int 2eh 方式调用Native api

发表于2008-04-27|更新于2008-04-27

小技巧。但是用的人好像不多。例子： Windows 2000 下

NtQuerySystemInformationNo = 0x97;

_declspec(naked)
NTSTATUS __stdcall PrivateNtQuerySystemInformation
    (IN     SYSTEM_INFORMATION_CLASS,
    IN OUT PVOID,
    IN     ULONG,
    OUT    PULONG OPTIONAL)
{

    _asm {
        mov eax, NtQuerySystemInformationNo
        lea edx, [esp+4]
        int 2Eh
        ret 10h
    }

}

文章作者: henices

文章链接: https://usmacd.com/cn/int23_native_api/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源安全代码！

相关推荐

Dell Optiplex Tower Plus 7010 内存的兼容性问题

Dell 台式机的内存兼容性问题原始的工作机配备两条 8G 内存，想再添加一条 16G 的内存，没想到遇到内存兼容性问题。在Windows 下查看内存类型，频率，容量，品牌，可以使用下面的命令。 12345678powershellPS> Get-WmiObject Win32_PhysicalMemory | Format-Table SMBIOSMemoryType, Speed, Capacity, ManufacturerSMBIOSMemoryType Speed Capacity Manufacturer---------------- ----- -------- ------------ 34 4800 8589934592 80CE000080CE 34 4800 8589934592 80AD000080AD 参照下表可以发现，我的工作机使用的是两条8G DDR5 4800 的内存，两条 8G 内存品牌不一样。🤣 我插上一条光威 16G DDR5 4800 后，windows...

解决 Windows Rx034

以前没有遇上这个错误，这次遇上这个错误是装vim的YouCompleteMe插件后出现，因此很容易想到是装插件引起的这个错误，错误提示Runtime Error 如下图：先放狗搜一下，微软的对R6034的解释如下： 12345An application has made an attempt to load the C runtime library without usinga manifest. This is an unsupported way to load Visual C++ DLLs. You need tomodify your application to build with a manifest. For more information, see the"Visual C++ Libraries as Shared Side-by-Side Assemblies" topic in the productdocumentation. 微软的链接中也提到了解决的方法 123456Rebuild your application ...

Windows 进程注入

1. Process Injection 方法总结进程注入是windows病毒和恶意软件最常用的手法之一，Windows下进程注入的方法比较多，这里介绍常见的一些方法，以及相应的检查手段。 1.1 SetWindowsHookEx SetWindowsHookEx估计是大家最熟悉的方法了，这个是微软提供给我们使用正规用法。往Windows的hook chain中安装hook 例程，监控系统某种类型的event, 使用这种方法需要实现一个dll。 123456HHOOK WINAPI SetWindowsHookEx( _In_ int idHook, _In_ HOOKPROC lpfn, _In_ HINSTANCE hMod, _In_ DWORD dwThreadId); dwThread 为0，将监管系统中所有线程。 idHook 指定监控event的类型 hMod dll句柄 lpfn hook例程的指针 MSDN给出了一个使用的例子： 123456789101112HOOKPROC hkprc...

获取system权限的cmdshell

12sc Create SuperCMD binPath="cmd /K start" type=own type=interactsc start SuperCMD

挂钩 NtResumeThread 实现全局Hook

挂钩一直是Hack 编程中永恒的主题，基本高级的Rootkit 程序多多少少都会使用Hook 技术。似乎Hook 都被讲烂了，不论是Ring3 的还是Ring0 的网上都有例子。Ring0 的毋庸置疑当然是全局的了，这里说说ring3 的全局hook。Ring 3 有Ring 3 的优势，稳定是压倒一切的，因此Mcafee 和其他一些商业的安全软件都还是使用了Ring3 的Hook 技术，无论如何用户是无法接受蓝屏和死机的。感兴趣的可以装个Rootkit unhooker 自己看看。 :) 1. 以往的Ring 3全局Hook纵观网上流行的全局Hook 程序都只用了一个Windows API， SetWindowsHookEx，此函数原型： 123456HHOOK SetWindowsHookEx( int idHook, HOOKPROC lpfn, HINSTANCE hMod, DWORD dwThreadId); 1234idhook 安装的钩子类型，如 WH_GETMESSAGE，WH_KEYBOARD 等lpfn h...

联想 IBM THINKPAD T60装windows 2003/2008红外线设备驱动解决

Intel(R) 82801GBM (ICH7-M) LPC Interface Controller - 27B9（ACPI\IBM0071\4&61F3B4B&0）是Intel的红外线设备连接。 win2003/2008等服务器版本没有自带这个驱动。IBM T60等机器可以在主板里设置关闭INTERFACE，或者下载XP的红外线补丁（IBM Thinkpad Fast Infrared Port）就可以解决相关链接：http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-4KUR6Shttp://www.versiontracker.com/dyn/moreinfo/win/36353http://www.soft32.com/download_181790.htmlhttp://forum.thinkpads.com/viewtopic.php?t=22787&sid=3a24f025ddb4d19d3e2d00e12...

数据加载中