我正在尝试查找不同 windows.h 函数的源代码,但似乎找不到任何内容。我要使用的主要是 WriteProcessMemory() 和 CreateRemoteThread()。
我首先尝试在网上和 github 上查找源代码,但我在那里找不到任何东西。然后我通过 windows.h 尝试找到 WriteProcessMemory(),这将我引向 kernel32.dll,它指向 api-ms-win-core-memory-l1-1-0.dll。由于某种原因,我无法反汇编 api-ms-win-core-memory-l1-1-0.dll,我唯一能看到的是 ds KERNEL32.DLL,据我所知,它引用了 KERNEL32.DLL?所以我然后尝试了 gdb 和一个带有 WriteProcessMemory() 的测试程序,这看起来像是无稽之谈。我只是对如何找到源代码感到困惑。
@RbMm 引领我走向正确的方向。您无需查看 kernel32.dll 和 api-ms-win... 即可找到源代码。我需要查看 ntdll.dll 并找到 NtWriteVirtualMemory() 的位置,然后对其进行反汇编。事实证明,它执行系统调用,如果我想制作自己的版本,那么我需要制作内核模式驱动程序并访问相同的资源(仍在学习该部分)。