作者:sunwear[E.S.T] shellcoder@163.com 来源:邪恶八进制 中国
此文只能说是一篇笔记,是关于本机API的.本机API是除了Win32 API,NT平台开放了另一个基本接口。本
机API也被很多人所熟悉,因为内核模式模块位于更低的系统级别,在那个级别上环境子系统是不可见的
。尽管如此,并不需要驱动级别去访问这个接口,普通的Win32程序可以在任何时候向下调用本机API。并
没有任何技术上的限制,只不过微软不支持这种应用开发方法。 - J# @5 I* h) ^
User32.dll,kernel32.dll,shell32.dll,gdi32.dll,rpcrt4.dll,comctl32.dll,advapi32.dll,version.d
[: ^, K3 @ kll等dll代表了Win32 API的基本提供者。Win32 API中的所有调用最终都转向了ntdll.dll,再由它转发至
ntoskrnl.exe。ntdll.dll是本机 API用户模式的终端。真正的接口在ntoskrnl.exe里完成。事实上,内
2 E: l7 h$ W) I核模式的驱动大部分时间调用这个模块,如果它们请求系统服务。Ntdll.dll的主要作用就是让内核函数
& q" M! X3 ?, [/ p7 x; B, e的特定子集可以被用户模式下运行的程序调用。Ntdll.dll通过软件中断int 2Eh进入ntoskrnl.exe,就是
通过中断门切换CPU特权级。比如kernel32.dll导出的函数DeviceIoControl()实际上调用ntdll.dll中导
出的NtDeviceIoControlFile(),反汇编一下这个函数可以看到,EAX载入magic数0x38,实际上是系统调
用号,然后EDX指向堆栈。目标地址是当前堆栈指针ESP+4,所以EDX指向返回地址后面一个,也就是指向
5 M3 R) x# g) O0 P在进入NtDeviceIoControlFile()之前存入堆栈的东西。事实上就是函数的参数。下一个指令是int 2Eh,
2 E7 u$ ?) C7 f! Y2 P9 h- s4 d转到中断描述符表IDT位置0x2E处的中断处理程序。
} {+ W0 f$ P9 D# ~2 N反编汇这个函数得到:
/ ` e. L4 Q0 X0 r, I7 gmov eax, 38h
lea edx, [esp+4]
) ]% w C; m! ~/ y ]int 2Eh
ret 28h
4 d8 N* g& z% s% d9 @0 x" n, q! c当然int 2E接口不仅仅是简单的API调用调度员,他是从用户模式进入内核模式的main gate。
" ]8 |5 o8 I2 m$ Y) b0 c! f- rW2k Native API由248个这么处理的函数组成,比NT 4.0多了37个。可以从ntdll.dll的导出列表中很容易
认出来:前缀Nt。Ntdll.dll中导出了249个,原因在于NtCurrentTeb()为一个纯用户模式函数,所以不需
4 i7 T0 O! q0 g) |4 x% c要传给内核。令人惊奇的是,仅仅Native API的一个子集能够从内核模式调用。而另一方面,
ntoskrnl.exe导出了两个Nt*符号,它们不存在于ntdll.dll中: NtBuildNumber, NtGlobalFlag。它们不
1 V( Y- j q* v$ u6 E( ]' I. d指向函数,事实上,是指向ntoskrnl.exe的变量,可以被使用C编译器extern关键字的驱动模块导入。
6 h$ e% D* ?# A: d- g @3 H6 UNtdll.dll和ntoskrnl.exe中都有两种前缀Nt*,Zw*。事实上ntdll.dll中反汇编结果两者是一样的。而在
ntoskrnl.exe中,nt前缀指向真正的代码,而zw还是一个int 2Eh的stub。也就是说zw*函数集通过用户模
式到内核模式门传递的,而Nt*符号直接指向模式切换以后的代码。Ntdll.dll中的NtCurrentTeb()没有相
对应的zw函数。Ntoskrnl并不导出配对的Nt/zw函数。有些函数只以一种方式出现。
# z- x* c" B6 X N. ^2Eh中断处理程序把EAX里的值作为查找表中的索引,去找到最终的目标函数。这个表就是系统服务表SST
,C的结构SYSTEM_SERVICE_TABLE的定义如下:清单也包含了结构SERVICE_DESCRIPTOR_TABLE中的定义,为
