原文地址:
http://www.xfocus.net/articles/200503/782.html創(chuàng)建時間:2005-03-09
文章屬性:轉載
文章提交:
cisocker (cisocker_at_163.com)
by sunwear [E.S.T]
2004/10/02
shellcoder@163.com
此文只能說是一篇筆記,是關于本機API的.本機API是除了Win32 API,NT平臺開放了另一個基本接口。本機API也被很多人所熟悉,因為內核模式模塊位于更低的系統(tǒng)級別,在那個級別上環(huán)境子系統(tǒng)是不可見的。盡管如此,并不需要驅動級別去訪問這個接口,普通的Win32程序可以在任何時候向下調用本機API。并沒有任何技術上的限制,只不過微軟不支持這種應用開發(fā)方法。
User32.dll,kernel32.dll,shell32.dll,gdi32.dll,rpcrt4.dll,comctl32.dll,advapi32.dll,version.dll等dll代表了Win32 API的基本提供者。Win32 API中的所有調用最終都轉向了ntdll.dll,再由它轉發(fā)至ntoskrnl.exe。ntdll.dll是本機 API用戶模式的終端。真正的接口在ntoskrnl.exe里完成。事實上,內核模式的驅動大部分時間調用這個模塊,如果它們請求系統(tǒng)服務。Ntdll.dll的主要作用就是讓內核函數(shù)的特定子集可以被用戶模式下運行的程序調用。Ntdll.dll通過軟件中斷int 2Eh進入ntoskrnl.exe,就是通過中斷門切換CPU特權級。比如kernel32.dll導出的函數(shù)DeviceIoControl()實際上調用ntdll.dll中導出的NtDeviceIoControlFile(),反匯編一下這個函數(shù)可以看到,EAX載入magic數(shù)0x38,實際上是系統(tǒng)調用號,然后EDX指向堆棧。目標地址是當前堆棧指針ESP+4,所以EDX指向返回地址后面一個,也就是指向在進入NtDeviceIoControlFile()之前存入堆棧的東西。事實上就是函數(shù)的參數(shù)。下一個指令是int 2Eh,轉到中斷描述符表IDT位置0x2E處的中斷處理程序。
反編匯這個函數(shù)得到:
mov eax, 38h
lea edx, [esp+4]
int 2Eh
ret 28h
當然int 2E接口不僅僅是簡單的API調用調度員,他是從用戶模式進入內核模式的main gate。
W2k Native API由248個這么處理的函數(shù)組成,比NT 4.0多了37個。可以從ntdll.dll的導出列表中很容易認出來:前綴Nt。Ntdll.dll中導出了249個,原因在于NtCurrentTeb()為一個純用戶模式函數(shù),所以不需要傳給內核。令人驚奇的是,僅僅Native API的一個子集能夠從內核模式調用。而另一方面,ntoskrnl.exe導出了兩個Nt*符號,它們不存在于ntdll.dll中: NtBuildNumber, NtGlobalFlag。它們不指向函數(shù),事實上,是指向ntoskrnl.exe的變量,可以被使用C編譯器extern關鍵字的驅動模塊導入。Ntdll.dll和ntoskrnl.exe中都有兩種前綴Nt*,Zw*。事實上ntdll.dll中反匯編結果兩者是一樣的。而在ntoskrnl.exe中,nt前綴指向真正的代碼,而zw還是一個int 2Eh的stub。也就是說zw*函數(shù)集通過用戶模式到內核模式門傳遞的,而Nt*符號直接指向模式切換以后的代碼。Ntdll.dll中的NtCurrentTeb()沒有相對應的zw函數(shù)。Ntoskrnl并不導出配對的Nt/zw函數(shù)。有些函數(shù)只以一種方式出現(xiàn)。
2Eh中斷處理程序把EAX里的值作為查找表中的索引,去找到最終的目標函數(shù)。這個表就是系統(tǒng)服務表SST,C的結構SYSTEM_SERVICE_TABLE的定義如下:清單也包含了結構SERVICE_DESCRIPTOR_TABLE中的定義,為SST數(shù)組第四個成員,前兩個有著特別的用途。
typedef NTSTATUS (NTAPI *NTPROC) ( ) ;
typedef NTPROC *PNTPROC;
#define NTPROC_ sizeof (NTPROC)
typedef struct _SYSTEM_SERVICE_TABLE
{ PNTPROC ServiceTable; // 這里是入口指針數(shù)組
PDWORD CounterTable; // 此處是調用次數(shù)計數(shù)數(shù)組
DWORD ServiceLimit ; // 服務入口的個數(shù)
PBYTE ArgumentTable; // 服務參數(shù)字節(jié)數(shù)的數(shù)組
) SYSTEM_SERVICE_TABLE ,
* PSYSTEM_SERVICE_TABLE ,
