【发布时间】:2012-04-13 08:37:02
【问题描述】:
我需要从内核模式进程中调用 ntdll.dll 函数(例如 ZwCreateThread,不是由内核导出的)。但 ntdll.dll 它是用户模式模块。我该怎么办?
【问题讨论】:
标签: windows-7 kernel call 64-bit
【发布时间】:2012-04-13 08:37:02
【问题描述】:
一般来说这是不可能的。 DLL 不能在内核模式下使用。
您必须搜索该函数的内核模式等效项。对于 ZwCreateThread,它是 PsCreateSystemThread。
【讨论】:
-
大多数 NTDLL 函数在 NTOSKRNL 中都有一个对应的同名内核模式函数。请注意 Nt* 与 Zw* 之间的区别(大多数情况下您想使用 Zw*)。