API native

Question

Existe-t'il une m&#233;thode afin de d&#233;finir les appels aux API native par les couches plus hautes (genre librairie Kernel32). Par Exemple, comment peut on d&#233;terminer l'appel sur NTclose lors de l'usage de la fonction CloseHandle. Une esp&#232;ce de Hook sur API native ... Merci ++

cs_Stormy · Answer

Une autre question. En l'absence de la fonction NtTerminateProcess, le processus resterait-il en cours d'ex&#233;cution? Ou bien nous sortons obligatoirement d'un contexte de bas niveau vers l'OS Win32 (donc restriction couche native)?

BruNews · Answer

CloseHandle est directement mapp&#233;e par kernel32 vers NtClose, alors autant hooker directement CloseHandle, tu trouveras plus facilement sur le net des exemples de hook de l'API user plutot que kernel.

Absence de NtTerminateProcess ??? Mais faut pas y songer, elle est pr&#233;sente obligatoirement. Comme vu plus haut, TerminateProcess est mapp&#233;e direct dessus et kernel32 ne fait qu'un 'PUSH 0' en plus avant de refiler ExitProcess vers NtTerminateProcess. Plus rien ne tournerait si on faisait sauter un maillon de la chaine &#224; ce niveau.

ciao...
BruNews, MVP VC++

cs_Stormy · Answer

Oki, je capte mieux. Maintenant, la question logistique du soir. O&#249; je peux trouver les en-t&#234;tes ntddk.h aussi les .lib et consorts afin de d&#233;velopper directement sur API native (pas la peine de me dire msdn.microsoft, cette adresse je devine $$$) Il y a pas une autre adresse ou m&#233;thode (l&#233;gale bien s&#251;r)?

BruNews · Answer

ben non, tu pourras voir dans une de mes sources (si je me souviens bien) ntdll.lib mais cela fait partie du DDK, pas question de trouver cela ailleurs.

ciao...
BruNews, MVP VC++

cs_Arnotic · Answer

Dans mes sources j'ai montr&#233; la gestion des fichiers par les APIs Natives ainsi que la gestion de la m&#233;moire.

@+
Arnotic,
Admin CS, MVP Visual C++

API native

5 réponses

Votre réponse

Discussions similaires