Windows版本和检测
Windows版本和检测
前天在研究PEB位置时发现自XPSP2之后就开始随机变动位置了,而不是想以前那样固定在0X7FFDF000上了.我突然想起以前转发的一篇文章<非API函数检测操作系统类型>,此文中就是将PEB位置是否为OX7FFDF000作为区分WINNT和WIN9X的标志的.现在PEB的位置也不固定了,看来判断条件得修正一下了.
Windows版本号分为操作系统版本号和服务包(Service Packet)版本号.其中操作系统版本号分为:主版本号(MajorVersion)、次版本号(MinorVersion)和内部版本号(BuildNumber);服务包号分为主服务包号和内部服务包号.
Windows内部有一组变量专门用来保存版本号的信息,在调用MmCreatePeb创建每个进程的PEB时会将这些信息的大部分拷贝至PEB中.而我们使用GetVersionEx这样的API函数就是从PEB中读取数据的.由于在WinNt下这些版本信息在PEB中的位置没有改变,于是在用户态下,我们可以直接读取PEB中的版本信息,而绕过API了.
下表是XPSP3下版本信息分别在系统中存放的位置:
|
|
内核变量 |
PEB成员 |
| OS主版本号 |
NtMajorVersion |
+0x 0a 4 OSMajorVersion : Uint4B |
| OS次版本号 |
NtMinorVersion |
+0x 0a 8 OSMinorVersion : Uint4B |
| OS内部版本号 |
NtBuildNumber |
+0x 0ac OSBuildNumber : Uint2B |
| 主服务包号 |
CmNtCSDVersion |
+0x0ae OSCSDVersion : Uint2B |
| 内部服务包号 |
CmNtSpBuildNumber |
无 |
| 其他 |
NtBuildLab[] |
无 |
根据上面的叙述,下面就是我对<非API函数检测操作系统类型>一文的代码修正,用c内嵌汇编完成:
| _asm { MOV EAX, FS:[18H] ;TEB MOV EBX, FS:[30H] ;PEB MOV ECX, EBX AND EAX, 7FF00000H CMP EAX, 7FF00000H JNZ Win9x AND EBX, 7FF00000H CMP EBX, 7FF00000H JNZ WIN9x
//WIN2K,WINXP,WIN2K3 MOV EAX, [ECX + 0A 4H] ;MajorVersion MOV EBX, [ECX + 0A 8H] ;MinorVersion CMP EAX, 5 JB OVER CMP EBX, 0 JNZ VER1 //5.0 = WIN2K JMP OVER VER1: CMP EBX, 1 JNZ VER2 //5.1 = WINXP JMP OVER VER2: CMP EBX, 2 JNZ OVER //5.2= WIN2K3
WIN9x: MOV EDX, 00530000H MOV EAX, FS:[18H] MOV EBX, [EAX + 58H] MOV ECX, [EAX + 7CH] MOV EAX, [EAX + 54H] CMP EBX, EDX JNZ VER3 //WIN95 JMP OVER VER3: CMP EAX, EDX JNZ VER4 //WIN98 JMP OVER VER4: CMP ECX, EDX JNZ OVER //WINME OVER: } |
上面是根据主次版本号来区别操作系统版本的,由于在内核中仅有NtBuildNumber从ntoskrnl.exe中导出,而且内部本版号和操作系统版本也有严格的对照关系,如下图:
于是我们在内核中可以使用内部版本号来分辨操作系统版本了.
参考文献:
1. http://en.wikipedia.org/wiki/Windows_NT