首頁猿問為什么這個函數(shù)是否會調(diào)用內(nèi)核的Nt...

為什么這個函數(shù)是否會調(diào)用內(nèi)核的NtOpenProcess函數(shù)？

PHP

偶然的你 2023-03-18 23:19:20

在ssdt hook中經(jīng)常會有下面的代碼 //定義一個原函數(shù)指針typedef NTSTATUS (__stdcall *REALZWOPENPROCESS)(OUT PHANDLE ProcessHandle,IN ACCESS_MASK DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttributes,IN PCLIENT_ID ClientId);REALZWOPENPROCESS RealZwOpenProcess;......//為什么可以直接調(diào)用呢？這個函數(shù)是否會調(diào)用內(nèi)核的NtOpenProcess函數(shù)？為什么status = RealZwOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);新手求指點

查看完整描述

1 回答

慕萊塢森

TA貢獻1810條經(jīng)驗獲得超4個贊

typedef定義了一個函數(shù)指針類型REALZWOPENPROCESS，REALZWOPENPROCESS RealZwOpenProcess聲明了一個函數(shù)指針RealZwOpenProcess。你省略掉的部分應該有對RealZwOpenProcess的賦值，RealZwOpenProcess = &FunctionName或者RealZwOpenProcess = FunctionName，否則都沒指向某個函數(shù)，是沒法調(diào)用的。我想，你想所問“直接調(diào)用”是只直接寫的RealZwOpenProcess(...)而不是(* RealZwOpenProcess)(...)，對么？原因是二者等效。因為在C里面，當你用一個函數(shù)指針調(diào)用函數(shù)時，C會自動反引用，也就是說前這會被自動翻譯為后者。至于這個函數(shù)會否調(diào)用內(nèi)核的NtOpenProcess函數(shù)，就得看你賦值給指針RealZwOpenProcess的那個函數(shù)了。

反對回復 2023-03-21