开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么`RtlGetFullPathName_U`在ntdll.dll和reactos的文档中看起来不一样？

RtlGetFullPathName_U是一个Windows操作系统中的函数，用于获取指定路径的完整路径名。它在ntdll.dll和reactos的文档中看起来不一样的原因是因为它们分别属于不同的操作系统。

ntdll.dll:
- 概念：ntdll.dll是Windows操作系统的核心组件之一，提供了许多系统级函数的实现。
- 分类：ntdll.dll属于Windows操作系统内部的动态链接库（DLL）。
- 优势：ntdll.dll中的函数具有高性能和可靠性，可以直接访问操作系统的底层功能。
- 应用场景：ntdll.dll中的函数被广泛用于Windows系统的开发和维护中，包括系统级应用程序、驱动程序等。
- 腾讯云相关产品：腾讯云提供了一系列与Windows操作系统相关的云产品，如云服务器、云数据库SQL Server版等。这些产品可以帮助用户在云端部署和管理Windows应用程序。

ReactOS:
- 概念：ReactOS是一个开源的操作系统，旨在兼容Windows应用程序和驱动程序。
- 分类：ReactOS是一个独立的操作系统，不同于Windows操作系统。
- 优势：ReactOS的目标是提供一个免费、开源的操作系统，与Windows应用程序和驱动程序的兼容性较高。
- 应用场景：ReactOS可以用作替代Windows操作系统的选择，特别是在需要使用Windows应用程序和驱动程序的环境中。
- 腾讯云相关产品：腾讯云并未提供与ReactOS直接相关的产品，但可以通过腾讯云的云服务器等基础设施产品来支持ReactOS的部署和运行。

需要注意的是，由于本次要求不能提及亚马逊AWS、Azure、阿里云、华为云、天翼云、GoDaddy、Namecheap、Google等流行的云计算品牌商，因此无法给出与腾讯云相关的产品介绍链接地址。

相关搜索:为什么它在chrome (只在windows上)和firefox中看起来不一样？我的网站在Firefox和Chrome中看起来不一样为什么我的界面在浏览器和google设备工具栏中看起来不一样？是什么让我的代码在Safari中看起来不一样？ConstraintWidth_percent在设计选项卡和实践中看起来都不一样 Windows窗体在Powershell和Powershell ISE中看起来有所不同.为什么？为什么我的图标在VSTO插件中看起来很模糊？为什么像"ç“这样的字符看起来和其他字符不一样？为什么我在Kivymd中的rgb颜色看起来和真正的颜色不一样？为什么我的PrimeFaces应用程序看起来和showcase不一样？为什么我的数字在React中看起来像是一个对象？为什么dp，px，mm在不同的android手机上看起来不一样 VB.NET为什么我的控件在VS19中看起来老了？为什么iOS safari浏览器中的填充和边距看起来不一样？为什么我的Qt应用程序在使用NoMachine时看起来不一样相同的数据在时间序列折线图和条形图中看起来不同为什么我的手机浏览器看起来和pcs的开发者工具不一样为什么在我的全局节点模块列表中看不到Node和Yarn？为什么我的网页在调整浏览器窗口大小时和在移动设备上看起来不一样？为什么在x和y轴列选择之间使用~，而不是在R文档中看到的plot(x，y，xlab，ylab)中使用传统的plot(x，y)？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

不能装 X

我把这段经历以及如何求职客户端软件开发职位的经历和总结放在这里： https://www.zhihu.com/lives/909740192015998976 一、为什么大多数人学 Windows 编程感觉这么枯燥或者痛苦...虽然古怪的匈牙利命名法（下文将介绍）让 Windows 程序看起来有点“中世纪风格”，但另一方面增加了 Windows 程序的可读性和可理解性，后来者不断模仿。...当我们在代码中看到这样的变量时我们无需查看其类型定义。虽然有人说这种命名法已经过时，在后来的很多系统设计上，很多地方可以看到匈牙利命名法。...这种命名法虽然看起来很拖沓，但是表达意思却是非常清晰，尤其是在阅读别人的项目代码或者维护一些旧的项目时，别人能读懂是其他工作的前提。...ReactOS 号称开源的 Windows，其开发团队不仅保持对外的操作系统 API 与官方 Windows 一模一样（名称和特性均一样），同时内核实现也力求和官方 Windows 一模一样。

