Перейти к содержанию

Недокументированые функции.


Рекомендуемые сообщения

Всем привет! Начал углублятся в написание драйверов режима ядра. 

В одной статье наткнулся на функцию MmCopyVirtualMemory конечно же с ней я разобрался, но удивило, что поисковые запросы в гугле по этой функции не дали результатов кроме кода от Zer0Memory

А так же студия ругается на портотип типо нету определения функции и прочее...  Но после компила драйвер работает и функции свои выполняет.

Так же, все в том же коде от Zer0Memory наткнулся на еще 1 функцию PsLookupProcessByProcessId по которой так же информации почти нету.

Так вот к чему я это все, если я правильно понял это недокументированые функции винды. 

Возможно есть какие_то ресурсы, книги, статьи где можно почитать про подобные функции или хотя бы некий лист с некоторыми функциями и принимаемыми параметрами(По названию + методом тыка можно будет разобратся в них)?

Всем спасибо :)

Ссылка на комментарий
Поделиться на другие сайты

Исходя из природы вопроса, линейка MS Windows не обладает открытым исходным кодом ядра OC, поэтому логично предположить что функции не будут "документированы" в принципе исходя из ограниченного доступа к ядру. По этому как мне кажется какой-то фундаментальной и глубокой литературы ты не найдёшь, здесь случай метода "Проб и Ошибок".

Ссылка на комментарий
Поделиться на другие сайты

37 минут назад, saiberpro сказал:

Windows не обладает открытым исходным кодом

Да это я конечно же понимаю. 

 

38 минут назад, saiberpro сказал:

функции не будут "документированы"

Да, от мелкомягких я и не жду, но опять же исходя из кода Zer0Memory какое-то хотя бы мельчайшее описание  функций где-то есть, мне бы было достаточно портотипов, даже без описания) Я бы разобрался методом тыка :))

40 минут назад, saiberpro сказал:

фундаментальной и глубокой литературы

Ну да, этого я конечно и жду, но все же не я первый и не я последний кто заинтересовался этим, возможно кто-то делился своим опытом(только вот найти не могу :( )

42 минуты назад, saiberpro сказал:

здесь случай метода "Проб и Ошибок".

Знать бы что пробовать :))  С вышеуказанами функциями я быстро разобрался и даже без BSODа запустил :)

А вот дальше в каком направлении двигатся? :))

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, partoftheworlD сказал:

первые 2 ссылки в гугле.

Вот именно... Это не те функции... Я сначала так же думал

 

Вот к примеру портотип MmCopyVirtualMemory

Спойлер

 


NTSTATUS NTAPI MmCopyVirtualMemory
(
    PEPROCESS SourceProcess,
    PVOID SourceAddress,
    PEPROCESS TargetProcess,
    PVOID TargetAddress,
    SIZE_T BufferSize,
    KPROCESSOR_MODE PreviousMode,
    PSIZE_T ReturnSize
);

 

 

 


А вот портотип функции которую Вы предлагаете мне:

Спойлер

 


NTSYSAPI NTSTATUS NTAPI NtWriteVirtualMemory
(
HANDLE ProcessHandle,
PVOID BaseAddress, 
PVOID Buffer,
ULONG NumberOfBytesToWrite, 
PULONG NumberOfBytesWritten
);

 

 

И кста что пишет мне студия:

Но при этом функция отрабатывает и выполняет свою функцию :)

 

Блин, запарился править пост и добавлять :))

1 час назад, partoftheworlD сказал:

в msdn все это есть

MSDN первое место куда я полез :))

Изменено пользователем temtriss
Ссылка на комментарий
Поделиться на другие сайты

  • 4 месяца спустя...

 

В 17.08.2018 в 19:31, temtriss сказал:

Всем привет! Начал углублятся в написание драйверов режима ядра. 

Не слушай тех кто ищет и не находит: https://github.com/markjandrews/wrk-v1.2

  • Плюс 1
Ссылка на комментарий
Поделиться на другие сайты

×
×
  • Создать...

Важная информация

Находясь на нашем сайте, Вы автоматически соглашаетесь соблюдать наши Условия использования.