着呢
看看这个
http://www.driverdevelop.com/forum/html_91202.html?1114417235
http://www.driverdevelop.com/forum/html_91012.html?1114417240
http://www.driverdevelop.com/forum/html_90820.html?1114417265

俺在线等候您的回复

代码已发出，请bmyyyud大侠查收，有劳您帮我分析分析，万分感谢

收到

代码已发出，请bmyyyud大侠查收，有劳您帮我分析分析，万分感谢

我一会把我写的程序发给你，你能帮我看看，分析一下存在那些问题好吗。

bmyyyud：
看wowocock老大的ring 0 call ring 3,也许有启发

这在本论坛可以找到吗？如果可以能否提供URL。


 

http://www.driverdevelop.com/forum/viewthread.php?tid=88451

bmyyyud：
看wowocock老大的ring 0 call ring 3,也许有启发

这在本论坛可以找到吗？如果可以能否提供URL。