* * PPSYSTEM_SERVICE_TABLE ;
/ / _ _ _ _ _ _ _ _ _ _ _ _
typedef struct _SERVICE_DESCRIPTOR_TABLE
{ SYSTEM_SERVICE_TABLE ntoskrnl ; // ntoskrnl所實現(xiàn)的系統(tǒng)服務,本機的API}
SYSTEM_SERVICE_TABLE win32k; // win32k所實現(xiàn)的系統(tǒng)服務
SYSTEM_SERVICE_TABLE Table3; // 未使用
SYSTEM_SERVICE_TABLE Table4; // 未使用
} SERVICE_DESCRIPTOR_TABLE ,
* PSERVICE_DESCRIPTOR_TABLE,
* PPSERVICE_DESCRIPTOR_TABLE ;
ntoskrnl通過KeServiceDescriptorTable符號,導出了主要SDT的一個指針。內核維護另外的一個SDT,就是KeServiceDescriptorTableShadow。但這個符號沒有導出。要想在內核模式組件中存取主要SDT很簡單,只需兩行C語言的代碼:
extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;
PSERVICE_DESCRIPTOR_TABLE psdt= KeServiceDescriptorTable;
NTPROC為本機 API的方便的占位符,他類似于Win32編程中的PROC。Native API正常的返回應該是一個NTSTATUS代碼,他使用NTAPI調用約定,它和_stdcall一樣。ServiceLimit成員有在ServiceTable數(shù)組里找到的入口數(shù)目。在2000下,默認值是248。ArgumentTable為BYTEs的數(shù)組,每一個對應于ServiceTable的位置并顯示了在調用者堆棧里的參數(shù)比特數(shù)。這個信息與EDX結合,這是內核從調用者堆棧copy參數(shù)到自己的堆棧所需的。CounterTable成員在free buid的2000中并沒有使用到,在debug build中,這個成員指向代表所有函數(shù)使用計數(shù)的DWORDS數(shù)組,這個信息能用于性能分析。
可以使用這個命令來顯示:dd KeServiceDescriptorTable,調試器把此符號解析為0x8046e0c0。只有前四行是最重要的,對應那四個SDT成員。
運行這個命令:ln 8046e100,顯示符號是KeServiceDescriptorTableShadow,說明第五個開始確實為內核維護的第二個SDT。主要的區(qū)別在于后一個包含了win32k.sys的入口,前一個卻沒有。在這兩個表中,Table3與Table4都是空的。Ntoskrnl.exe提供了一個方便的API函數(shù)。這個函數(shù)的名字為:
KeAddSystemServiceTable
此函數(shù)去填充這些位置。
2Eh的中斷處理標記是KisystemService()。這也是ntoskrnl.exe沒有導出的內部的符號,但包含在2k符號文件中。關于KisystemService的操作如下:
1 從當前的線程控制塊檢索SDT指針
2 決定使用SDT中4個SST的其中一個。通過測試EAX中遞送ID的第12和13位來決定。ID在0x0000-0x0fff的映射至ntoskrnl表格,ID在
0x1000與0x1ffff的分配給win32k表格。剩下的0x2000-0x2ffff與
0x3000-0x3ffff則是Table3和Table4保留。
3 通過選定SST中的ServiceLimit成員檢查EAX的0-11位。如果ID超過了范圍,返回錯誤代碼為STATUS_INVALID_SYSTEM_SERVICE。
4 檢查EAX中的參數(shù)堆棧指針與MmUserProbeAddress。這是一個ntoskrnl導出的全局變量。通常等于0x7FFF0000,如果參數(shù)指針不在這個地址之下,返回STATUS_ACCESS_VIOLATION。
5 查找ArgumentTable中的參數(shù)堆棧的字節(jié)數(shù),從調用者的堆棧copy所有的參數(shù)至當前內核模式堆棧。
6 搜索serviceTable中的服務函數(shù)指針,并調用這個函數(shù)。
7 控制轉到內部的函數(shù)KiserviceExit,在此次服務調用返回之后。
從對SDT的討論可以看到與本機API一起還有第二個內核模式接口。這個接口把Win32子系統(tǒng)的圖形設備接口和窗口管理器和內核模式組件Win32k連接起來。Win32k接口一樣是基于int 2eh。本機API的服務號是從0x0000到0x0fff,win32k的服務號是從0x1000到0x1fff。(ddW32pServiceTable認定win32k.sys的符號可用。)win32k總共包含639個系統(tǒng)服務。
2Eh的處理過程沒有使用全局SDT KeServiceDescriptorTable。
