关于XPSP3系统下NtUserCreateWindowEx原型分析_修正版_...VIP专享

关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版) 第 1 页 共 7 页 关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析 修正版 By HSQ 说明：其实以前就因为需要用到这个函数来处理一些特定窗口，苦于没有该 API 原型，最后自己也是草草的 DBG了一下，可弄错来的结果还是有偏差。最近再次用那些东西试试效果，居然发现用起来完全形同虚设。可能是系统升级后，原来蒙的偏移量改变了。乘着闲来无事，干脆下决心给彻底弄清楚其原型。顺便将分析过程记录存档，以便共享后来者和遗忘是查阅。 1. 其最终由 WIN32K.SYS 实现 2. 调用流程 关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版) 第 2 页 共 7 页 3. 参数传递经过 3.1 CreateWindowEx（CreateWindowExW/A） 先从 2k 源码看参数传递过程开始分析 注意：在 2K 中没有 CreateWindowExW/A 之分,这也正是需要对 NtUserCreateWindowEx进行重新分析的原因 CreateWindowEx没有对参数进行任何处理，而是追加一个参数后直接调用_CreateWindowEx 3.2 _CreateWindowEx 可见，在 2k 时，是通过是否定义了的调用： 关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版) 第 3 页 共 7 页 对于，其他参数都沿袭 2K。 _CreateWindowEx进行一些处理后接着开始进入下一层调用，这里 XP 与 2K 处理有些差异。 3.3 NtUserCreateWindowEx（VerNtUserCreateWindowEx） A. 在 2K 中，到次就直接进入了 NtUserCreateWindowEx流程 NtUserCreateWindowEx的原型： 关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版) 第 4 页 共 7 页 至此，用户层的处理已经结束。 B.而在 XP 中，却还得经过一个 VerNtUserCreateWindowEx调用才会进入 NtUserCreateWindowEx流程。结合2K 的源码，拿 IDA 的 F5 初步分析，猜测 VerNtUserCreateWindowEx应该就是以前 NtUserCreateWindowEx的伪函数 再看看该处使用到的一些字符结构 由此可见 PLARGE_STRING 是 PLARGE_ANSI_STRING 与 PLARGE_UNICODE_STRING 的通用结构，而 VerNtUserCreateWindowEx内代码片无非是根据上层函数传入的关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版) 第 5 页 共 7 页 在此基础上，用 IDA 进行分析看得出 NtUserCreateWindowEx的最终原型基本为， 4. 最终整理 XP SP3...