Windows 2000にこっそり実装されていたNT KERNEL API

内核API函数(Kernel API Functions)

139 NtQueryInformationPort 0x0085     N/A N/A
140 NtQueryInformationProcess 0x0086        
141 NtQueryInformationThread 0x0087     N/A N/A
142 NtQueryInformationToken 0x0088

Windows 2000にNtQueryInformationThread って実装できないかなーと、
中国のこちらのサイト見てて、気づいたんですが、Windows 2000のKERNEL自体には機能が備わっているそうな。
(今まで気付かなかった理由は、このサイト、どうやら書籍から OCRで取り込んだものらしく、 Information が lnformation になっているという!)

 ZwQueryInformationProcess:
          mov    eax,00000086h
          lea    edx,[esp+04h]
          int    2Eh
          retn    0014h
;------------------------------------------------------------------------------
         db    8Bh;   '<'
         db    FFh;   '・
          mov    eax,00000087h
          lea    edx,[esp+04h]
          int    2Eh
          retn    0014h
;------------------------------------------------------------------------------
          Align    4
 ZwQueryInformationToken:
          mov    eax,00000088h
          lea    edx,[esp+04h]
          int    2Eh
          retn    0014h

こちら、逆アセンブル。ほんとだ。存在してる

調べてみるとほかにもいくつか似たような関数があったので列挙してみました

0x12:NtAssignProcessToJobObject
0x22:NtCreateJobObject
0x66:NtOpenJobObject
0x81:NtQueryFullAttributesFile
0x83:NtQuerylnformationJobObject
0x87:NtQuerylnformationThread
0xC3:NtSetInformationJobObject
0xDF:NtTerminateJobObject

ほとんどは JobObject 絡みの関数ですが、これは助かりますね・ω・

おまけ

ZwOpenThread と ZwOpenThreadToken はあるのに
NtOpenThread と NtOpenThreadToken がないことに気づいた・ω・;

Windows 2000にこっそり実装されていたNT KERNEL API

内核API函数(Kernel API Functions)

139 NtQueryInformationPort 0x0085     N/A N/A
140 NtQueryInformationProcess 0x0086        
141 NtQueryInformationThread 0x0087     N/A N/A
142 NtQueryInformationToken 0x0088

Windows 2000にNtQueryInformationThread って実装できないかなーと、
中国のこちらのサイト見てて、気づいたんですが、Windows 2000のKERNEL自体には機能が備わっているそうな。
(今まで気付かなかった理由は、このサイト、どうやら書籍から OCRで取り込んだものらしく、 Information が lnformation になっているという!)

 ZwQueryInformationProcess:
          mov    eax,00000086h
          lea    edx,[esp+04h]
          int    2Eh
          retn    0014h
;------------------------------------------------------------------------------
         db    8Bh;   '<'
         db    FFh;   '・
          mov    eax,00000087h
          lea    edx,[esp+04h]
          int    2Eh
          retn    0014h
;------------------------------------------------------------------------------
          Align    4
 ZwQueryInformationToken:
          mov    eax,00000088h
          lea    edx,[esp+04h]
          int    2Eh
          retn    0014h

こちら、逆アセンブル。ほんとだ。存在してる

調べてみるとほかにもいくつか似たような関数があったので列挙してみました

0x12:NtAssignProcessToJobObject
0x22:NtCreateJobObject
0x66:NtOpenJobObject
0x81:NtQueryFullAttributesFile
0x83:NtQuerylnformationJobObject
0x87:NtQuerylnformationThread
0xC3:NtSetInformationJobObject
0xDF:NtTerminateJobObject

ほとんどは JobObject 絡みの関数ですが、これは助かりますね・ω・

おまけ

ZwOpenThread と ZwOpenThreadToken はあるのに
NtOpenThread と NtOpenThreadToken がないことに気づいた・ω・;

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です