NtSaveKey
0xB6
NtSignalAndWaitForSingleObject
NtSaveMergedKeys
0xB7
NtStartProfile
NtSecureConnectPort
0xB8
NtStopProfile
NtSetloCompletion
0xB9
NtSuspendThread
NtSetContextThread
0xBA
NtSystemDebugControl
NtSetDefaultHardErrorPort
0xBB
NtTerminateProcess
NtSetDefaultLocale
0xBC
NtTerminateThread
NtSetDefaultUILanguage
0xBD
NtTestAlert
NtSetEaFile
0xBE
NtUnloadDriver
NtSetEvent
0xBF
NtUnloadKey
NtSetHighEventPair
0xC0
NtUnlockFile
NtSetHighWaitLowEventPair
0xC1
NtUnlockVirtualMemory
NtSetlnformationFile
0xC2
NtUnmapViewOfSection
NtSetlnformationJobObject
0xC3
NtVdmControl
NtSetlnformationKey
0xC4
NtWaitForMultipleObjects
NtSetlnformationObject
0xC5
NtWaitForSingleObject
NtSetlnformationProcess
0xC6
NtWaitHighEventPair
NtSetlnformationThread
0xC7
NtWaitLowEventPair
NtSetlnformationToken
0xC8
NtWriteFile
NtSetlntervalProfile
0xC9
NtWriteFileGather
NtSetLdtEntries
0xCA
NtWriteRequestData
NtSetLowEventPair
0xCB
NtWriteVirtualMemory
NtSetLowWaitHighEventPair
0xCC
NtCreateChannel
NtSetQuotalnformationFile
0xCD
NtListenChannel
NtSetSecurity O b j ect
0xCE
NtOpenChannel
NtSetSystemEnvironment Value
0xCF
NtReplyWaitSendChannel
NtSetSystemlnformation
0xD0
NtSendWaitReplyChannel
NtSetSystemPowerSrate
0xD1
NtSetContextChannel
NtSetSystemTime
0xD2
NtYieldExecution
NtSetThreadExecutionState
0xD3
N/A
NtSetTimer
0xD4
N/A
NtSetTimerResolution
0xD5
N/A
NtSetUuidSeed
0xD6
N/A
NtSetValueKey
0xD7
N/A
NtSetVolumelnformationFile
0xD8
N/A
NtShutdownSystem
0xD9
N/A
NtSignalAndWaitForSingleObject
0xDA
N/A
NtStartProfile
0xDB
N/A
NtStopProfile
0xDC
N/A
NtSuspendThread
0xDD
N/A
NtSystemDebugControl
0xDE
N/A
NtTerminateJobObject
0xDF
N/A
NtTerminateProcess
0xE0
N/A
NtTerminateThread
0xE1
N/A
NtTestAlert
0xE2
N/A
NtUnloadDriver
0xE3
N/A
NtUnloadKey
0xE4
N/A
NtUnlockFile
0xE5
N/A
NtUnlockVirtualMemory
0xE6
N/A
NtUnmapViewOfSection
0xE7
N/A
NtVdmControl
0xE8
N/A
NtWaitForMultipleObjects
0xE9
N/A
NtWaitForSingleObject
0xEA
N/A
NtWaitHighEventPair
0xEB
N/A
NtWaitLowEventPair
0xEC
N/A
NtWriteFile
0xED
N/A
NtWriteFileGather
0xEE
N/A
NtWriteRequestData
0xEF
N/A
NtWriteVirtualMemory
0xF0
N/A
NtCreateChannel
0xF1
N/A
NtListenChannel
0xF2
N/A
NtOpenChannel
0xF3
N/A
NtReplyWaitSendChannel
0xF4
N/A
NtSendWaitReplyChannel
0xF5
N/A
NtSetContextChannel
0xF6
N/A
NtYieldExecution
0xF7
N/A
Russinoich和Cogewell采用的最重要的一步是：編寫一個(gè)內(nèi)核模式的設(shè)備驅(qū)動程序來安裝和維護(hù)Native API Hook 。因?yàn)椋脩裟Ｊ较碌哪K沒有修改系統(tǒng)服務(wù)描述符表的權(quán)限 。就像第四章中的Spy驅(qū)動程序，這是一種多少有些特殊的驅(qū)動程序，因?yàn)樗惶幚硗ǔ５腎/O請求 。它只是導(dǎo)出一個(gè)簡單的設(shè)備I/O控制（IOCTL）接口，以讓用戶模式下的代碼訪問它收集到的數(shù)據(jù) 。該驅(qū)動程序的主要任務(wù)是修改KiServiceTable、攔截并記錄所選的Windows 2000 Native API調(diào)用 。盡管這種方法很簡單而且優(yōu)雅，它還是有些讓人擔(dān)心 。它的簡單使我想起了在DOS時(shí)代，hook一個(gè)系統(tǒng)服務(wù)只需要簡單的修改處理器的中斷向量表中的指針 。任何知道如何編寫基本的Windows 2000內(nèi)核驅(qū)動程序的人都可以hook任意的NT系統(tǒng)服務(wù)而不需要而外的努力 。

推薦閱讀

• 

  安置房能收房產(chǎn)稅嗎
• 

  BIOS清空重置的三種方法
• 

  風(fēng)暴潮根據(jù)風(fēng)暴性質(zhì)分為什么
• 

  六孔低邦帆布鞋個(gè)性鞋帶系法 帆布鞋鞋帶系法低幫6孔
• 

  大循環(huán)和小循環(huán)分別指什么
• 

  江水泱泱先生之風(fēng)山高水長的意思
• 

  中考完多長畢業(yè)典禮
• 

  家里適合養(yǎng)些什么寵物？
• 

  百度夜間模式怎么打開
• 

  怎么種植火龍果小苗
• 

  岳陽本田二手踏板摩托，岳陽那里有二手摩托車買
• 

  2018唐山房價(jià)多少,2018年唐山房價(jià)怎么走
• 

  深水龜一直都是在水里嗎
• 

  怎么免費(fèi)申請手機(jī)靚號 免費(fèi)手機(jī)靚號出售
• 

  特價(jià)出售用英語
• 

  我來分享12306如何換手機(jī)號

• 古詩小松拼音版 古詩小松杜荀鶴拼音
• 1 《Undocumented Windows 2000 Secrets》翻譯 --- 2
• 圣斗士里的教皇
• 交房需要帶什么手續(xù)
• 在Windows NT域和Windows 2000域之間建立信任關(guān)系
• 移花接木 解決Windows 2000無法啟動的問題
• 使用命令行參數(shù)為系統(tǒng)打補(bǔ)丁
• 生子文勛鹿古風(fēng)重生
• 克隆windows 2000管理員帳號
• Windows 2000 優(yōu)化完全攻略