Подскажите какие функции (которые присутствуют в экспорте ntdll.dll) наиболее часто дергаются в процессе? Может есть у кого примерная статистика? (хотя конечно сомневаюсь) может есть способы чтобы такую статистику получить?
l_inc Как подсказывает моя телепатическая мысль, наверно ТС имел ввиду функции, который колятся напрямую из приложения. А не те, что колятся из других длл. То есть некоторая статистика по тому, какие функции чаще всего юзаются легальными программами из ntdll.dll напрямую. Так вот я скажу, например прога "гугл земля" юзает ZwWriteProcessMemory, другие проги работающие с системной инфой, не редко напрямую колять ZwQuerySystemInformation. Но конкретной статистики нету (сомнительно, что есть). И если вы хотите таким образом обмануть что-либо - это плохой и неправильный путь. Он вам ничего не даст.
TermoSINteZ Да, я имел в виду функции которые дергаются напрямую (указал дополнительно - которые прописаны в экспорте ntdll.dll). И таким способом я не хочу обмануть что-либо, мне просто была необходима информация что дергается чаще =) Похоже придется просто перехватить большую часть функций и посмотреть статистику по кол-ву срабатываний.
emptyHook Какое отношение наличие ф-ии в экспорте имеет к её вызову напрямую из приложения? P.S. Все приведенные в теме ф-ии присутствуют в экспорте ntdll.
l_inc Адрес функции из экспорта получить проще. qqwe ntdll.dll есть во всех приложениях и следовательно чаще всего юзается.
emptyHook Вы не ответили на мой вопрос. Придётся сформулировать его, как утверждение: наличие функции в экспорте ntdll имеет крайне посредственное отношение (очень слабо влияет) к её вызову напрямую из приложения.
l_inc Дико извиняюсь, неверно выразил мысль (думал об одном, а написал другое). Про "напрямую" имел в виду присутствие в экспорте (дабы не иметь гемороя с определением ее адреса). Вопрос был изначально "Подскажите какие функции (которые присутствуют в экспорте ntdll.dll) наиболее часто дергаются в процессе?". Так что каким они способом дергаются - напрямую или косвенно из других мест или оберток - значения не имеет.
emptyHook потому что ни одна нормальная (нет разговора о девелоперских) прога не лезет к ней и не дергает ее функи напрямую.
если тс'у наиболее популярные апи нужны для фейкового импорта, то сами понимаете зачем. опять же, относительно криптора - эта длл для нода как плюс, т.к. эту длл обычные программы не юзают. так вы сами и ответили на вопрос ниже.
