【问题标题】:Kernel APIs or using APIs in the kernel内核 API 或在内核中使用 API
【发布时间】:2017-11-10 06:23:11
【问题描述】:

我想知道是否以及如何访问内核内部的 API 调用。我需要他们对我在用户模式下运行的程序执行几次完整性检查。但我不知道如何访问所需的 API 和函数。

如何获取我的用户模式进程的进程 ID?以及如何访问它的所有内存来执行检查?

PS:我在 Windows XP 机器上。

【问题讨论】:

  • win32 内核、linux 内核、其他内核?
  • 哦,对不起,我有时很愚蠢。这个问题适用于win32内核。很抱歉没有提及(在 windows xp 机器上)

标签: winapi kernel


【解决方案1】:

是的,您可以通过创建内核模式驱动程序然后从内核空间与您的用户模式进程通信来做到这一点。详情可以参考this document

【讨论】:

  • 如果您使用的是带有 Service Pack 3 的 Windows XP,您可以选择过滤器驱动程序(WIN XP SP2 及以下版本不支持过滤器驱动程序)。过滤器驱动程序有点容易理解和实现,但它们有一定的限制(旧版驱动程序没有),但适用于大多数通用调用挂钩。
猜你喜欢
  • 2020-01-22
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2020-07-07
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2021-02-07
相关资源
最近更新 更多