Windows
不一定全是DLL类型的,涉及内核的可能是EXE或者SYS类型的,把它们统称为PE文件(PE格式 - Win32应用程序)就可以了。其调用流程通常如下:对于最后的那个问题,直接使用操作系统提供的系统调用API的情况,这取决于如何定义系统调用。如果是直接调用kernel32提供的API(例如CreateFile、CreateThread等),那么使用
Windows SDK编写代码就可以了。要是native层的调用,比较简便的方法是利用从Process Hacker逆向得到的phnt头文件(GitHub - winsiderss/phnt: 用于System Informer项目的原生API头文件),再结合Fyyre的程序(GitHub - Fyyre/ntdll: ntdll.h - 与MSVC 6.0、Intel
C++编译器和MinGW兼容,可完全替代
Windows.h)来创建一个ntdll.lib进行链接。这方面中文资料相对较少,可以参考Pavel所著的
Windows Native API Programming。整个流程包含较多细节,可以从几个参考资料中挑选自己感兴趣的去看一看:
