[转贴]Gloomy对Windows内核的分析(研究CreateProcess)-阿里云开发者社区

开发者社区> 大熊猫侯佩> 正文

[转贴]Gloomy对Windows内核的分析(研究CreateProcess)

简介:
+关注继续查看

                      (转载)Gloomy对Windows内核的分析(研究CreateProcess)



我给出一个反汇编Win32 API函数CreateProcess的例子,来演示研究子系统的技术,同时演
示Win32是如何与Windows NT的执行系统协同工作的。

从MSDN中得到函数原型:

BOOL CreateProcess(
  LPCTSTR lpApplicationName,// pointer to name of executable module
  LPTSTR lpCommandLine, // pointer to command line string
  LPSECURITY_ATTRIBUTES lpProcessAttributes, // process security attributes
  LPSECURITY_ATTRIBUTES lpThreadAttributes,   // thread security attributes
  BOOL bInheritHandles, // handle inheritance flag
  DWORD dwCreationFlags, // creation flags
  LPVOID lpEnvironment, // pointer to new environment block
  LPCTSTR lpCurrentDirectory,   // pointer to current directory name
  LPSTARTUPINFO lpStartupInfo, // pointer to STARTUPINFO
  LPPROCESS_INFORMATION lpProcessInformation // pointer to PROCESS_INFORMATION
);

函数中所有的参数都没有详尽的描述。很快,在开始的几行中,建立了异常处理__except_h
andler3(堆栈中的结构体对应于Visual C的结构体)。然后根据dwCreationFlags进行相应
有趣的处理。在任何情况下都会在dwCreationFlags里去掉标志CREATE_NO_WINDOW(对于我来
说这是个迷)。之后检查不允许的标志组合DETACH_PROCESS | CREATE_NEW_CONSOLE。如果这
些位被同时设置就会输出错误。从新进程优先级中选择一个优先级(除一个之外,清除所有
dwCreationFlags中的优先级位)。如果要求是REAL_TIME优先级,但不能分到处理器,则设
置为HIGH_PRIORITY。接下来是对参数lpApplicationName、lpCommandLine、lpEnvironment
的繁琐处理。分析结果标明,函数CreateProcessW实际上在文档中已经写明。因此,我们考
虑到命令行和应用程序名已不相同。DOS风格的形式为完整的路径。使用未公开的ntdll.dll
中的函数:

NTSYSAPI
BOOLEAN
NTAPI
RtlDosPathNameToNtPathName_U (char* lpPath,
                    RTL_STRING *NtPath,
                    BOOLEAN AllocFlag,
                    RTL_STRING *Reserved);

结果会得到/??/:/样的路径。然后,填充公开了的OBJECT_ATTRIBUTES结构体,在ObjectNam
e域中放入指向获得的路径的指针并调用未公开的函数:

NTSYSAPI
IOSTATUS
NTAPI
NtOpenFile (OUT DWORD* Handle, IN ACCESS_MASK DesiredAccess,
      OBJECT_ATTRIBUTES* ObjAttr, PIO_STATUS_BLOCK IoStatusBlock,
      DWORD ShareAccess, DWORD OpenOptions);

访问使用的是SYNCHRONYZE | FILE_EXECUTE。取得打开文件的句柄用于调用另外一个未公开
的函数:

NTSYSAPI
NTSTATUS
NTAPI
NtCreateSection(
  OUT PHANDLE SectionHandle,
  IN ACCESS_MASK DesiredAccess,
  IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
  IN PLARGE_INTEGER MaximumSize OPTIONAL,
  IN ULONG Protect,
  IN ULONG Attributes,
  IN HANDLE FileHandle OPTIONAL
  );

大多数未公开的系统函数都是由相应的公开的Win32 API调用的。API函数CreateFileMappin
g是对NtCreateSection的封装。实际上,即使系统直接调用这些函数,也没人会干扰(而且
还节省开销)。有趣的是NtCreateSection的一个主要的、由API函数生成的参数:

DesiredAccess=(flProtectLow==PAGE_READWRITE)?STANDARD_RIGHTS_REQUIRED|7 :
                STANDART_RIGHTS_REQUIRED | 5;

