首页>编程与逆向>内核编程>程序是怎样加载ntoskrnl.exe的???
回复
« 返回列表
1 2 下一页 »
VanCheer
VanCheer
驱动老牛
驱动老牛
  • 注册日期2002-02-21
  • 最后登录2003-08-28
  • 粉丝0
  • 关注0
  • 积分-20分
  • 威望-10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
阅读:3030回复:28

程序是怎样加载ntoskrnl.exe的???

楼主#
更多 发布于:2002-06-21 16:33
我好困惑,这东西是每个程序必须的,但没发现它是怎么被加载的啊。
大家看
application->kernel32.dll->ntdll.dll
但ntdll.dll就不导入函数了啊
刚才我把一个网上的ring0的C程序总算编译过去了,结果它竟然显式导入ntoskrnl.exe了,系统不认,无法初始化
ntoskrnl.exe是怎么回事?难道整个系统就一份copy?那在C程序里怎么用它啊,一些它导出的函数怎么连接啊
喜欢0
[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]
回复
pjf
pjf
驱动中牛
驱动中牛
  • 注册日期2001-07-08
  • 最后登录2006-10-23
  • 粉丝0
  • 关注0
  • 积分42分
  • 威望4点
  • 贡献值0点
  • 好评度4点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2002-06-21 16:42
大兄弟,ntoskrnl.exe是Ntldr加载的NT内核呀,未加/3GB的机器上加载地址总为0x80400000。导出了大多数内核函数。
回复(0) 喜欢(0)
VanCheer
VanCheer
驱动老牛
驱动老牛
  • 注册日期2002-02-21
  • 最后登录2003-08-28
  • 粉丝0
  • 关注0
  • 积分-20分
  • 威望-10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2002-06-21 16:45
大兄弟,ntoskrnl.exe是Ntldr加载的NT内核呀,未加/3GB的机器上加载地址总为0x80400000。导出了大多数内核函数。

我知道是ntldr加载的
是不是ntoskrnl.exe全局就一份,而且它的加载和普通dll不一样,是直接读入内存的,所以在windows里甚至可以改变它的文件?
那我在程序里怎么用?不要告诉我要象病毒一样去找它导出函数的地址。
[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]
回复(0) 喜欢(0)
flyfox
flyfox
驱动中牛
驱动中牛
  • 注册日期2001-04-05
  • 最后登录2012-08-03
  • 粉丝0
  • 关注0
  • 积分6分
  • 威望22点
  • 贡献值0点
  • 好评度11点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2002-06-21 16:52
根本不用理会ntoskrnl,可能你的程序写错了或加载的lib有问题
应该加载
#pragma comment(lib,\"D:\\\\NTDDK\\\\libfre\\\\i386\\\\ntdll.lib\")
一剑西来,天外飞仙
回复(0) 喜欢(0)
VanCheer
VanCheer
驱动老牛
驱动老牛
  • 注册日期2002-02-21
  • 最后登录2003-08-28
  • 粉丝0
  • 关注0
  • 积分-20分
  • 威望-10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2002-06-21 16:54
根本不用理会ntoskrnl,可能你的程序写错了或加载的lib有问题
应该加载
#pragma comment(lib,\"D:\\\\NTDDK\\\\libfre\\\\i386\\\\ntdll.lib\")

兄弟,真行了
我想起来了,ntdll.dll和ntoskrnl.exe导出的很多函数好像名字都是一样的。
兄弟能否多讲一些?
对了,我怎么直接用ntoskrnl.exe?
我想在病毒里面应该可以比较容易用
[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]
回复(0) 喜欢(0)
pjf
pjf
驱动中牛
驱动中牛
  • 注册日期2001-07-08
  • 最后登录2006-10-23
  • 粉丝0
  • 关注0
  • 积分42分
  • 威望4点
  • 贡献值0点
  • 好评度4点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2002-06-21 16:54
它只是一个exe形式的sys呀。既然是内核,自然只有一份。初始化期一过它就像sys一样活着而不像普通exe。
先说你改它干嘛。
回复(0) 喜欢(0)
VanCheer
VanCheer
驱动老牛
驱动老牛
  • 注册日期2002-02-21
  • 最后登录2003-08-28
  • 粉丝0
  • 关注0
  • 积分-20分
  • 威望-10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2002-06-21 16:56
它只是一个exe形式的sys呀。既然是内核,自然只有一份。初始化期一过它就像sys一样活着而不像普通exe。
先说你改它干嘛。

