AliWy

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://aliwy.blogbus.com/logs/34569465.html

来源：http://blog.csdn.net/celestialwy/

微软基本没有提供给用户态程序调用Native API的接口，因为Windows SDK中几乎没有调用所需的头文件和库文件（SDK中只有少量的Native API所需的数据结构），但是可以利用以下两种方法在用户态调用Native API。

利用函数指针

通过下面的三个步骤则可以在运行期获取Native API的函数指针，从而实现调用该函数的目的。

第一步，声明函数原型和相关数据结构；

例如：

typedef NTSTATUS (__stdcall *ZwQuerySystemInformationFunc)(
     IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
     OUT PVOID SystemInformation,
     IN ULONG SystemInformationLength,
     OUT PULONG ReturnLength OPTIONAL);

第二步，利用函数GetProcProcess和GetModuleHandle获取Native API函数指针；

例如：                        

ZwQuerySystemInformation = (ZwQuerySystemInformationFunc)GetProcAddress (GetModuleHandle(_T ("ntdll.dll")), "ZwQuerySystemInformation"));

第三步，调用该函数。

完整例子可以参照示例代码GetSystemInformation，当然，这种方法也可以实现运行期获取Windows User Mode API的函数指针。

利用系统调用中断

上面的方法中实际获取的是ntdll.dll中Native API proxy函数的指针，在Windows这些proxy函数实际都是通过调用INT 2Eh实现转核和API的实际调用的（XP之后的Windows还实现了一种利用sysenter指令转核的Native API调用接口，ntdll.dll中的proxy函数就是利用这种方式实现的），所以用户态程序也可以通过INT 2Eh的方式实现Native API的调用。

这种方式主要只需要两个步骤：

第一步，声明Native API的函数原型；                                       

例如：

NTSTATUS __stdcall MyZwQuerySystemInformation (
            IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
            IN OUT PVOID SystemInformation,
            IN ULONG SystemInformationLength,
            OUT PULONG ReturnLength OPTIONAL)

 第二步，在该函数中添加INT 2Eh及设置相应寄存器的相关代码；

char** ppStackFrame = (char**)&SystemInformationClass;
     __asm
     {
         mov eax, 0ADH;
         mov edx, ppStackFrame;
         int 2EH;
     }

完整例子可以参照示例代码GetSystemInformation。