DesiredAccess只可以取两个值。从CreateProcessW中调用的形式如下:

NtCreateSection ( &SectionHandle, STANDARD_RIGHTS_REQUIRED| 0x1F,
            NULL, &qwMaximumSize,
            PAGE_EXECUTEREAD, SEC_IMAGE, NtFileHandle );

这样就得到了映象,并将文件——映象源——关闭。这是用公开的NtClose函数进行的。来分
析一下NtCreateSection返回后的代码。对错误处理这里就不进行讨论了,否则会十分繁琐,
要讨论大量的次要的函数。我们来研究没有发生错误而且映象是PE映象的情况。调用著名的
未公开函数:

NTSYSAPI NTSTATUS NTAPI
    NtQuerySection(
        IN HANDLE SectionHandle,
        IN SECTIONINFOCLASS SectionInformationClass,
        OUT PVOID SectionInformation,
        IN ULONG SectionInformationLength,
        OUT PULONG ReturnLength OPTIONAL
        );

系统中有一些类似于NtQueryInformationXxxxx这样的函数(未公开)。要说是未公开的,在
NTDDK.H中还是描述了一些函数的原型和调用这些函数用到的结构体信息。Matt Pietrek在其
在Microsoft Systems期刊(MSDN中有)的文章中详细描述了NTDDK.H中的NtQueryInformati
onProcess的主要功能。遗憾的是,关于NtQuerySection函数的信息是不存在的。所有这样的
函数都有实际上相同的原型并处理操作系统中的对象。NtQuerySection返回两类信息(Sect
ionInformationClass可以为0或1)。对应于取0还是取1,结构体的大小为16或是58个字节。
CreateProcessW调用的SectionInformation参数的信息类是1。

Struct SECTION_INFO_CLASS1 {
DWORD EntryPoint;
DWORD field_4;
DWORD StackReserved;
DWORD StackCommited;
DWORD SubSystem;
DWORD ImageVersionMinor;
DWORD ImageVersionMajor;
DWORD unknown1;
DWORD characteristics;
DWORD Machine;
DWORD Unknown[4];
};

我们看到,这个信息是从PE映象的首部中取得的。在主要的域characteristics中输出的是映
象的类型(是否是可执行的)。然后检查机器类型,解析SubSystem域,检查映象版本。并最
终调用未公开的函数:

NtCreateProcess(
  OUT PHANDLE ProcessHandle,
  IN ACCESS_MASK DesiredAccess,
  IN POBJECT_ATTRIBUTES ObjectAttributes,
  IN HANDLE ParentProcess, //-1
  IN BOOLEAN InheritHandles,
  IN HANDLE SectionHandle,
  IN HANDLE DebugPort OPTIONAL, // NULL
  IN HANDLE ExceptionPort OPTIONAL //NULL
  );

由此建立了Windows NT的进程对象。关闭映象,因为已经不再需要了。接着设置对象属性,
调用未公开函数NtSetInformationProcess

NTSYSAPI
NTSTATUS
NTAPI
NtSetInformationProcess(
  IN HANDLE ProcessHandle,
  PROCESSINFOCLASS ClassInfo,
  IN PVOID Information,
  IN ULONG Length,
);

在NTDDK.H中有枚举值_PROCESSINFOCLASS,这个值描述了信息类。调整信息类的值:Proces
sDefaultHardErrorMode,ProcessBasePriority。对于这些类,信息结构体本身就是一个32
位的DWORD。然后调用未公开的函数,Matt Pietrek在其文章中介绍过该函数:

NTSYSAPI
NTSTATUS
NTAPI
NtQueryInformationProcess(
IN HANDLE ProcessHandle,
IN PROCESSINFOCLASS ProcessInformationClass,
OUT PVOID ProcessInformation,
IN ULONG ProcessInformationLength,
OUT PULONG ReturnLength OPTIONAL
);

我们取得的信息是ProcessBasicInfo,NTDDK.H文件中有对其的描述。

typedef struct _PROCESS_BASIC_INFORMATION {
  NTSTATUS ExitStatus;
  PPEB PebBaseAddress;
  KAFFINITY AffinityMask;
  KPRIORITY BasePriority;
  ULONG UniqueProcessId;
  ULONG InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;