1.2K2 0

64位内核映射DLL获取Zw函数调用功能号

其实API很简单.只需要查下文档即可使用而且在Ring3下也有与之对应的API....那么映射的DLL相当于内存中已经有了DLL数据了. 我们只需要解析导出表即可. 我们映射的DLL是ntdll.dll 所以我们要寻找的函数也是 ntdll.dll下的Zw导出函数....而我们的主题是获取Zw功能调用号. 我们获取Zw功能调用号其实就是想在SSDT(64位)表中查找对应的导出函数. 所以这一步我们在Ring3做也可以....然后去他的Ntdll.dll中随便找一个Zw函数. 比如我找的ZwReadFile. 那么观看其反汇编则如下: 可以看到我们想要获取的功能号位6 但是每个系统是不一样的....所以我们必须先获取ZwReadFile的函数地址. 获取到它的地址后再按照 char *来解析这个地址. 在64位下 *((CHAR*)pfnAddress + 4) 则是要获取的功能号.

6352 0

总结到目前为止发现的所有EDR绕过方法

在勒索软件和APT事件充斥的时代，检测这些攻击的重要性变得越来越重要。...近年来，在我个人看来，已添加了越来越重要的组件-“端点检测和响应-EDR”系统或功能。这些EDR系统的功能包括实时监视端点，数据分析，威胁检测和阻止以及威胁搜寻功能。...NTDLL.dll不是Win32 API的一部分，也没有正式的文档。...听起来很复杂。使用此技术也有一些缺点：每当发布较新的Windows版本时，您的二进制文件将不再起作用。那是因为每个功能的汇编代码必须再次更改。...我在摆弄所有需要的所有NTDLL.dll函数，例如NtOpenProcess，NtAllocateVirtualMemory，NtWriteVirtualMemory和CreateThreadEx，但不幸的是无法成功使我的

9.4K3 1

DllMain中不当操作导致死锁问题的分析--导致DllMain中死锁的关键隐藏因子

有了前面两节的基础，我们现在切入正题：研究下DllMain为什么会因为不当操作导致死锁的问题。首先我们看一段比较经典的“DllMain中死锁”代码。...这样从逻辑和效率上看，都不会因为我们的工作线程写的有问题而导致死锁。然后我们在DllMain中等待这个线程结束才从返回。粗略看这个问题，我们很难看出这个逻辑会导致死锁。..._RtlAllocateHeap@12() + 0x9b48 bytes 我们看到倒数两步（5、6）和主线程中最后两步（16、17）是相同的，即工作线程也是在进入内核态后死锁的。...正如其名，该字段指向的是TIB结构体在进程空间中的虚拟地址。为什么要指向自己？那我们是否可以直接使用FS:[0]地址？不可以。举个例子：我用windbg挂载到我电脑上一个运行中的calc（计算器）。...在该文中多处对这个锁的说明值暗示这个锁是PEB中的LoaderLock。那么刚才为什么要*(_DWORD *)(v4 + 0xa0) = &LdrpLoaderLock;?

1.5K2 0

深入解析 DLL 劫持漏洞

攻击者可以把恶意的DLL文件和目标文件（如WORD文档）打包在一起，如果受害者进行解压操作，恶意DLL和目标文件就会位于同一个目录，攻击者可以十分方便的实施DLL劫持。...2.2 针对文件关联的DLL劫持在Windows下，我们平时使用的各种文件（如MP3音乐、DOC文档、PDF文档、MKV视频等）都有一个与之关联的默认处理软件。...通过 iframe 可以触发 Microsoft Edge 和 Google Chrome 的自动下载功能，这一特性被 @HaifeiLi 认为是一个安全漏洞，其在Twitter上发表了很多关于该漏洞的推文...，甚至抱怨Chrome和Edge团队忽视这个漏洞的存在。...Greg Linares 在 SRT-VR-24DEC2015 中指出 Windows10 的 URLMON.dll 中存在两处加载 phoneinfo.dll 的地方，可能是DLL文件的版本不一样，笔者找到的代码与之存在一些细微差异

3.4K0 0

CC++开发人员要了解的几大著名CC++开源库

这两个浏览器面向的用户是不一样的，一般来说使用Chrome的用户是普通用户，用它来浏览网页使用，而使用Chromium大部分是极客、开发人员和体验新功能的的用户。.../125135667 6、开源操作系统ReactOS ReactOS是一款基于 Windows NT 架构的类似于Windows XP系统的免费开源操作系统，旨在实现和 NT 与 Windows 操作系统二进制下的完全应用程序和驱动设备的兼容性...ReactOS一直在持续维护中，可以到ReactOS官网上找到ReactOS源码的下载地址，使用svn将ReactOS源码下载下来。...我们在项目中多次参考ReactOS的代码，解决了开发过程中遇到的多个问题，具体实例可以参考下面的文章：通过查看ReactOS开源代码，解决完整路径dll加载失败问题（附源码） https://blog.csdn.net...在Windows和Linux上的VLC是使用C++/Qt编写的，提供了一致的用户体验。

