Loading... ``` // 函数原型 函数指针 typedef NTSTATUS(NTAPI* FnZwOpenProcess)(PHANDLE,ACCESS_MASK,POBJECT_ATTRIBUTES,PCLIENT_ID); //声明函数 NTKERNELAPI NTSTATUS PsSuspendProcess(PEPROCESS pEProcess); //暂停函数 NTKERNELAPI NTSTATUS PsResumeProcess(PEPROCESS pEProcess); //恢复函数 NTKERNELAPI UCHAR* PsGetProcessImageFileName(__in PEPROCESS Process); //获取进程文件名 NTKERNELAPI HANDLE PsGetProcessInheritedFromUniqueProcessId(IN PEPROCESS Process); NTKERNELAPI PPEB PsGetProcessPeb(PEPROCESS); //从EPROCESS种获取 PEB IOCreateDevice(); // 创建设备对象 IoCreateDeviceSecure(); // 创建带安全符的设备对象 // 符号链接名\\DosDevice\\xxx 或 \\??\\xxx IoCreateSymbolicLink(); // 创建符号链接 IoDeleteSymbolicLink(); // 删除符号链接 IoDeleteDevice(); // 删除设备对象 DeviceIoControl(); // 三环与内核间通讯的函数 ExAllocatePool(); // 申请空间 ExFreePool(); // 释放空间 RTL_CONSTANT_STRING(); // 初始化字符串宏 RtlInitUnicodeString(); // 字符串初始化函数 RtlCompareUnicodeString();// UNICODE_SRING 字符串比较,参数三是否忽略大小写,TRUE是忽 略。 RtlTimeToTimeFields() ; //将系统时间转换为TIME_FIELDS结构。 ZwQueryInformationFile(); // 查询指定文件信息 ZwCreateFile(); // 打开文件 ZwWriteFile(); // 写入文件 ZwReadFile(); // 读取文件 ZwDeleteFile(); // 删除文件 ZwQueryDirectoryFile();// 遍历目录下的所有目录和文件,查询信息 ``` 最后修改:2021 年 03 月 04 日 © 允许规范转载 赞 0 如果觉得我的文章对你有用,请随意赞赏