对于CreateProcessW来说,必需的信息是PEB的地址。因为在获得这项信息之后很快就调用内
部函数_BasePushProcessParameters。从参数判断,其用途是调整仅由此进程产生的地址空
间。接下来调用两个内部的复杂函数。先调用_BaseCreateStack。_BaseCreateStack分配并
调整进程堆栈。第一,选出用于保留和提交(reservrd和commited)堆栈的值。而且,如果
SizeReserved和SizeCommited为0,则要从发出CreateProcess的进程的PE文件的首部中获取
这些值。接着对这些值进行修整并在进程产生的地址空间中保留内存,对此用到未公开的函
数NtAllocateVirtualMemory(对应于Win32 API函数VirtualAllocEx,VirtualAllocEx是对
其非常简单的封装,而且这两个函数的参数完全相同)。之后,进行两个调用,用下面的伪
码能更简洁的说明:

FreeReserved=SizeReserv-SizeCommited;
ReservedAddr+=FreeReserved;
if(SizeReserved<=SizeCommited) fl=0;
else {
  ReservedAddr-=Delta;
  SizeCommited+=Delta;
  fl=1;
    }
NtAllocateVirtualMemory(Han,&ReservedAddr,0,SizeCommited,1000,4);

//[skipped]

NtProtectVirtualMemory
  (ProcHan,&ReservedAddr,Delta,PAGE_READWRITE|PAGE_GUARD,&OldProt);
                /* 对VirtualProtectEx的封装 */

可见,这里在保留区域中分配内存(在其末尾)。并且分配的内存大于Delta。这一部分(大
小为Delta)的属性是PAGE_GUARD和PAGE_READWRITE。最后得到以下结构体:

***Stack***
---------------?-ReservedAddr
|         |
|         |
| RESERVED   |<- SizeReserved - (SizeCommited+Delta)
|         |
|--------------|-CommitedAddr
| GUARD PAGE |<- Delta
|--------------|
| READ_WRITE |<- SizeCommited
|         |
L----------------SS:ESP

这样,为堆栈分配了SizeCommited字节。保留了SizeReserved。之后在堆栈之下的保留区分
配的内存被转换为GUARD页(转换成这种页可以引发异常)。从源代码中可以看到,错误的D
elta的大小可能会产成悲惨的后果。因为这可是个关键的信息——我们来看从哪里找出Delt
a的值:

.text:77F04B99         mov   eax, large fs:18h
.text:77F04B9F         mov   ecx, [eax+30h] ; PEB
.text:77F04BA2         mov   eax, [ecx+54h] ; READ ONLY DATA
                ; ReadOnlyStaticServerData
.text:77F04BA5         mov   edx, [eax+4]
[skipped]
.text:77F04BB1         mov   esi, [edx+128h] ; Delta

在这一部分里,EAX寄存器指向用于所有进程的全局区域。这个区域只允许被读取。当然,已
给出的关于堆栈的更高层次的信息是众所周知的,而这些信息的真实性在源代码中得到了证
实。结果,执行BaseCreateStack函数填充StackInformation结构体。

Typedef struct _StackInformation
{
  DWORD Reserved0;
  DWORD Reserved1;
  DWORD AddressOfTop;
  DWORD CommitAddress;
  DWORD ReservedAddress;
} StackInformation;

从这个结构体中得到信息本质上是个参数,用来调用下面这个有趣的函数BaseInitializeCo
ntext:

BaseInitializeContext(PCONTEXT Context, // 0x200 bytes
PPEB Peb,
PVOID EntryPoint,
DWORD StackTop,
int Type // union (Process, Thread, Fiber)
);

这个函数的几个参数:PEB的地址,堆栈的入口点和参数定义了要创建的上下文(纤程,进程
、线程)。函数填充CONTEXT结构体(NTDDK.H中有)的几个域。其中一个域很有意思,在其
中放置了起始点(BaseFiberStart、BaseProcessStartThunk、BaseThreadStartThunk中的一
个)。这个点“分娩”出了线程,产生的线程就在新的上下文中执行。实际上,所有三个偏
移处的代码都很简短——就是填充相应的堆栈映象并转到两个函数中的某一个。这两个函数
分别是_BaseProcessStart和_BaseThreadStart。这两个函数很是相象,我们只看_BaseProc
essStart函数。