3.6K2 1

软件调试详解

前言在windows里面调试跟异常息息相关，如果想要对调试得心应手，异常处理的知识是必不可少的，本文主要介绍的是软件调试方面的有关知识，讲解调试程序和被调试程序之间如何建立联系调试对象调试器和被调试程序...跟到ntdll.dll里面的DbgUiDebugActiveProcess，传入两个参数，分别为调试器的句柄和被调试进程的句柄通过调用号进0环来到0环的NtDebugActiveProcess...，执行完之后eax存储的就是被调试进程的EPROCESS 这里判断调试器打开的进程是否是自己，如果是自己则直接退出也不能调试系统初始化的进程然后获取调试对象的地址，之前是句柄，但是句柄在0环里面是无效的...，将调试对象和被调试进程关联起来跟进函数，发现有判断DebugPort是否为0的操作，ebx为0，edi为被调试进程的EPROCESS，那么edi+0bc就是调试端口然后再把调试对象的句柄放到被调试对象的...ULONG Flags; //+38 标志调试消息是否已读取 } DEBUG_OBJECT, *PDEBUG_OBJECT; 调试事件的处理因为每种事件的调试信息不一样，所以会有很多种类(

5730 0

软件调试详解

，讲解调试程序和被调试程序之间如何建立联系调试对象调试器和被调试程序调试器与被调试程序之间建立起联系的两种方式 CreateProcess DebugActiveProcess 与调试器建立连接...跟到ntdll.dll里面的DbgUiDebugActiveProcess，传入两个参数，分别为调试器的句柄和被调试进程的句柄通过调用号进0环来到0环的NtDebugActiveProcess...，执行完之后eax存储的就是被调试进程的EPROCESS 这里判断调试器打开的进程是否是自己，如果是自己则直接退出也不能调试系统初始化的进程然后获取调试对象的地址，之前是句柄，但是句柄在0环里面是无效的...，将调试对象和被调试进程关联起来跟进函数，发现有判断DebugPort是否为0的操作，ebx为0，edi为被调试进程的EPROCESS，那么edi+0bc就是调试端口然后再把调试对象的句柄放到被调试对象的...ULONG Flags; //+38 标志调试消息是否已读取 } DEBUG_OBJECT, *PDEBUG_OBJECT; 调试事件的处理因为每种事件的调试信息不一样，所以会有很多种类

6761 0

edr对抗技术1-api unhook output

将 ntdll.dll 的新副本从磁盘映射到进程内存查找被 hook 的 ntdll.dll的 .text 部分的虚拟地址获取ntdll.dll基址模块基址 + 模块的 .text 段 VirtualAddress...查找新映射ntdll.dll的 .text 段的虚拟地址获取被 hook 的 ntdll .text 段的内存写的权限将新映射的ntdll.dll的 .text 段覆盖到被 hook 的 ntdll...base address : 0x%p\n", ntdllBase); 我们传递要定位其基地址的DLL的名称（在本例中为ntdll.DLL），函数返回其基地址。...做不到，因为这个线程是在我的main函数之前被创建的。走到main的时候，这个线程就结束了。应该是对我们起来的程序代码段检测的。所以加一下壳子，自己写的壳子，杀软就可能看不到了？...hook的完全不一样了绕过冰盾hook代码参考PE文件映射unhook 0x04 参考 https://xz.aliyun.com/t/14310

6351 0

一种注册表沙箱的思路、实现——研究Reactos中注册表函数的实现2

上一篇博文中主要介绍了Reactos中大部分函数的思路和HKEY和HANDLE之间的关系，本文将介绍一些Reactos中有意思的函数和存在bug的函数。...User下创建键3，然后在3键下创建键2，最后在2键下创建键1。...这个方法的优点是简单。但是Reactos实现的思路却不是这样的。我列一下我改写的该函数。...如果不是返回STATUS_OBJECT_NAME_NOT_FOUND，则说明要创建的路径上的键的父键是存在的，直接返回创建的结果；否则说明父键就不存在，得依赖之后的步骤将父键创建起来。...在我们的例子中，就是创建\Regsitry\User\3\2。

5474 0

构建API调用框架绕过杀软hook

我们知道杀软在API函数的监控上一般有两种手段，一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API，另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。...ntdll.dll的NtOpenProcess 这里在ntdll.dll里面定位到NtOpenProcess，这里使用7A的调用号，通过call dword ptr [edx]即sysenter进入0...段权限检查 CPU权限等级划分如下，在windows里面ring0和ring3使用得较多如何查看程序处于几环？...DPL = 0 数据段的权限检查： CPL 的比较) 注意：代码段和系统段描述符中的检查方式并不一样总结： •CPL CPU当前的权限级别 •DPL...如果你想访问我，你应该具备什么样的权限 •RPL 用什么权限去访问一个段那么为什么会有RPL的存在呢?

