我目前正致力于通过dll注入(inject)Hookntdll.dll调用。首先，我通过CreateRemoteThread()在现有进程中创建线程然后我通过LoadLibrary加载我的dll最后HookPROCESS_ATTACH.注入(inject)工作正常，但我想记录所有注册表和文件系统查询。问题是它无法正常工作。我决定通过PasteBin发布代码，因为代码量很大。链接在这里:http://pastebin.com/39r4Me6B我正在尝试HookZwOpenKey，然后记录关键内容，然后通过指针启动“真实”功能。函数NOpenKey被执行，但进程停止，没有任何错误。有人看到

我有一个基于MFC的应用程序。它会在几秒钟后继续寻找文件(使用基于CreateTimerQueueTimer的计时器)并执行一些操作。这在XP上总是崩溃(原因不明)。此应用程序在Windows7和Windows8上运行良好。但在XP上问题仍然存在。下面是没有显示任何帮助的调用堆栈反汇编截图如下:编辑1:我更改了一些设置并获得了这个新的调用堆栈。但是还是没有得到线索。:我不明白如何找出崩溃的原因。是否有任何提示或任何方式来跟踪它从反汇编中播种？还是系统的NTDLL.DLL文件有问题？欢迎任何帮助。 最佳答案 分析堆栈后，我意识到可能是

所以我有一个汇编代码块，它初始化一个程序，解析kernel32，找到GetProcAddress，然后找到LoadLibarayA来加载User32.dll。它工作到LoadLibraryA为止。它在函数调用中崩溃，但我可以看到调试器中加载了User32.dll。如果我尝试在不同的模块(例如Kernel32.dll)上使用LoadLibraryA，它会返回并成功。如果你想看的话，这里有完整的源代码https://gist.github.com/mojobojo/921a5af897e86bb940a2Exceptionthrownat0x00007FFAFAE8E91C(ntdll.d

ntdll.dll是WindowsXP和WindowsVista的标准配置吗？我知道我的WindowsXP机器上有它，但我不确定这是否是每台机器的标准配置。我很好奇的原因是NTQuerySystemInformation函数可以获取windowsXP和/或WindowsVista系统的CPU使用率。 最佳答案 是的，但是您要使用的函数不会可能不会。根据MSDN，NTQuerySystemInformation在未来的Windows版本中可能会被更改或不可用。你应该使用GetSystemInfo相反，它位于Kernel32.dll中，

我试图逐字节读取加载到我的可执行文件中的ntdll.dll的内存。该可执行文件在我的x64windows7机器上编译为x32可执行文件。我编写了一个名为FindPattern的函数，它接收一个特定的字节数组，并在ntdll.dll模块中查找这个字节数组。我已经在其他模块上检查过这个功能，我确信它工作正常。现在当我在我的ntdll模块上使用这个函数时，它在读取内存ntdll+0x1000时崩溃。我在windbg上检查过这个，windbg也不能读取内存:0:000>dbntdll+FF0L2077df0ff00000000000000000-0000000000000000........

我有WOW64崩溃转储，其中包含调用堆栈信息，例如:0018fb0077c06a8b0018fbc80018ffc40018fc18ntdll_77bc0000!ExecuteHandler2+0x26或喜欢:0018fb0077c06a8b0018fbc80018ffc40018fc18ntdll_772d0000!ExecuteHandler2+0x26ntdll_772d0000好像是一个dll的名字，但是我在C:\Windows\SysWOW64中没有看到，我也很好奇为什么在同一台机器上会有不同的名字，比如ntdll_77bc0000和ntdll_772d0000。谢谢。

我正在编写一个低级记录器函数，它将文本字符串附加到文本(日志)文件的末尾。要求是此函数不应调用来自DLL的任何WinAPI，这些DLL可能尚不可用于该进程——例如当它从DllMain调用时处理程序。换句话说，它不能使用除了保证加载到任何用户模式进程中的库之外的任何库，即kernel32.dll或ntdll.dll.我可以通过CreateFile、WriteFile、CloseHandle、HeapAlloc、HeapFree等均来自kernel32.dll。问题在于格式化输出字符串。例如，我需要添加一些额外的(自动生成的)详细信息，例如当前时间、进程ID、sessionID等。我通常会

我在Windows10计算机上查看了NtDll导出表，发现它导出了标准的C运行时函数，例如memcpy，sprintf，strlen等。这是否意味着我可以在运行时通过LoadLibrary和GetProcAddress动态调用它们？是否可以保证每个Windows版本都适用？如果是这样，可以完全删除C运行时库(仅使用NtDll中的CRT函数)，从而使我的程序更小？ 最佳答案 绝对没有理由调用这些由NtDll导出的未记录的函数。Windows将所有必需的C运行时函数导出为标准系统库(即Kernel32)中记录的包装器。如果您绝对不能链接

我链接到ntdll.lib以使用ZwQueryInformationProcess并使用多线程运行时库。ntdll似乎定义了一些crt函数。因此，当我链接它并使用运行时库时，我会遇到链接器错误。我可以强制链接器使用crt函数并忽略ntdll符号来消除错误吗？或者以其他方式解决此错误。我知道ZwQueryInformationProcess的文档建议动态加载，但它在我的主项目也链接到的静态库中使用，并且这已经运行了很长时间，所以我不想改变它。谢谢。我在其他网站上发现了一些关于此的讨论，例如:http://www.codeguru.com/forum/archive/index.php/t

我正在尝试将我的WindowsPhone8应用程序移植到Windows10。我能够构建我的应用程序。当我尝试在移动模拟器上以Releasex86部署我的应用程序时，它失败并给出以下消息:Symbolsforntdll.dllcouldnotbedownloadedfromMicrosoftSymbolServers.Exceptionstringandcallstacksmaynotworkcorrectly.Makesureyouhavenetworkconnectionandtryagain尽管我试图在Release模式下运行我的应用程序，但我不确定为什么VS-2015会尝试下载这