这个函数在链表中建立了第一个异常处理(见TEB)。当对内存进行了错误的访问时,正是这
个异常处理调用了那个有OK和CANCEL的对话框。这个处理程序会结束当前进程。但有时如果
异常由错误的服务线程产生,则只结束这个线程。

于是,在BaseInitializeContext返回后,就填充相应的结构体。并且这个结构体被用作未公
开的NtCreateThread函数的参数。NtCreateThread的原型如下:

NTSYSAPI
NTSTATUS
NTAPI
NtCreateThread(
    OUT PHANDLE ThreadHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
    IN HANDLE ProcessHandle,
    OUT PCLIENT_ID ClientID,
    IN PCONTEXT Context, /* see _BaseInitializeContext */
    IN StackInformation* StackInfo, /* see _BaseCreateStack */
    IN BOOLEAN CreateSuspended /* ==1 */
);

终于,在对PE映象的SubSystem主要域的数据进行处理之后,通过LPC转到Win32服务。进程应
该只在Win32子系统下创建。关于此原因的一些高层次信息可以在Halen Kaster的书中读到。

对于CreateProcess函数来说,必须完成的任务就是启动线程(当然,如果没有在参数dwCre
ationFlags中设置CREATE_SUSPEND标志)。线程的启动进行对NtResumeThread(对Win32的R
esumeThread的封装)的调用。完成了!现在剩下的还有释放内存和正确的退出。

到此对Win32子系统的CreateProcess函数的主要分析可以得出结论:子系统通常与Windows
NT的执行体系统协同工作,子系统大多都使用未公开的函数,子系统通过LPC与自己的服务器
通讯,许多Win32 API函数都是对Nt函数的封装。所有这些都是我们熟知的,但我们需要用反
汇编来证实。

 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
javascript:使用document.getElementById读取数据为空分析
  今天写个网页,想在页面加载onLoad时,动态显示由后台其他程序传来的数据时,用document.getElementById获取控件对象总是为空。但是检查了这个id确实是存在的。在网上查阅一番后才知道了其中的原因。
859 0
WinDbg分析DMP文件方法完全攻略
前言:在C++实际开发过程中,开发出来的程序,一般情况下由开发人员进行单元测试,然后移交给测试人员进行测试。在开发人员测试出现的bug,我们可以直接在本地进行调试。如果测试人员测试出崩溃级别的bug,如果我们需要调试往往借助于vs提供的Remote Debugger工具进行远程调试(关于vs2010远程调试的方法,请参考http://blog.
1212 0
Linux内核分析(一)---linux体系简介|内核源码简介|内核配置编译安装
原文:Linux内核分析(一)---linux体系简介|内核源码简介|内核配置编译安装 Linux内核分析(一) 从本篇博文开始我将对linux内核进行学习和分析,整个过程必将十分艰辛,但我会坚持到底,同时在博文中如果那些地方有问题还请各位大神为我讲解。
1264 0
Linux内核分析(三)----初识linux内存管理子系统
原文:Linux内核分析(三)----初识linux内存管理子系统 Linux内核分析(三) 昨天我们对内核模块进行了简单的分析,今天为了让我们今后的分析没有太多障碍,我们今天先简单的分析一下linux的内存管理子系统,linux的内存管理子系统相当的庞大,所以我们今天只是初识,只要对其进行简单的了解就好了,不会去追究代码,但是在后面我们还会对内存管理子系统进行一次深度的分析。
1152 0
javascript 表达式、括号、常用函数和jquery库怎么样实现的分析
(一)javascript表达式 表达式是什么?表达式是对变更进行赋值、更改或计算等操作的语句。它是变量、常量、操作符的综合。根据操作符的不类型,可以分为字符操作表达式、赋值表达式、逻辑表达式、关系表达式、自增自减表达式、位表达式等。
716 0
+关注
大熊猫侯佩
贪吃贪睡的大熊猫侯佩
689
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载