1.1K6 1

Shellcode 技术

ETW 在内核中有组件，主要是为系统调用和其他内核操作注册回调，但也包含一个用户态组件，它是ntdll.dll（ETW 深度潜水和攻击向量）的一部分。...由于ntdll.dll是一个 DLL 加载到我们的二进制进程中，我们可以完全控制这个 DLL 和 ETW 功能。...我们在中获取它的地址ntdll.dll，并将它的第一条指令替换为返回 0 ( SUCCESS) 的指令。...EDR 解决方案确保它们的 DLL 在不久之后加载，这ntdll.dll在我们自己的代码执行之前将所有钩子放置在加载中。...关于反射 DLL 加载器的工作原理有很多书面解释，Stephen Fewer 的代码也有很好的文档记录，但简而言之，反射加载器执行以下操作： kernel32.dll将地址解析为加载 DLL 所需的必要

1.6K2 0

Windows的APC机制

漫谈兼容内核之十二: Windows的APC机制毛德操前两篇漫谈中讲到，除ntdll.dll外，在启动一个新进程运行时，PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk...ReactOS代码中对这个数据结构的定义带有逆向工程的痕迹，每一行后面的十六进制数值就是相应结构成分在数据结构中的位移。...LdrpGetSystemDllApcDispatcher()只是返回一个(内核)全局量SystemDllApcDispatcher的值，这个值是个函数指针，指向ntdll.dll中的一个函数，是在映射...要启动一个EXE映像运行时，首先要创建进程，再把目标EXE映像和ntdll.dll的映像都映射到新进程的用户空间，然后通过系统调用NtCreateThread()创建这个进程的第一个线程、或称“主线程”...); } 前面已经讲到，全局量SystemDllEntryPoint是在LdrpMapSystemDll()时得到设置的，指向已经映射到用户空间的ntdll.dll映像中的LdrInitializeThunk

2.6K3 0

构建API调用框架绕过杀软hook

这里去导出模块看一下调用了ntdll.dll的NtOpenProcess 这里在ntdll.dll里面定位到NtOpenProcess，这里使用7A的调用号，通过call dword ptr [edx...段权限检查 CPU权限等级划分如下，在windows里面ring0和ring3使用得较多如何查看程序处于几环？...ax 指向的是同一个段描述符,但RPL是不一样的数据段权限检查举例比如当前程序处于0环，也就是说CPL=0 Mov ax,000B //1011 RPL = 3 Mov ds,ax //ax指向的段描述符的...DPL = 0 数据段的权限检查： CPL 的比较) 注意：代码段和系统段描述符中的检查方式并不一样总结： CPL CPU当前的权限级别 DPL 如果你想访问我...，你应该具备什么样的权限 RPL 用什么权限去访问一个段那么为什么会有RPL的存在呢?

5452 0

记微信截图导致 WPF 应用卡住窗口无法激活问题

本文记录一位用户和我反馈的微信截图开启之后 WPF 应用就会卡住的问题，此时的行为就是任何程序的窗口都无法被激活，只有从任务管理器干掉 WPF 应用的进程才能恢复我拿了 WPF 应用的堆栈信息如下，看起来是卡在...UXTheme.dll 上，但是不知道里面在执行什么逻辑 > user32.dll!...___fnDWORD@4() ntdll.dll!...7728013a() [下面的框架可能不正确和/或缺失，没有为 ntdll.dll 加载符号] [托管到本机的转换] WindowsBase.dll!...765a344d() ntdll.dll!772a9802() ntdll.dll!772a97d5() 换成 QQ 截图没有能够复现问题，期待后续腾讯的伙伴能够帮忙修复