; U8 h1 Y, F6 \8 Q* Y0 n: HSST数组第四个成员,前两个有着特别的用途。
typedef NTSTATUS (NTAPI *NTPROC) ( ) ;
typedef NTPROC *PNTPROC;
#define NTPROC_ sizeof (NTPROC)
typedef struct _SYSTEM_SERVICE_TABLE
{ PNTPROC ServiceTable; // 这里是入口指针数组
5 W! o0 \9 G6 P3 g2 o. R; Z# f1 WPDWORD CounterTable; // 此处是调用次数计数数组
% x2 G* H: ], v5 W; ODWORD ServiceLimit ; // 服务入口的个数
' k$ ~. Y6 [& G5 r& x- rPBYTE ArgumentTable; // 服务参数字节数的数组
) |7 I8 w. [1 \ {- j, K0 L ( J4 _1 E2 S, e jtypedef struct _SERVICE_DESCRIPTOR_TABLE
{ SYSTEM_SERVICE_TABLE ntoskrnl ; // ntoskrnl所实现的系统服务,本机的API}
% a- X& F: R+ V2 _; O" a5 @SYSTEM_SERVICE_TABLE win32k; // win32k所实现的系统服务
0 I- c2 m+ F# y; [ [1 ZSYSTEM_SERVICE_TABLE Table3; // 未使用
SYSTEM_SERVICE_TABLE Table4; // 未使用
2 j7 k* f7 p+ `& t% G) ]. z* PPSERVICE_DESCRIPTOR_TABLE ;
5 S+ X+ |# p9 h: f& k$ Q! ?8 lntoskrnl通过KeServiceDescriptorTable符号,导出了主要SDT的一个指针。内核维护另外的一个SDT,就
6 X+ x( {2 ^0 |4 y& q; B2 g是KeServiceDescriptorTableShadow。但这个符号没有导出。要想在内核模式组件中存取主要SDT很简单
,只需两行C语言的代码:
, E: B. S- o% X! ^# S5 i2 k8 textern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;
$ f6 X2 }0 D) Q1 U+ _% u! ]PSERVICE_DESCRIPTOR_TABLE psdt= KeServiceDescriptorTable;
6 L( s7 ?6 r, W1 qNTPROC为本机 API的方便的占位符,他类似于Win32编程中的PROC。Native API正常的返回应该是一个
% f9 O) o, X J9 I# e2 q" CNTSTATUS代码,他使用NTAPI调用约定,它和_stdcall一样。ServiceLimit成员有在ServiceTable数组里
1 L' Y& j; o" x! h' e找到的入口数目。在2000下,默认值是248。ArgumentTable为BYTEs的数组,每一个对应于ServiceTable
的位置并显示了在调用者堆栈里的参数比特数。这个信息与EDX结合,这是内核从调用者堆栈copy参数到
. [, E& w# F. u+ c8 Y自己的堆栈所需的。CounterTable成员在free buid的2000中并没有使用到,在debug build中,这个成员
指向代表所有函数使用计数的DWORDS数组,这个信息能用于性能分析。9 j0 i8 i% n! f 可以使用这个命令来显示:dd KeServiceDescriptorTable,调试器把此符号解析为0x8046e0c0。只有
) _. ?! R" f7 x) r p前四行是最重要的,对应那四个SDT成员。- ]5 S8 Z D& r5 I# U& _/ z 运行这个命令:ln 8046e100,显示符号是KeServiceDescriptorTableShadow,说明第五个开始确实为
内核维护的第二个SDT。主要的区别在于后一个包含了win32k.sys的入口,前一个却没有。在这两个表中
