原生API:
原生API是用于和Windows 进行交互的底层API
一个函数从调用到执行流程:
User Application ==》Kernel32.dll==》Ntdll.dll==》||Ntosknl.exe==》Kernel Data Structure
用户层 内核层
Ntdll.dll正是用户层和内核层之间的桥梁,用户层必须通过ntdll.dll才能调用内核层的相关函数
原生API的功能相对一般的API比较开放,可以允许达到一般的API无法达到的功能
所以原生API很直接
如果一般的杀毒软件只是设置对Kernel32.dll等单个调用进行监测的话,也能很有效的躲过杀毒软件监测
除了Ntdll.dll原生API,经常还调用到NtContinue,这是被用于从一个异常处理返回的函数,这个函数里面
装有返回上一个被中断的现场出的地址,这个地址可以编辑。恶意代码可以触发异常然后在调用NtContinue
函数改变返回值,使其返回目标执行地址。 感谢分享。
楼主打错了一个单词~~ntosknl.exe 应为 ntoskrnl.exe 楼主粗心大意,不好意思哈!
页:
[1]