我不是说我要改它,而是Funlove确实改了它。
但它和普通sys不一样吧,一样吗?一个sys被装载以后它的文件是不是被占用了?我没试验过。
[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]
回复(0) 喜欢(0)
pjf
pjf
驱动中牛
驱动中牛
  • 注册日期2001-07-08
  • 最后登录2006-10-23
  • 粉丝0
  • 关注0
  • 积分42分
  • 威望4点
  • 贡献值0点
  • 好评度4点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2002-06-21 16:56
有了ntoskrnl.lib,像DLL一样用它,了解?
回复(0) 喜欢(0)
VanCheer
VanCheer
驱动老牛
驱动老牛
  • 注册日期2002-02-21
  • 最后登录2003-08-28
  • 粉丝0
  • 关注0
  • 积分-20分
  • 威望-10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2002-06-21 16:58
有了ntoskrnl.lib,像DLL一样用它,了解?

不了解!
我用了ntoskrnl.lib,结果程序就显式导入ntoskrnl,系统不让运行。还是狐狸兄说的方法能行。
[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]
回复(0) 喜欢(0)
pjf
pjf
驱动中牛
驱动中牛
  • 注册日期2001-07-08
  • 最后登录2006-10-23
  • 粉丝0
  • 关注0
  • 积分42分
  • 威望4点
  • 贡献值0点
  • 好评度4点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2002-06-21 17:03
我不是说我要改它,而是Funlove确实改了它。
但它和普通sys不一样吧,一样吗?一个sys被装载以后它的文件是不是被占用了?我没试验过。
-----------------------------------------------------------------------
sys被加载后随便删,ntoskrnl会检查(同很多系统sys一样)自己被该过没,不过卑鄙的病毒可以把检查代码一起改了,呵呵。



不了解!
我用了ntoskrnl.lib,结果程序就显式导入ntoskrnl,系统不让运行。还是狐狸兄说的方法能行。
---------------------------------------------------------------------
你的程序是应用程序吧,Ring3下你当然得导入ring3的Ntdll.dll的函数,内核程序(比如驱动)就导入ring0的ntoskrnl。
回复(0) 喜欢(0)
VanCheer
VanCheer
驱动老牛
驱动老牛
  • 注册日期2002-02-21
  • 最后登录2003-08-28
  • 粉丝0
  • 关注0
  • 积分-20分
  • 威望-10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
10楼#
发布于:2002-06-21 17:06
sys被加载后随便删,ntoskrnl会检查(同很多系统sys一样)自己被该过没,不过卑鄙的病毒可以把检查代码一起改了,呵呵。

那我明白了。ntoskrnl不会检查自己,是ntldr检查的,所以Funlove把ntldr也改了。
兄弟能否给我讲一下sys的装载机理?和dll不一样?一个sys就装入一份而不管多少程序用它?
ring0的东西可以导入ntoskrnl?我的程序(其实是网上下的)是ring3的
[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]
回复(0) 喜欢(0)
flyfox
flyfox
驱动中牛
驱动中牛
  • 注册日期2001-04-05
  • 最后登录2012-08-03
  • 粉丝0
  • 关注0
  • 积分6分
  • 威望22点
  • 贡献值0点
  • 好评度11点
  • 原创分0分
  • 专家分0分
写私信
11楼#
发布于:2002-06-21 17:17
兄弟能否给我讲一下sys的装载机理?和dll不一样?一个sys就装入一份而不管多少程序用它?
ring0的东西可以导入ntoskrnl?我的程序(其实是网上下的)是ring3的

