Có đi đâu, đi đằng nào đi nữa thì kernel32 và ntdll.dll cũng phải được Win load lên. Không có các API của nó thì chạy bằng cái gì. 

Native thì cũng là các API trong ntdll và kernel32 export ra mà ra thôi Nói chung thì cuối cùng cũng chỉ có cách ẩn đi các thư viện thôi, chứ không có cách nào mà làm cho nó không gọi thư viện được hết ^^  

Thank bạn n2tforever, mình không nghĩ đến việc dùng ntoskrnl.exe là khả thi, vì theo mình được biết thì ntoskrnl đâu export ra địa chỉ nào đâu, mà việc gọi qua sysenter thì như là bị hệ điều hành nó cấm rồi hay sao đó mà ! Nhưng qua gợi ý của bạn và tìm hiểu một số thông tin thì mình tìm được một số nguồn tài liệu này, có lẽ sẽ có ích cho ai đó

http://alter.org.ua/docs/nt_kernel/procaddr/
http://alter.org.ua/soft/nt_kernel/crossnt/
http://netcode.cz/img/83/nativeapi.html
http://zenwinx.sourceforge.net/doxy-doc/html/index.html
http://hex.pp.ua/nt-native-applications-shell-eng.php

Đặc biệt trong http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ có một loạt các tài liệu về Forensics và Reverse Engineering cũng có giá trị, bạn nào muốn tải có thể dùng cache của google để truy ra link tải về cache:http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ 

computerline wrote:

Thank bạn n2tforever, mình không nghĩ đến việc dùng ntoskrnl.exe là khả thi, vì theo mình được biết thì ntoskrnl đâu export ra địa chỉ nào đâu, mà việc gọi qua sysenter thì như là bị hệ điều hành nó cấm rồi hay sao đó mà ! Nhưng qua gợi ý của bạn và tìm hiểu một số thông tin thì mình tìm được một số nguồn tài liệu này, có lẽ sẽ có ích cho ai đó

http://alter.org.ua/docs/nt_kernel/procaddr/
http://alter.org.ua/soft/nt_kernel/crossnt/
http://netcode.cz/img/83/nativeapi.html
http://zenwinx.sourceforge.net/doxy-doc/html/index.html
http://hex.pp.ua/nt-native-applications-shell-eng.php

Đặc biệt trong http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ có một loạt các tài liệu về Forensics và Reverse Engineering cũng có giá trị, bạn nào muốn tải có thể dùng cache của google để truy ra link tải về cache:http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ 

Chào bạn,

Về vấn đề này mình cũng từng có 1 topic nhắc đến, bạn tham khảo xem

/hvaonline/posts/list/39127.html 

Mình lại hỏi về vấn đề này: làm thế nào để chương trình chính bỏ gọi một file dll - file dll này riêng, không phải của máy và không phát sinh lối khi bỏ gọi. Một hướng khác là chỉnh sửa file dll cho nó không thực hiện thao tác gì - gọi xong trả về chương trình chính luôn, thì làm cách nào?

Mình ko chuyên IT nên các bạn phân tích rõ dùm mình nhé. 

Mình lại hỏi về vấn đề này: làm thế nào để chương trình chính bỏ gọi một file dll - file dll này riêng, không phải của máy và không phát sinh lối khi bỏ gọi. Một hướng khác là chỉnh sửa file dll cho nó không thực hiện thao tác gì - gọi xong trả về chương trình chính luôn, thì làm cách nào?

Mình ko chuyên IT nên các bạn phân tích rõ dùm mình nhé.