而是一個與線程相關的指針。顯然,線程可以有不同得SDT相關到自身。線程初試化的時候,KeInitializeThread()把KeServiceDescriptorTable寫到線程的控制塊。盡管這樣,這個默認設置之后可能被改變?yōu)槠渌担鏚eServiceDescriptorTableShadow。
Windows 2000運行時庫
Ntdll.dll至少導出了不少于1179個符號。其中的249/248是屬于Nt*/zw*集合。所以還有682個函數(shù)不是通過int 2eh門中轉。很顯然,這么多的函數(shù)不依靠2k的內核。
其中一些是和c運行時庫幾乎一樣的函數(shù)。其實ntoskrnl也實現(xiàn)了一些類似C運行時庫的一些函數(shù)。可以通過ddk里的ntdll.lib來鏈接和使用這些函數(shù)。反匯編ntdll.dll與ntoskrnl.exe的C運行時函數(shù)能發(fā)現(xiàn),ntdll.dll并不是依賴ntoskrnl.exe。這兩個模塊各自實現(xiàn)了這些函數(shù)。
除了C運行時庫外,2000還提供了一個擴展的運行時函數(shù)集合。再一次,ntdll.dll與ntoskrnl.exe各自實現(xiàn)了它們。同樣,實現(xiàn)集合有重復,但是并不完全匹配。這個集合的函數(shù)都是以Rtl開頭的。2000運行時庫包括一些輔助函數(shù)用于C運行時候無法完成的任務。例如有些處理安全事務,另外的操縱2000專用的數(shù)據(jù)結構,還有些支持內存管理。微軟僅僅在DDK中記錄了很有用的406個函數(shù)中的115個函數(shù)。
Ntdll.dll還提供了另外一個函數(shù)集合,以__e前綴開頭。實際上它們用于浮點數(shù)模擬器。
還有很多的函數(shù)集合,所有這些函數(shù)的前綴如下:
__e(浮點模擬),Cc(Cache管理),Csr(c/s運行時庫),Dbg(調試支持),Ex(執(zhí)行支持),FsRtl(文件系統(tǒng)運行時),Hal(硬件抽象層),Inbv(系統(tǒng)初試化/vga啟動驅動程序bootvid.dll),Init(系統(tǒng)初試化),Interlocked(線程安全變量操作),Io(IO管理器),Kd(內核調試器支持),Ke(內核例程),Ki(內核中斷處理),Ldr(映象裝載器),Lpc(本地過程調用),Lsa(本地安全授權),Mm(內存管理),Nls(國際化語言支持),Nt(NT本機API),Ob(對象管理器),Pfx(前綴處理),Po(電源管理),Ps(進程支持),READ_REGISTER_(從寄存器地址讀),Rtl(2k運行時庫),Se(安全處理),WRITE_REGISTER_(寫寄存器地址),Zw(本機API的替換叫法),<其它>(輔助函數(shù)和C運行時庫)。
當編寫從用戶模式通過ntdll.dll或內核模式通過ntoskrnl.exe和2000內核交互的軟件的時候,需要處理很多基本的數(shù)據(jù)結構,這些結構在Win32世界中很少見到。
常用數(shù)據(jù)結構
l 整數(shù)
ANSI字符是有符號的,而Unicode WCHAR是無符號的
MASM的TBYTE是80位的浮點數(shù),用于高精度浮點運算單元操作,注意它與Win32的TBYTE(text byte)完全不同。
TABLE 2-3. Equivalent Integral Data Types
BITS MASM FUNDAMENTAL ALIAS #1 ALIAS #2 SIGNED
8 BYTE unsigned char UCHAR CHAR
16 WORD unsigned short USHORT WCHAR SHORT
32 DWORD unsigned long ULONG LONG
32 DWORD unsigned int UINT INT
64 QWORD unsigned _int64 ULONGLONG DWORDLONG LONGLONG
80 TBYTE N/A
typedef union _LARGE_INTEGER
{ struct{
ULONG LowPart;
LONG HighPart;};
LONGLONG QuadPart;
}
LARGE_INTEGER , * PULARGE_INTEGER ;
typedef union _ULARGE_INTEGER{
struct{
ULONG LowPart;
ULONG HighPart;}
ULONGLONG QuadPart;
}ULARGE_INTEGER, *PULARGE_INTEGER;
l 字符
Win32編程中PSTR用戶CHAR*,PWSTR用于WCHAR*。取決于是否定義了UNICODE,PTSTR解釋為PSTR或者PWSTR。在2k內核模式下,常用的數(shù)據(jù)類型是UNICODE_STRING,而STRING用來表示ANSI字符串:
typedef struct _UNICODE_STRING{
USHORT Length; //當前字節(jié)長度,不是字符!!!
