(转载)Gloomy对Windows内核的分析(研究CreateProcess)

研究CreateProcess
==========================
                                  Может быть я всегда знал
                                  Мои хрупкие мечты будут р
азбиты ради тебя...
                                                  (c) by Anathema

我给出一个反汇编Win32 API函数CreateProcess的例子,来演示研究子系统的技术,同时演
示Win32是如何与Windows NT的执行系统协同工作的。

从MSDN中得到函数原型:

BOOL CreateProcess(
    LPCTSTR lpApplicationName,// pointer to name of executable module
    LPTSTR lpCommandLine,  // pointer to command line string
    LPSECURITY_ATTRIBUTES lpProcessAttributes,  // process security attributes
    LPSECURITY_ATTRIBUTES lpThreadAttributes,   // thread security attributes
    BOOL bInheritHandles,  // handle inheritance flag
    DWORD dwCreationFlags, // creation flags
    LPVOID lpEnvironment,  // pointer to new environment block
    LPCTSTR lpCurrentDirectory,   // pointer to current directory name
    LPSTARTUPINFO lpStartupInfo,  // pointer to STARTUPINFO
    LPPROCESS_INFORMATION lpProcessInformation  // pointer to PROCESS_INFORMATION
  );

函数中所有的参数都没有详尽的描述。很快,在开始的几行中,建立了异常处理__except_h
andler3(堆栈中的结构体对应于Visual C的结构体)。然后根据dwCreationFlags进行相应
有趣的处理。在任何情况下都会在dwCreationFlags里去掉标志CREATE_NO_WINDOW(对于我来
说这是个迷)。之后检查不允许的标志组合DETACH_PROCESS | CREATE_NEW_CONSOLE。如果这
些位被同时设置就会输出错误。从新进程优先级中选择一个优先级(除一个之外,清除所有
dwCreationFlags中的优先级位)。如果要求是REAL_TIME优先级,但不能分到处理器,则设
置为HIGH_PRIORITY。接下来是对参数lpApplicationName、lpCommandLine、lpEnvironment
的繁琐处理。分析结果标明,函数CreateProcessW实际上在文档中已经写明。因此,我们考
虑到命令行和应用程序名已不相同。DOS风格的形式为完整的路径。使用未公开的ntdll.dll
中的函数:

NTSYSAPI
BOOLEAN
NTAPI
RtlDosPathNameToNtPathName_U (char* lpPath,
                              RTL_STRING *NtPath,
                              BOOLEAN AllocFlag,
                              RTL_STRING *Reserved);

结果会得到/??/:/样的路径。然后,填充公开了的OBJECT_ATTRIBUTES结构体,在ObjectNam
e域中放入指向获得的路径的指针并调用未公开的函数:

NTSYSAPI
  IOSTATUS
  NTAPI
  NtOpenFile (OUT DWORD* Handle, IN ACCESS_MASK DesiredAccess,
          OBJECT_ATTRIBUTES* ObjAttr, PIO_STATUS_BLOCK IoStatusBlock,
          DWORD ShareAccess, DWORD OpenOptions);

访问使用的是SYNCHRONYZE | FILE_EXECUTE。取得打开文件的句柄用于调用另外一个未公开
的函数: 

NTSYSAPI
  NTSTATUS
  NTAPI
  NtCreateSection(
     OUT PHANDLE SectionHandle,
     IN ACCESS_MASK DesiredAccess,
     IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
     IN PLARGE_INTEGER MaximumSize OPTIONAL,
     IN ULONG Protect,
     IN ULONG Attributes,
     IN HANDLE FileHandle OPTIONAL
     );

大多数未公开的系统函数都是由相应的公开的Win32 API调用的。API函数CreateFileMappin
g是对NtCreateSection的封装。实际上,即使系统直接调用这些函数,也没人会干扰(而且
还节省开销)。有趣的是NtCreateSection的一个主要的、由API函数生成的参数:

  DesiredAccess=(flProtectLow==PAGE_READWRITE)?STANDARD_RIGHTS_REQUIRED|7 :
                         STANDART_RIGHTS_REQUIRED | 5;

DesiredAccess只可以取两个值。从CreateProcessW中调用的形式如下:

NtCreateSection ( &SectionHandle, STANDARD_RIGHTS_REQUIRED| 0x1F,
                    NULL, &qwMaximumSize,
                    PAGE_EXECUTEREAD, SEC_IMAGE, NtFileHandle );

这样就得到了映象,并将文件——映象源——关闭。这是用公开的NtClose函数进行的。来分
析一下NtCreateSection返回后的代码。对错误处理这里就不进行讨论了,否则会十分繁琐,
要讨论大量的次要的函数。我们来研究没有发生错误而且映象是PE映象的情况。调用著名的
未公开函数:

  NTSYSAPI  NTSTATUS  NTAPI
       NtQuerySection(
            IN HANDLE SectionHandle,
            IN SECTIONINFOCLASS SectionInformationClass,
            OUT PVOID SectionInformation,
            IN ULONG SectionInformationLength,
            OUT PULONG ReturnLength OPTIONAL
            );

