我正在尝试调用内部 Windows NT API 函数 NtOpenProcess。我知道调用内部 API 可能是个坏主意,但是对于这个特定的工具,我需要这个 API 提供的低级访问。
我的问题是要使用这样的内部 API,我需要使用 Runtime Dynamic Linking,如本文所述
为此,我需要定义一个指向 NtOpenProcess 的函数指针。这是我的声明:
typedef NTSTATUS (NTAPI *_NtOpenProcess) (
OUT PHANDLE,
IN ACCESS_MASK,
IN POBJECT_ATTRIBUTES,
IN PCLIENT_ID OPTIONAL);
class procManager
{
HINSTANCE hNTDLL;
public:
procManager()
{
hNTDLL = LoadLibrary(L"ntdll.dll");
if (!hNTDLL)
throw std::runtime_error("NTDLL.DLL failure.");
_NtOpenProcess NtOpenProcess;
NtOpenProcess = reinterpret_cast <_NtOpenProcess> (GetProcAddress(hNTDLL, L"NtOpenProcess"));
if (!NtOpenProcess)
throw std::runtime_error("NtOpenProcess not found.");
//Use NTOpenProcess for stuff here
};
~procManager()
{
FreeLibrary(hNTDLL);
};
};
问题是,显然我上面的 typedef 有一个错误。编译器返回:
错误 C2059:语法错误:'__stdcall'
我使用了我的 IDE (Visual Studio 2008) 的方便的花花公子“转到定义”功能,发现声明中的 NTAPI 被定义为 __stdcall。
不幸的是,从我的声明中删除了 NTAPI,使其成为:
typedef NTSTATUS (*_NtOpenProcess) (
OUT PHANDLE,
IN ACCESS_MASK,
IN POBJECT_ATTRIBUTES,
IN PCLIENT_ID OPTIONAL);
导致另一个错误:
错误 C2065:“_NtOpenProcess”:未声明的标识符
在这一点上,我说“当然它是未定义的,这就是为什么它是 typedef!”
有人在声明中看到我的错误吗?