未公开API的使用

内核

可以配合WRK 查看微软未公开的API,进行使用,与实现原理和注意事项
主要是可以增加开发的驱动程序的兼容性

未公开的API

函数名 作用
PsEnumProcess 枚举线程
PsLookupPorcessByProcessID 通过线程ID 获得EProcess
PspCidTable 所有的进程与线程的表存储位置
PsGetProcessImageFileName 通过Eprocess 获得FileName
KeStackAttachProcess 用于切换CR3
KeUnStackAttachProcee 用于还原CR3
MmGetPhysicalAddress 通过线性地址转换物理地址
PsSetLoadImageNotifyRoutine 每个模块加载之前都会通知回调
CmRegisterCallbackEx 注册表的HOOK回调注册
> 调用未公开的内核函数的需要注意参考WRK的相关操作
> 比如:引用计数的增加

Tips:

EProcess 中:

StartAddress 为全局线程创建函数
Win32StartAddress 为线程的回调函数

WinDBG命令: !PTE Addr 查询线性地址的分页数据

本文标题:未公开API的使用

文章作者:Yzlong

发布时间:2017-03-15, 00:54:42

最后更新:2019-07-17, 02:05:26

原始链接:http://cryzlasm.github.io/2017/03/15/未公开API的使用/

许可协议: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

文章目录
  1. 1. 未公开的API
  2. 2. Tips:
|