系统中有一些类似于NtQueryInformationXxxxx这样的函数(未公开)。要说是未公开的,在
NTDDK.H中还是描述了一些函数的原型和调用这些函数用到的结构体信息。Matt Pietrek在其
在Microsoft Systems期刊(MSDN中有)的文章中详细描述了NTDDK.H中的NtQueryInformati
onProcess的主要功能。遗憾的是,关于NtQuerySection函数的信息是不存在的。所有这样的
函数都有实际上相同的原型并处理操作系统中的对象。NtQuerySection返回两类信息(Sect
ionInformationClass可以为0或1)。对应于取0还是取1,结构体的大小为16或是58个字节。
CreateProcessW调用的SectionInformation参数的信息类是1。

Struct SECTION_INFO_CLASS1 {
  DWORD EntryPoint;
  DWORD field_4;
  DWORD StackReserved;
  DWORD StackCommited;
  DWORD SubSystem;
  DWORD ImageVersionMinor;
  DWORD ImageVersionMajor;
  DWORD unknown1;
  DWORD Characteristics;
  DWORD Machine;
  DWORD Unknown[4];
  };

我们看到,这个信息是从PE映象的首部中取得的。在主要的域Characteristics中输出的是映
象的类型(是否是可执行的)。然后检查机器类型,解析SubSystem域,检查映象版本。并最
终调用未公开的函数:

NtCreateProcess(
     OUT PHANDLE ProcessHandle,
     IN ACCESS_MASK DesiredAccess,
     IN POBJECT_ATTRIBUTES ObjectAttributes,
     IN HANDLE ParentProcess, //-1
     IN BOOLEAN InheritHandles,
     IN HANDLE SectionHandle,
     IN HANDLE DebugPort OPTIONAL, // NULL
     IN HANDLE ExceptionPort OPTIONAL //NULL
     );

由此建立了Windows NT的进程对象。关闭映象,因为已经不再需要了。接着设置对象属性,
调用未公开函数NtSetInformationProcess

NTSYSAPI
NTSTATUS
NTAPI
NtSetInformationProcess(
    IN HANDLE ProcessHandle,
    PROCESSINFOCLASS ClassInfo,
    IN PVOID Information,
    IN ULONG Length,
);

在NTDDK.H中有枚举值_PROCESSINFOCLASS,这个值描述了信息类。调整信息类的值:Proces
sDefaultHardErrorMode,ProcessBasePriority。对于这些类,信息结构体本身就是一个32
位的DWORD。然后调用未公开的函数,Matt Pietrek在其文章中介绍过该函数:

NTSYSAPI
NTSTATUS
NTAPI
NtQueryInformationProcess(
IN HANDLE ProcessHandle,
IN PROCESSINFOCLASS ProcessInformationClass,
OUT PVOID ProcessInformation,
IN ULONG ProcessInformationLength,
OUT PULONG ReturnLength OPTIONAL
);

我们取得的信息是ProcessBasicInfo,NTDDK.H文件中有对其的描述。

typedef struct _PROCESS_BASIC_INFORMATION {
    NTSTATUS ExitStatus;
    PPEB PebBaseAddress;
    KAFFINITY AffinityMask;
    KPRIORITY BasePriority;
    ULONG UniqueProcessId;
    ULONG InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;

对于CreateProcessW来说,必需的信息是PEB的地址。因为在获得这项信息之后很快就调用内
部函数_BasePushProcessParameters。从参数判断,其用途是调整仅由此进程产生的地址空
间。接下来调用两个内部的复杂函数。先调用_BaseCreateStack。_BaseCreateStack分配并
调整进程堆栈。第一,选出用于保留和提交(reservrd和commited)堆栈的值。而且,如果
SizeReserved和SizeCommited为0,则要从发出CreateProcess的进程的PE文件的首部中获取
这些值。接着对这些值进行修整并在进程产生的地址空间中保留内存,对此用到未公开的函
数NtAllocateVirtualMemory(对应于Win32 API函数VirtualAllocEx,VirtualAllocEx是对
其非常简单的封装,而且这两个函数的参数完全相同)。之后,进行两个调用,用下面的伪
码能更简洁的说明:

FreeReserved=SizeReserv-SizeCommited;
ReservedAddr+=FreeReserved;
if(SizeReserved<=SizeCommited) fl=0;
else {
     ReservedAddr-=Delta;
     SizeCommited+=Delta;
     fl=1;
      }
NtAllocateVirtualMemory(Han,&ReservedAddr,0,SizeCommited,1000,4);

//[skipped]

NtProtectVirtualMemory
     (ProcHan,&ReservedAddr,Delta,PAGE_READWRITE|PAGE_GUARD,&OldProt);
                         /* 对VirtualProtectEx的封装 */