sys和dll一样都是只装载一次,不管有好多程序调用它,如果发生改变数据时,就会执行copy-on-write机制
一剑西来,天外飞仙
回复(0) 喜欢(0)
pjf
pjf
驱动中牛
驱动中牛
  • 注册日期2001-07-08
  • 最后登录2006-10-23
  • 粉丝0
  • 关注0
  • 积分42分
  • 威望4点
  • 贡献值0点
  • 好评度4点
  • 原创分0分
  • 专家分0分
写私信
12楼#
发布于:2002-06-21 17:19
多说几句吧
ntdll.dll主要导出系统服务的包装函数(int2e/sysenter),以及一些Rtl*函数;ntoskrnl.exe为了让内核程序(如驱动)也可用,导出了一些系统服务的再包装(Zw*用了int2e、Nt*未用int2e),以及一些Rtl*函数。
你确定你的程序在Ring0执行,自然导入ntoskrnl的,等等。

以前我曾试过让我的程序既导入ring3函数,又导入ring0函数(我的目的是做一个将自己加载入ring0的ring3程序,因为NT确实支持将exe、dll加载入内核。可惜一旦你不止要它加载、还要它执行起来时,它就要执行严格检查;另一限制就是因为里面导入了ring0函数(address>0x80000000),加载器不执行此exe),最后只有找其它方法,还不如写驱动,faint.
回复(0) 喜欢(0)
VanCheer
VanCheer
驱动老牛
驱动老牛
  • 注册日期2002-02-21
  • 最后登录2003-08-28
  • 粉丝0
  • 关注0
  • 积分-20分
  • 威望-10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
13楼#
发布于:2002-06-21 17:19
[quote]兄弟能否给我讲一下sys的装载机理?和dll不一样?一个sys就装入一份而不管多少程序用它?
ring0的东西可以导入ntoskrnl?我的程序(其实是网上下的)是ring3的

sys和dll一样都是只装载一次,不管有好多程序调用它,如果发生改变数据时,就会执行copy-on-write机制 [/quote]
但dll好像被占用,不能改变它的文件。dll和exe差不多,都是用文件映射的,估计sys不是,是真的全读到内存里了。所以你看看,你就没法在windows下删除kernel32.dll。
[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]
回复(0) 喜欢(0)
pjf
pjf
驱动中牛
驱动中牛
  • 注册日期2001-07-08
  • 最后登录2006-10-23
  • 粉丝0
  • 关注0
  • 积分42分
  • 威望4点
  • 贡献值0点
  • 好评度4点
  • 原创分0分
  • 专家分0分
写私信
14楼#
发布于:2002-06-21 17:24
sys和dll一样都是只装载一次,不管有好多程序调用它,如果发生改变数据时,就会执行copy-on-write机制
------------------------------------------------------------------------
no,no,sys自然只需加载一次(内核空间,of course),dll会被多次加载(一个用到的进程一次,只是可以内存共享)。copy-on-write机制也仅仅对dll而言,因为它属于进程空间。
对于sys若你未改变NT内存保护策略(softice会改),ring0程序一样不能改(当然去除CR0的WP为就可以了)。
回复(0) 喜欢(0)
VanCheer
VanCheer
驱动老牛
驱动老牛
  • 注册日期2002-02-21
  • 最后登录2003-08-28
  • 粉丝0
  • 关注0
  • 积分-20分
  • 威望-10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
15楼#
发布于:2002-06-21 17:26
多说几句吧
ntdll.dll主要导出系统服务的包装函数(int2e/sysenter),以及一些Rtl*函数;ntoskrnl.exe为了让内核程序(如驱动)也可用,导出了一些系统服务的再包装(Zw*用了int2e、Nt*未用int2e),以及一些Rtl*函数。
你确定你的程序在Ring0执行,自然导入ntoskrnl的,等等。

以前我曾试过让我的程序既导入ring3函数,又导入ring0函数(我的目的是做一个将自己加载入ring0的ring3程序,因为NT确实支持将exe、dll加载入内核。可惜一旦你不止要它加载、还要它执行起来时,它就要执行严格检查;另一限制就是因为里面导入了ring0函数(address>0x80000000),加载器不执行此exe),最后只有找其它方法,还不如写驱动,faint.

