部分API函数及参数说明

一 一 CreateFileForMapping 函数名称 CreateFileForMapping 系统要求 Windows CE 1 01 and later 头文件 Winbase h 链接库 Coredll lib 函数功能 生成用于映射的文件句柄 参数 第 1 个参数 LPCTSTR lpFileName 文件名指针 第 2 个参数 DWORD dwDesiredAccess 文件访问模式 GENERIC READ GENERIC WRITE 等 第 3 个参数 DWORD dwShareMode 共享模式 不支持 忽略设置为 0 第 4 个参数 LPSECURITY ATTRIBUTES lpSecurityAttributes 不支持 为 NULL 第 5 个参数 DWORD dwCreationDisposition 生成方式 第 6 个参数 DWORD dwFlagsAndAttributes 文件标志和属性 第 7 个参数 HANDLE hTemplateFile 临时文件句柄 忽略 返回值 成功 映射文件句柄 失败 INVALID HANDLE VALUE 说明 01 桌面平台没有专门用于映射文件句柄生成的函数 直接用 CreateFile 就 可以了 二 二 NtGdiSendInputNtGdiSendInput NtSetWindowNtSetWindow sHookExsHookEx GDI 函数 分别用于拦截键盘鼠标模拟输入 和全局钩子 三 三 ZwCreateFileZwCreateFile 原型 NTSYSAPI NTSTATUS NTAPI ZwCreateFile OUT PHANDLE FileHandle IN ACCESS MASK DesiredAccess IN POBJECT ATTRIBUTES ObjectAttributes OUT PIO STATUS BLOCK IoStatusBlock IN PLARGE INTEGER AllocationSize OPTIONAL IN ULONG FileAttributes IN ULONG ShareAccess IN ULONG CreateDisposition IN ULONG CreateOptions IN PVOID EaBuffer OPTIONAL IN ULONG EaLength 参数理解 OUT FileHandle 这是一个指向一个变量的指针 用来最后存放 file object handle 的 IoStatusBlock 这个也是个指针变量 指向一个叫做 IO STATUS BLOCK 的结构体 最后函数返回的时候 这个结构体的成员 里面要填充一些值 具体的呢就是完成状态 请 求操作的一些信息 最重要的一个成员就是 Information 成员 他显示了函数对文件的处理 方式 他的值 可能是下面的几个 FILE SUPERSEDED 替代 FILE OPENED 打开 FILE CREATED 创建 FILE OVERWRITTEN 重写 FILE EXISTS 存在 FILE DOES NOT EXIST 文件不存在 再看下这个 IO STATUS BLOCK 的具体结构 typedef struct IO STATUS BLOCK union NTSTATUS Status PVOID Pointer DUMMYUNIONNAME ULONG PTR Information IO STATUS BLOCK PIO STATUS BLOCK 通过上述的两个输出的参数我们可以看到 这个 ZwCreateFile 函数就是返回创建好的文件 对象的句柄 然后返回一个期间处理的方式 IN DesiredAccess 这个参数指定一个访问权限 大概有以下的权限 FILE ANY ACCESS 0 x0000 any type FILE READ ACCESS 0 x0001 file HANDLE RootDirectory PUNICODE STRING ObjectName ULONG Attributes PVOID SecurityDescriptor type SECURITY DESCRIPTOR PVOID SecurityQualityOfService type SECURITY QUALITY OF SERVICE OBJECT ATTRIBUTES POBJECT ATTRIBUTES AllocationSize 这是个可选的参数 他是指定初始化文件需要的内存字节数的 所以可向 而知 他只有在真正的涉及到文件创建的时候才有意义 也就是说创建 重写 替换这些 操作的时候 指向一个 LARGE INTEGER typedef union LARGE INTEGER ANONYMOUS STRUCT struct ULONG LowPart LONG HighPart DUMMYSTRUCTNAME struct ULONG LowPart LONG HighPart u endif MIDL PASS LONGLONG QuadPart LARGE INTEGER PLARGE INTEGER FileAttributes 这个参数指定文件的属性 刚才是文件对象的属性 可以是以下的 FILE ATTRIBUTE READONLY FILE ATTRIBUTE HIDDEN FILE ATTRIBUTE SYSTEM FILE ATTRIBUTE DIRECTORY FILE ATTRIBUTE ARCHIVE FILE ATTRIBUTE NORMAL FILE ATTRIBUTE TEMPORARY FILE ATTRIBUTE SPARSE FILE FILE ATTRIBUTE REPARSE POINT FILE ATTRIBUTE COMPRESSED FILE ATTRIBUTE OFFLINE FILE ATTRIBUTE NOT CONTENT INDEXED FILE ATTRIBUTE ENCRYPTED ShareAccess 