,Table3与Table4都是空的。Ntoskrnl.exe提供了一个方便的API函数。这个函数的名字为:
KeAddSystemServiceTable 此函数去填充这些位置。
+ y' W3 q* ?# T; i1 q2Eh的中断处理标记是KisystemService()。这也是ntoskrnl.exe没有导出的内部的符号,但包含在2k符号
文件中。关于KisystemService的操作如下:
1 从当前的线程控制块检索SDT指针
2 c s2 [* J2 p2 决定使用SDT中4个SST的其中一个。通过测试EAX中递送ID的第12和13位来决定。ID在0x0000-0x0fff的
映射至ntoskrnl表格,ID在
0x1000与0x1ffff的分配给win32k表格。剩下的0x2000-0x2ffff与
0x3000-0x3ffff则是Table3和Table4保留。
( e4 ~2 d$ i: Y0 V, f8 J' {% y3 通过选定SST中的ServiceLimit成员检查EAX的0-11位。如果ID超过了范围,返回错误代码为
, D+ D4 d3 }# \8 aSTATUS_INVALID_SYSTEM_SERVICE。
% P; o1 v. _7 S+ _$ R$ t4 检查EAX中的参数堆栈指针与MmUserProbeAddress。这是一个ntoskrnl导出的全局变量。通常等于
% X% A5 }! n- ^0x7FFF0000,如果参数指针不在这个地址之下,返回STATUS_ACCESS_VIOLATION。
5 查找ArgumentTable中的参数堆栈的字节数,从调用者的堆栈copy所有的参数至当前内核模式堆栈。
6 搜索serviceTable中的服务函数指针,并调用这个函数。
7 控制转到内部的函数KiserviceExit,在此次服务调用返回之后。
从对SDT的讨论可以看到与本机API一起还有第二个内核模式接口。这个接口把Win32子系统的图形设备接
+ ~: M5 I# S# S( d! l' |- L口和窗口管理器和内核模式组件Win32k连接起来。Win32k接口一样是基于int 2eh。本机API的服务号是从
0x0000到0x0fff,win32k的服务号是从0x1000到0x1fff。(ddW32pServiceTable认定win32k.sys的符号可
用。)win32k总共包含639个系统服务。
. W% l. V' T0 i/ g- b) s# B5 Z M, |- F 2Eh的处理过程没有使用全局SDT KeServiceDescriptorTable。
而是一个与线程相关的指针。显然,线程可以有不同得SDT相关到自身。线程初试化的时
, ~! o: n0 G3 d# d" n2 C候,KeInitializeThread()把KeServiceDescriptorTable写到线程的控制块。尽管这样,这个默认设置之
后可能被改变为其它值,例如KeServiceDescriptorTableShadow。
Windows 2000运行时库
Ntdll.dll至少导出了不少于1179个符号。其中的249/248是属于Nt*/zw*集合。所以还有682个函数不是通
0 ]( t$ x$ Q5 O- ^6 S [过int 2eh门中转。很显然,这么多的函数不依靠2k的内核。
7 [# S; M7 c' I* T! D其中一些是和c运行时库几乎一样的函数。其实ntoskrnl也实现了一些类似C运行时库的一些函数。可以
通过ddk里的ntdll.lib来链接和使用这些函数。反汇编ntdll.dll与ntoskrnl.exe的C运行时函数能发现
,ntdll.dll并不是依赖ntoskrnl.exe。这两个模块各自实现了这些函数。
4 D, B+ m6 c9 I% ?# l除了C运行时库外,2000还提供了一个扩展的运行时函数集合。再一次,ntdll.dll与ntoskrnl.exe各自
* u+ b6 e8 _1 S& c! r- e实现了它们。同样,实现集合有重复,但是并不完全匹配。这个集合的函数都是以Rtl开头的。2000运行
3 l- X% u$ q6 K% @/ c时库包括一些辅助函数用于C运行时候无法完成的任务。例如有些处理安全事务,另外的操纵2000专用的