“既导入ring3函数,又导入ring0函数”?那你怎么调用ring0?一个call指令显然不行的,这涉及到特权级改变啊
其实ntdll.dll就是一个ntoskrnl的外壳,只不过它能用int 2e从ring3切到ring 0而已。
[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]
回复(0) 喜欢(0)
VanCheer
VanCheer
驱动老牛
驱动老牛
  • 注册日期2002-02-21
  • 最后登录2003-08-28
  • 粉丝0
  • 关注0
  • 积分-20分
  • 威望-10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
16楼#
发布于:2002-06-21 17:27
sys和dll一样都是只装载一次,不管有好多程序调用它,如果发生改变数据时,就会执行copy-on-write机制
------------------------------------------------------------------------
no,no,sys自然只需加载一次(内核空间,of course),dll会被多次加载(一个用到的进程一次,只是可以内存共享)。copy-on-write机制也仅仅对dll而言,因为它属于进程空间。
对于sys若你未改变NT内存保护策略(softice会改),ring0程序一样不能改(当然去除CR0的WP为就可以了)。

SI是怎么改的NT内存保护策略?
[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]
回复(0) 喜欢(0)
flyfox
flyfox
驱动中牛
驱动中牛
  • 注册日期2001-04-05
  • 最后登录2012-08-03
  • 粉丝0
  • 关注0
  • 积分6分
  • 威望22点
  • 贡献值0点
  • 好评度11点
  • 原创分0分
  • 专家分0分
写私信
17楼#
发布于:2002-06-21 17:28
no,no,sys自然只需加载一次(内核空间,of course),dll会被多次加载(一个用到的进程一次,只是可以内存共享)。copy-on-write机制也仅仅对dll而言,因为它属于进程空间。
对于sys若你未改变NT内存保护策略(softice会改),ring0程序一样不能改(当然去除CR0的WP为就可以了)。

error!it is a basic concept!
please read win95 system programming secrets---the chapter 3
一剑西来,天外飞仙
回复(0) 喜欢(0)
VanCheer
VanCheer
驱动老牛
驱动老牛
  • 注册日期2002-02-21
  • 最后登录2003-08-28
  • 粉丝0
  • 关注0
  • 积分-20分
  • 威望-10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
18楼#
发布于:2002-06-21 17:30
[quote]no,no,sys自然只需加载一次(内核空间,of course),dll会被多次加载(一个用到的进程一次,只是可以内存共享)。copy-on-write机制也仅仅对dll而言,因为它属于进程空间。
对于sys若你未改变NT内存保护策略(softice会改),ring0程序一样不能改(当然去除CR0的WP为就可以了)。

error!it is a basic concept!
please read win95 system programming secrets---the chapter 3
 [/quote]
别吵
dll确实是从文件里只装入一次,但它会被映射到不同的进程空间
sys我不太熟,它是全局的吗?为各个进程共享?
还有win9X和2000不太一样。
[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]
回复(0) 喜欢(0)
pjf
pjf
驱动中牛
驱动中牛
  • 注册日期2001-07-08
  • 最后登录2006-10-23
  • 粉丝0
  • 关注0
  • 积分42分
  • 威望4点
  • 贡献值0点
  • 好评度4点
  • 原创分0分
  • 专家分0分
写私信
19楼#
发布于:2002-06-21 17:31
既导入ring3函数,又导入ring0函数”?那你怎么调用ring0?一个call指令显然不行的,这涉及到特权级改变啊
----------------------------------------------------------------------
你没理解我的意思,呵呵。特权切换让系统去做,我也不用长call。不成的原因是加载exe得加载器拒绝初始化我的导入表(这我有法)和该死的I/O管理器安全检查(这过不了,只有老老实实将文件头表现为sys格式)。
回复(0) 喜欢(0)
上一页
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部