USHORT MaximumLength; //Buffer的最大字節(jié)長度
PWSTR Buffer;}UNICODE_STRING , * PUNICODE_STRING ;
typedef struct _STRING{
USHORT Length;
USHORT MaximumLength;
PCHAR Buffer;}STRING, *PSTRING;
typedef STRING ANSI_STRING, *PANSI_STRING;
typedef STRING OEM_STRING, *POEM_STRING;
操縱函數(shù):RtlCreatUnicodeString(),RtlInitUnicodeString(),
RtlCopyUnicodeString()等等
l 結構
許多內核API函數(shù)需要一個固定大小的OBJECT_ATTRIBUTES結構,比如NtOpenFile()。對象的屬性是OBJ_*值的組合,可以從ntdef.h中查到。
IO_STATUS_BLOCK結構提供了所請求操作結果的信息,很簡單,status成員包含一個NTSTATUS代碼, 如果操作成功 information成員提供特定請求的信息。
還有一個結構是LIST_ENTRY,這是一個雙向環(huán)鏈表。
typedef struct _OBJECT_ATTRIBUTES
{
ULONG Length;
HANDLE RootDirectory;
PUNICODE_STRING ObjectName;
ULONG Attributes;
PVOID SecurityDescriptor;
PVOID SecurityQualityOfService;
} OBJECT_ATTRIBDTES, *POBJECT_ ATTRIBUTES;
typedef struct _IO_STATUS_BLOCK
{
NTSTATDS Status;
ULONG Information;
}IO_STATUS_BLOCK , * PIO_STATUS_BLOCK ;
typedef struct _LIST_ENTRY
{
Struct _LIST_ENTRY *Flink;
Struct _LIST_ENTRY *Blink;
}LIST_ENTRY, *PLIST_ENTRY;
雙向鏈表的典型例子就是進程和線程鏈。內部變量PsActiveProcessHead是一個LIST_ENTRY結構,在ntoskrnl.exe的數(shù)據(jù)段中,指定了系統(tǒng)進程列表的第一個成員。
CLIENT_ID結構由進程和線程ID組成。
typedef struct _CLIENT_ID
{ HANDLE UniqueProcess;
HANDLE UniqueThread;
)CLIENT_ID, *PCLIENT_ID;
想要從用戶模式調用ntdll.dll中的API函數(shù),必須考慮到以下四點:
1 SDK頭文件沒有包括這些函數(shù)的原型
2 這些函數(shù)使用的若干基本數(shù)據(jù)類型沒有包括在SDK文件中
3 SDK和DDK頭文件不兼容,不能在win32的c源文件包含ntddk.h中
4 ntdll.lib沒有包括在VC的默認導入庫列表中。
第4個很容易解決:#progma comment(linker,“/defaultlib:ntdll.lib”)
缺失的定義比較難解決,最簡單的方法是寫一個自定義的頭文件,剛剛包含需要調用ntdll.dll中函數(shù)的定義。幸運的是,已經在光盤的w2k_def.h文件中做了這個工作。因為這個頭文件將用于用戶模式和內核模式程序,所以必須在用戶模式代碼中,#include<w2k_def.h>之前#define _USER_MODE_,使得DDK中出現(xiàn)而SDK中沒有的定義可用。
本文部分翻譯于一篇電子書<win api about>.也感謝朋友GameHunter這位英語極好的朋友幫忙.與Free的指導