问题标签 [nt-native-api]

我正在构建一个驱动程序，我想读取一些文件。有什么方法可以使用“ZwReadFile()”或类似的函数逐行读取文件的内容，以便我可以循环处理它们。

MSDN 中的文档指出：- ZwReadFile 开始从给定的 ByteOffset 或当前文件位置读取到给定的 Buffer 中。它在以下条件之一终止读取操作：

1. 缓冲区已满，因为已读取 Length 参数指定的字节数。因此，在没有溢出的情况下，不能再将数据放入缓冲区。
2. 在读取操作期间到达文件末尾，因此文件中没有更多数据要传输到缓冲区中。

谢谢。

显然，EASEUS Partition Master程序可以在 Windows GUI 启动之前显示图形 （即，它与 CheckDisk 在启动时运行的同时运行）。

我已经知道的：

1. 这可能需要记录不充分的函数。这对我来说没问题。

2. 我已经知道如何编译本机 NT 可执行文件，因此请随意从响应中省略它。

问题：

1. 如何在一切启动之前显示图形？（即您使用什么功能/库？）

2. 它如何在屏幕上显示格式化和对齐的文本？
   我知道NtDisplayString它能够写文本，但它不能以格式化的方式绘制东西，如下所示。您使用什么功能来复制以下行为？

我想使用以下原生 API：

是否可以从托管 C# 代码中挂钩这些 API？如果是这样，有人可以提供一个如何做到这一点的例子吗？

《Windows NT/2000 Native API Reference 》一书提供了未记录的（由 Microsoft 提供的）Native API 的综合文档（即使已过时）。但我很好奇，有没有找到在 ntdll.dll 中声明的低级函数与 kernel32.dll、advapi.dll 等中的用户模式函数之间的映射。

例如：

我知道函数CreateFile映射到NtCreateFile. MoveFileWithProgressW但是对于kernel32.dll中的函数，我不知道 ntdll.dll 中的确切函数

有没有办法列出Win32 Device Namespaces（UNC 路径前缀：）\\.\和Win32 File Namespaces（UNC 路径前缀：）的内容\\?\？

目标是拥有一个适合作为命令行⁽¹⁾工具的应用程序，该工具可以使用 UNC（通用命名约定）对其进行导航。是否已经为此编写了工具？我知道 WinObj 但这不是开源和 GUI 工具。

同样，如何列出 ? 下可用的命名空间NT namespace？

是否有处理这些的 Windows API 调用？ 正如Hans Passant和Roger Lipscombe在评论中指出的那样， 更新 2 WinApi 不适合于此，NT Native API是。

更新 1如果它们没有被 winapi 公开，WinObj如何列出它们？

参考：http: //msdn.microsoft.com/en-us/library/aa365247%28VS.85%29.aspx#paths

(1): Win32 控制台

I am analyzing an executable based on its execution trace. I have obtained the execution trace using NtTrace tool. The output is a sequence of native api calls with arguments. I have managed to interpret most of the API calls except the following ones:

In NtQueryKey, how can I map the KeyHandle=0x46a to an actual registry key. Further, in NtDeviceIoControlFile based on IoControlCode=0x00012017 is it possible to find whether it is a TCP_RECV, TCP_SEND, etc...

Thank you.

我正在开发 iOS 本机应用程序以从 salesforce 获取附件。

我必须在我的 iPhone 应用程序中为特定对象（如线索、联系人等）显示销售人员附件。为此，我正在使用Rest Api并获得响应正文。但在响应正文中有 url 但我想要附件正文的二进制数据。

这是我的代码：

我的休息 api 请求

我得到以下格式的正文响应：

1. How can i get HANDLE to the memory region or mapped file ?
2. What actually HANDLE is ?

Please do not answer like this :

A handle is an abstract reference to some resourc,e provided to you by another party (usually the OS), that you can hand back to reference that resource.

I'm interested in technical side

我有一个应用程序，我只能使用NtCreateKey/ZwCreateKey函数。（例如在驱动程序中）还有另一个我无法控制的应用程序在 WOW64 下运行，它从这个注册表项中读取一个值。

我想设置注册表值，以便该应用程序可以找到它。但是，WOW64 是在kernel32- 所以我不能KEY_WOW64_32KEY像使用RegOpenKeyEx.

最简单的方法似乎是包含Wow6432Node在传递给的路径中ZwCreateKey，但MSDN 不鼓励这样做：

WOW64 定义以下符号链接仅是为了与可能使用硬编码注册表项路径的现有应用程序兼容，其中包含Wow6432Node. 新应用程序应避免在注册表项路径中使用 Wow6432Node。

这似乎让我陷入了困境……如何将数据放在 32 位注册表视图中？MSDN 语言说“避免”——这Wow6432Node是无法避免的情况吗？

NtCreateSymbolicLinkObject在 Windows 对象管理器中创建一个对象（您可以使用 System Internals 中的 WinObj 实用程序查看此类链接）。

删除符号链接对象的正确方法是什么？我注意到NtOpenSymbolicLinkObject可以DELETE在ACCESS_MASK（仅限第 16 位）中指定删除访问权限，但我需要知道的是如何实际进行删除？