数据结构,还有些支持内存管理。微软仅仅在DDK中记录了很有用的406个函数中的115个函数。
Ntdll.dll还提供了另外一个函数集合,以__e前缀开头。实际上它们用于浮点数模拟器。
6 t/ Q1 c0 g2 a1 @还有很多的函数集合,所有这些函数的前缀如下:
__e(浮点模拟),Cc(Cache管理),Csr(c/s运行时库),Dbg(调试支持),Ex(执行支持),FsRtl(文件系统运行
: b9 p2 G, i/ E8 _7 j时),Hal(硬件抽象层),Inbv(系统初试化/vga启动驱动程序bootvid.dll),Init(系统初试
! ?) }+ p! [5 p1 L6 H* U: I 8 m+ o& ~ k$ h# Y; B* ]2 E) ]化),Interlocked(线程安全变量操作),Io(IO管理器),Kd(内核调试器支持),Ke(内核例程),Ki(内核中断处
理),Ldr(映象装载器),Lpc(本地过程调用),Lsa(本地安全授权),Mm(内存管理),Nls(国际化语言支持),Nt
; W6 l9 \4 n- N+ z; N(NT本机API),Ob(对象管理器),Pfx(前缀处理),Po(电源管理),Ps(进程支持),READ_REGISTER_(从寄存器
) ~% O V. ]- K4 j8 a5 E地址读),Rtl(2k运行时库),Se(安全处理),WRITE_REGISTER_(写寄存器地址),Zw(本机API的替换叫法)
,<其它>(辅助函数和C运行时库)。
$ X) w# V. r u8 r当编写从用户模式通过ntdll.dll或内核模式通过ntoskrnl.exe和2000内核交互的软件的时候,需要处理
很多基本的数据结构,这些结构在Win32世界中很少见到。
* s3 T% a4 T9 W ?常用数据结构
l 整数
3 y6 Z& w, m- j$ t* b' Y) F8 C2 d! [3 |ANSI字符是有符号的,而Unicode WCHAR是无符号的
MASM的TBYTE是80位的浮点数,用于高精度浮点运算单元操作,注意它与Win32的TBYTE(text byte)完全
( U2 s8 x6 s% r6 y1 s不同。
TABLE 2-3. Equivalent Integral Data Types
3 {( I4 @ ]% [( O5 J" }. t$ fBITS MASM FUNDAMENTAL ALIAS #1 ALIAS #2 SIGNED
8 BYTE unsigned char UCHAR CHAR' N m: ~. m2 | 16 WORD unsigned short USHORT WCHAR SHORT
32 DWORD unsigned long ULONG LONG
0 }" S5 H( [! V+ `5 O32 DWORD unsigned int UINT INT
64 QWORD unsigned _int64 ULONGLONG DWORDLONG LONGLONG
$ W' V1 c' L2 E9 J5 {- b. _80 TBYTE N/A
{ struct{
ULONG LowPart;
9 x4 R# o& i0 e! x' K6 ZLONG HighPart;};
0 D! j6 c1 U& s2 w( j; mLONGLONG QuadPart;
}
4 L2 V8 k- S; e; G, ALARGE_INTEGER , * PULARGE_INTEGER ;
typedef union _ULARGE_INTEGER{
2 P5 Q( U5 ? A& U: o, Wstruct{
+ n! l) A: ?, E/ q6 T( W: p3 G4 ]* [ULONG LowPart;
ULONG HighPart;}
ULONGLONG QuadPart;
}ULARGE_INTEGER, *PULARGE_INTEGER;
l 字符
, ~8 I8 o3 A, A3 ^% NWin32编程中PSTR用户CHAR*,PWSTR用于WCHAR*。取决于是否定义了UNICODE,PTSTR解释为PSTR或者
PWSTR。在2k内核模式下,常用的数据类型是UNICODE_STRING,而STRING用来表示ANSI字符串:
typedef struct _UNICODE_STRING{
USHORT Length; //当前字节长度,不是字符!!!