指定共享的权限 以下三种的组合 FILE SHARE READ FILE SHARE WRITE FILE SHARE DELETE CreateDisposition 这个参数指定要对文件干嘛 呼呼 可以是下面的值 FILE SUPERSEDE FILE OPEN FILE CREATE FILE OPEN IF FILE OVERWRITE FILE OVERWRITE IF CreateOptions 这个参数指定创建或者打开文件的时候做的一些事情 可以是以下的组合 FILE DIRECTORY FILE FILE WRITE THROUGH FILE SEQUENTIAL ONLY FILE NO INTERMEDIATE BUFFERING FILE SYNCHRONOUS IO ALERT FILE SYNCHRONOUS IO NONALERT FILE NON DIRECTORY FILE FILE CREATE TREE CONNECTION FILE COMPLETE IF OPLOCKED FILE NO EA KNOWLEDGE FILE OPEN FOR RECOVERY FILE RANDOM ACCESS FILE DELETE ON CLOSE FILE OPEN BY FILE ID FILE OPEN FOR BACKUP INTENT FILE NO COMPRESSION FILE RESERVE OPFILTER FILE OPEN REPARSE POINT FILE OPEN NO RECALL FILE OPEN FOR FREE SPACE QUERY 这个我不太清楚 概念有点模糊 EaBuffer 这个是个可选的参数 用来存放一些扩展的属性 EaLength 存放扩展属性的字节大小 四 四 ZwOpenFile ZwOpenFile 是一个内核函数 写驱动时使用 打开一个现有的文件 目录 设备 或卷 函数原型 编辑 NTSTATUS ZwOpenFile OUT PHANDLE FileHandle IN ACCESS MASK DesiredAccess IN POBJECT ATTRIBUTES ObjectAttributes OUT PIO STATUS BLOCK IoStatusBlock IN ULONG ShareAccess IN ULONG OpenOptions 参数介绍 编辑 FileHandle 输出参数 返回打开文件的句柄 DesiredAccess 输入参数 打开的权限 一般设为 GENERIC ALL 全部权限参考 MSDN ObjectAttributes 输入参数 OBJECT ATTRIBUTES 结构 IoStatusBlock 输出参数 指向一个结构体的指针 该结构体指明打开文件的状态 ShareAccess 输入参数 共享的权限 可以是 FILE SHARE READ 或者 FILE SHARE WRITE OpenOptions 输入参数 打开选项 一般设为 FILE SYNCHRONOUS IO NONALERT 返回值编辑 NTSTATUS 指明文件是否被成功打开 五 五 zwSetSystemInformationzwSetSystemInformation zwSetSystemInformation 函数是个未公开的函数 调用 38 号会加载驱动 对应的第二个 参数为 SYSTEM LOAD AND CALL IMAGE 结构体 第三个参数为 SYSTEM LOAD AND CALL IMAGE 结构体的长度 六 六 SetWindowsHookEx 外文名外文名 SetWindowsHookEx 介介 绍绍 Windows 消息处理机制的一个平台 方方 式式 系统调用 钩子钩子链表链表 指针列表 原型编辑 SetWindowsHookEx WH KEYBOARD KeyBoardProc HInstance 0 七 七 ZwLoadDriver 该函数用于在内核模式或驱动程序中动态加载一个已被正确注册的驱动例程 函数原型编辑 NTSTATUS ZwLoadDriver IN PUNICODE STRING DriverServiceName 函数说明编辑 参数说明 DriverServiceName 一个指向驱动程序注册表键 Unicode 字串的指针 该注册表键位 于 Registry Machine System CurrentControlSet Services DriverName 一般位于 HKEY LOCAL MACHINE 主键下 DriverName 是该驱动的注册名 七 七 ZwCreateKey 创建一个注册表键 ZwCreateKeyZwCreateKey 函数既可以打开已存在键又可以创建新键 这两个函数都需要事先用键名以 及某些其它信息初始化一个 OBJECT ATTRIBUTES 结构 OBJECT ATTRIBUTES 结构的声明如 下 typedef struct OBJECT ATTRIBUTES ULONG Length HANDLE RootDirectory PUNICODE STRING ObjectName ULONG Attributes PVOID SecurityDescriptor PVOID SecurityQualityOfService OBJECT ATTRIBUTES 八 八 ZwCreateKey 删除一个注册表键 九 九 ZwTerminateProcess 一般的进程管理器使用 WIN32 API 的 OpenProcess 和 TerminateProcess 或 NATIVE API 的 ZwOpenProcess 和 ZwTerminateProcess 函数来打开和终止进程 十 十 ZwWriteProcessMemoryZwWriteProcessMemory 防止远程线程注入 十一 十一 NtSystemDebugControlNtSystemDebugControl NtSystemDebugControl 是 Windows NT