可见,这里在保留区域中分配内存(在其末尾)。并且分配的内存大于Delta。这一部分(大
小为Delta)的属性是PAGE_GUARD和PAGE_READWRITE。最后得到以下结构体:

***Stack***
---------------?-ReservedAddr
|              |
|              |
|  RESERVED    |<- SizeReserved - (SizeCommited+Delta)
|              |
|--------------|-CommitedAddr
|  GUARD PAGE  |<- Delta
|--------------|
|  READ_WRITE  |<- SizeCommited
|              |
L----------------SS:ESP

这样,为堆栈分配了SizeCommited字节。保留了SizeReserved。之后在堆栈之下的保留区分
配的内存被转换为GUARD页(转换成这种页可以引发异常)。从源代码中可以看到,错误的D
elta的大小可能会产成悲惨的后果。因为这可是个关键的信息——我们来看从哪里找出Delt
a的值:

.text:77F04B99             mov     eax, large fs:18h
.text:77F04B9F             mov     ecx, [eax+30h]  ; PEB
.text:77F04BA2             mov     eax, [ecx+54h]  ; READ ONLY DATA
                         ; ReadOnlyStaticServerData
.text:77F04BA5             mov     edx, [eax+4]
[skipped]
.text:77F04BB1             mov     esi, [edx+128h] ; Delta

在这一部分里,EAX寄存器指向用于所有进程的全局区域。这个区域只允许被读取。当然,已
给出的关于堆栈的更高层次的信息是众所周知的,而这些信息的真实性在源代码中得到了证
实。结果,执行BaseCreateStack函数填充StackInformation结构体。

Typedef struct _StackInformation
{
     DWORD Reserved0;
     DWORD Reserved1;
     DWORD AddressOfTop;
     DWORD CommitAddress;
     DWORD ReservedAddress;
} StackInformation;

从这个结构体中得到信息本质上是个参数,用来调用下面这个有趣的函数BaseInitializeCo
ntext:

BaseInitializeContext(PCONTEXT Context, // 0x200 bytes
PPEB Peb,
PVOID EntryPoint,
DWORD StackTop,
int Type // union (Process, Thread, Fiber)
);

这个函数的几个参数:PEB的地址,堆栈的入口点和参数定义了要创建的上下文(纤程,进程
、线程)。函数填充CONTEXT结构体(NTDDK.H中有)的几个域。其中一个域很有意思,在其
中放置了起始点(BaseFiberStart、BaseProcessStartThunk、BaseThreadStartThunk中的一
个)。这个点“分娩”出了线程,产生的线程就在新的上下文中执行。实际上,所有三个偏
移处的代码都很简短——就是填充相应的堆栈映象并转到两个函数中的某一个。这两个函数
分别是_BaseProcessStart和_BaseThreadStart。这两个函数很是相象,我们只看_BaseProc
essStart函数。

这个函数在链表中建立了第一个异常处理(见TEB)。当对内存进行了错误的访问时,正是这
个异常处理调用了那个有OK和CANCEL的对话框。这个处理程序会结束当前进程。但有时如果
异常由错误的服务线程产生,则只结束这个线程。

于是,在BaseInitializeContext返回后,就填充相应的结构体。并且这个结构体被用作未公
开的NtCreateThread函数的参数。NtCreateThread的原型如下:

NTSYSAPI
  NTSTATUS
  NTAPI
  NtCreateThread(
      OUT PHANDLE ThreadHandle,
      IN ACCESS_MASK DesiredAccess,
      IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
      IN HANDLE ProcessHandle,
      OUT PCLIENT_ID ClientID,
      IN PCONTEXT Context, /* see _BaseInitializeContext */
      IN StackInformation* StackInfo, /* see _BaseCreateStack */
      IN BOOLEAN CreateSuspended  /* ==1 */
  );

终于,在对PE映象的SubSystem主要域的数据进行处理之后,通过LPC转到Win32服务。进程应
该只在Win32子系统下创建。关于此原因的一些高层次信息可以在Halen Kaster的书中读到。

对于CreateProcess函数来说,必须完成的任务就是启动线程(当然,如果没有在参数dwCre
ationFlags中设置CREATE_SUSPEND标志)。线程的启动进行对NtResumeThread(对Win32的R
esumeThread的封装)的调用。完成了!现在剩下的还有释放内存和正确的退出。

到此对Win32子系统的CreateProcess函数的主要分析可以得出结论:子系统通常与Windows
NT的执行体系统协同工作,子系统大多都使用未公开的函数,子系统通过LPC与自己的服务器
通讯,许多Win32 API函数都是对Nt函数的封装。所有这些都是我们熟知的,但我们需要用反
汇编来证实。

---------------------------------------------------------------------------
                          (c)Gloomy aka Peter Kosyh, Melancholy Coding'2001

                                                       http://gloomy.cjb.net
                                                       mailto:[email protected]

                                                                     董岩 译
                                                http://greatdong.blog.edu.cn

你可能感兴趣的:((转载)Gloomy对Windows内核的分析(研究CreateProcess))