! S/ X, s% T8 Z7 lUSHORT MaximumLength; //Buffer的最大字节长度
PWSTR Buffer;}UNICODE_STRING , * PUNICODE_STRING ;
typedef struct _STRING{
# v ^1 B! ?9 t4 p& l0 e$ dUSHORT Length;
USHORT MaximumLength;
( P" }' M9 j9 d; v9 n" FPCHAR Buffer;}STRING, *PSTRING;
typedef STRING ANSI_STRING, *PANSI_STRING;
typedef STRING OEM_STRING, *POEM_STRING;
8 ?5 D7 F) n& ~7 u7 O4 T9 o操纵函数:RtlCreatUnicodeString(),RtlInitUnicodeString(),
RtlCopyUnicodeString()等等
l 结构
! u( U2 ^& M# \. b许多内核API函数需要一个固定大小的OBJECT_ATTRIBUTES结构,比如NtOpenFile()。对象的属性是OBJ_*
值的组合,可以从ntdef.h中查到。
IO_STATUS_BLOCK结构提供了所请求操作结果的信息,很简单,status成员包含一个NTSTATUS代码, 如果
0 ~% w' Q/ O" C6 O3 |操作成功 information成员提供特定请求的信息。
还有一个结构是LIST_ENTRY,这是一个双向环链表。
typedef struct _OBJECT_ATTRIBUTES
: X, I- ]; f' r$ y4 C- Z ^0 v8 N( s{
ULONG Length;
( i* r' h8 L- Q$ Q3 sHANDLE RootDirectory;
& q T" [, u2 x% ]! S' s& OPUNICODE_STRING ObjectName;
; q p( B9 B; T4 Z0 EULONG Attributes;
PVOID SecurityDescriptor;
PVOID SecurityQualityOfService;
: v5 {; v0 z' O+ o1 v9 v0 a} OBJECT_ATTRIBDTES, *POBJECT_ ATTRIBUTES;
typedef struct _IO_STATUS_BLOCK
: ]+ r; }/ m1 @+ K4 U! E{
# X5 n6 A( c. x' f( }NTSTATDS Status;
9 G3 W% Y2 f8 A. w- q2 C( AULONG Information;
}IO_STATUS_BLOCK , * PIO_STATUS_BLOCK ;
q- C( S8 q% x2 R( }/ z{
; G( E1 f2 K6 r# [& s & @0 i( i" s+ Z7 [9 V I& a ! e4 A8 b1 s) U* m5 W z4 ^9 g双向链表的典型例子就是进程和线程链。内部变量PsActiveProcessHead是一个LIST_ENTRY结构,在
ntoskrnl.exe的数据段中,指定了系统进程列表的第一个成员。
CLIENT_ID结构由进程和线程ID组成。
( X3 K. V1 I6 U3 u5 O, L{ HANDLE UniqueProcess;
' @ j' |5 ~/ E/ f4 m* OHANDLE UniqueThread;
4 y# D- N: f" q2 c) U ( m: K; z/ Q6 N9 ^想要从用户模式调用ntdll.dll中的API函数,必须考虑到以下四点:
1 SDK头文件没有包括这些函数的原型
3 D8 y- p% F* h; x3 z1 F2 这些函数使用的若干基本数据类型没有包括在SDK文件中
$ `# v0 }+ z% _6 ~) k3 SDK和DDK头文件不兼容,不能在win32的c源文件包含ntddk.h中
4 ntdll.lib没有包括在VC的默认导入库列表中。
% u3 p: y, d2 X/ k& L第4个很容易解决:#progma comment(linker,“/defaultlib:ntdll.lib”)
缺失的定义比较难解决,最简单的方法是写一个自定义的头文件,刚刚包含需要调用ntdll.dll中函数的
$ V! j+ P1 c0 d& y$ K3 H定义。幸运的是,已经在光盘的w2k_def.h文件中做了这个工作。因为这个头文件将用于用户模式和内核
j6 M4 ~2 [" m: d ?模式程序,所以必须在用户模式代码中,#include<w2k_def.h>之前#define _USER_MODE_,使得DDK中出
" b, \- V; N$ Z2 ^/ c( F现而SDK中没有的定义可用。
3 P7 J. K/ j" F. l1 R' U9 ~ 本文部分翻译于一篇电子书<win api about>.也感谢朋友GameHunter这位英语极好的朋友帮忙.与Free的
9 r5 O& E) @- o, v2 n6 S: _指导; j, `9 N+ j* |; R
4 K- `0 M L1 w% W( C1 M
| 欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) | Powered by Discuz! X2.5 |