1271 0

那些做客户端 CC++ 开发的同学，现在怎么样了？

虽然古怪的匈牙利命名法（下文将介绍）让 Windows 程序看起来有点“中世纪风格”，但另一方面增加了 Windows 程序的可读性和可理解性，后来者不断模仿。...当我们在代码中看到这样的变量时我们无需查看其类型定义。虽然有人说这种命名法已经过时，在后来的很多系统设计上，很多地方可以看到匈牙利命名法。...这种命名法虽然看起来很拖沓，但是表达意思却是非常清晰，尤其是在阅读别人的项目代码或者维护一些旧的项目时，别人能读懂是其他工作的前提。...ReactOS 号称开源的 Windows，其开发团队不仅保持对外的操作系统 API 与官方 Windows 一模一样（名称和特性均一样），同时内核实现也力求和官方 Windows 一模一样。...ReactOS 官网地址：Front Page，《Windows 内核情景分析》（分为上下两册）一书通过 ReactOS 的源代码详细地介绍了 Windows 的各种内核实现机制，非常好的书，给大家推荐一下

4.5K2 0

驱动开发：WinDBG 常用调试命令总结

Windbg是Microsoft公司免费调试器调试集合中的GUI的调试器，支持Source和Assembly两种模式的调试。Windbg不仅可以调试应用程序，还可以进行Kernel Debug。...结合Microsoft的Symbol Server，可以获取系统符号文件，便于应用程序和内核的调试。Windbg支持的平台包括X86、IA64、AMD64。...ntdll // 查看ntdll.dll的详细信息 0:000> !...dlls -c ntdll.dll // 列出特定模块头信息 0:000> !dlls -s -c ntdll.dll // 列出ntdll.dll的节区 0:000> !...=6 // 对寄存器eax赋值为5，edx赋值为6 g // Go 让程序跑起来 p // 单步执行(F10) p 2 // 2为步进数目 pc // 执行到下一个函数调用处停下 pa

9232 0

bypass Bitdefender

渗透时,可能会遇到各种各样的的杀软,但每个杀软特性不同,在绕过前,往往都需要分析,本文就Bitdefender进行分析最近在研究如何免杀,写了一个马,火绒 360 成功绕过(图有点少,当时没存,火绒测试是用的同学的物理机...,动态获取NtWriteVirtualMemory的地址并unhook HMODULE hNtdll = LoadLibrary(L"ntdll.dll"); LPVOID NtWriteVirtualMemory_Address...\n"); } 看看效果 [image.png] 也已经恢复为原来的硬编码直接运行试试,应该是可以了,但是运行发现还是被拦截了 [image.png] 很难受，但是我发现这里报的毒已经跟之前的不一样了...[image.png] 我一开始以为是动态扫描出我的马,但我发现Bitdefender的反应很快,我想到卡巴斯基,马可以上线大概5秒,毕竟扫描也需要时间,但为什么这里一瞬间就挂了,我猜想是Bitdefender...[image.png] [image.png] 我又重新使用http的beacon的payload测试一下,直接给我杀了 [image.png] 总结一下这几天绕过杀软的心得: 国产的杀软先不说了,卡巴斯基我在分析的时候发现他似乎并没有

7374 0

恶意软件开发——突破SESSION 0 隔离的远线程注入

一、前言在Windows XP，Windows Server 2003以及更早的版本中，第一个登录的用户以及Windows的所有服务都运行在Session 0上，这样的做法导致用户使用的应用程序可能会利用...和传统的CreateRemoteThread函数实现的DLL远线程注入的唯一一个区别就是,我们调用的是更为底层的ZwCreateThreadEx来创建线程, 虽然CreateRemoteThread函数到底层也是调用...三、代码实现 ZwCreateThreadEx在 ntdll.dll 中并没有声明，所以我们需要使用 GetProcAddress 从 ntdll.dll 中获取该函数的导出地址。...我们需要注意的是64位和32位中,函数定义还不一样。...Desktop\\Injection2\\a.dll"; //DLL路径 HANDLE hRemoteThread; HMODULE hNtModule = GetModuleHandleA("ntdll.dll

7152 0

Windows应用程序是如何在国产系统上运行的

因此，应用程序代码需要一种“中断”自身并将控制权交给内核的方法（此操作通常称为上下文切换）。让问题变得棘手的原因在与，各操作系统提供的系统调用是不一样的。...应用程序只需调用一个函数，其余部分由库处理：看到这里，很多朋友可能会想到一个方案，在 Linux 下重新实现 ntdll.dll，它是进入内核的“网关”，来个截胡不就可以了？...Wine 确实提供了它的自定义实现。在 Wine 的最新版本中，它由两部分组成：ntdll.dll（这是一个 PE 库）和 ntdll.so（这是一个 ELF 库）。...因此，在执行系统调用时，使用 Wine 运行的进程的调用堆栈如下所示：看起来，又一难题得到完美解决。问题是 .........，只能通过公开的文档，但是这些 API 的文档并不那么全。

811 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