[help]用户态应用程序调用Native API的方法 的两个疑问

 用户态应用程序调用Native API的方法

微软基本没有提供给用户态程序调用Native API的接口，因为Windows SDK中几乎没有调用所需的头文件和库文件（SDK中只有少量的Native API所需的数据结构），但是可以利用以下两种方法在用户态调用Native API。

    *
      利用函数指针

通过下面的三个步骤则可以在运行期获取Native API的函数指针，从而实现调用该函数的目的。

第一步，声明函数原型和相关数据结构；

       例如：

typedef NTSTATUS (__stdcall *ZwQuerySystemInformationFunc)(

     IN SYSTEM_INFORMATION_CLASS SystemInformationClass,

     OUT PVOID SystemInformation,

     IN ULONG SystemInformationLength,

     OUT PULONG ReturnLength OPTIONAL);

 

第二步，利用函数GetProcProcess和GetModuleHandle获取Native API函数指针；

       例如：                        

            ZwQuerySystemInformation = (ZwQuerySystemInformationFunc)GetProcAddress (GetModuleHandle(_T ("ntdll.dll")), "ZwQuerySystemInformation"));

 

第三步，调用该函数。

完整例子可以参照示例代码GetSystemInformation，当然，这种方法也可以实现运行期获取Windows User Mode API的函数指针。

    *
      利用系统调用中断

上面的方法中实际获取的是ntdll.dll中Native API proxy函数的指针，在Windows这些proxy函数实际都是通过调用INT 2Eh实现转核和API的实际调用的（XP之后的Windows还实现了一种利用sysenter指令转核的Native API调用接口，ntdll.dll中的proxy函数就是利用这种方式实现的），所以用户态程序也可以通过INT 2Eh的方式实现Native API的调用。

这种方式主要只需要两个步骤：

第一步，声明Native API的函数原型；                                      

例如：

NTSTATUS __stdcall MyZwQuerySystemInformation (IN SYSTEM_INFORMATION_CLASS SystemInformationClass,

         IN OUT PVOID SystemInformation,

            IN ULONG SystemInformationLength,

              OUT PULONG ReturnLength OPTIONAL)

 

第二步，在该函数中添加INT 2Eh及设置相应寄存器的相关代码；

       char** ppStackFrame = (char**)&SystemInformationClass;

     __asm

     {

         mov eax, 0ADH;

         mov edx, ppStackFrame;

         int 2EH;

}



疑问：
1.GetModuleHandle不用loadlibrary ntdll就可以直接获取到句柄？我记得以前我都要loadlibray自己的dll啊？
2.

         mov eax, 0ADH;

         mov edx, ppStackFrame;

         int 2EH;

这段代码在2003下好像调用不到，请问为什么？利用sysenter 2003下也不能调，请大侠指点。

疑问：
1.GetModuleHandle不用loadlibrary ntdll就可以直接获取到句柄？我记得以前我都要loadlibray自己的dll啊？
2.

        mov eax, 0ADH;

        mov edx, ppStackFrame;

        int 2EH;

这段代码在2003下好像调用不到，请问为什么？利用sysenter 2003下也不能调，请大侠指点。

可以了，原来  mov eax, 0ADH;0AD是XP下的系统调用号，而2003下是mov eax, 0B5H;

The GetModuleHandle function retrieves a module handle for the specified module if the file has been mapped into the address space of the calling process.

如果进程没有加载dll，我想GetModuleHandle 肯定会失败吧？