การโทรของระบบใน windows & Native API หรือไม่

หากคุณกำลังเขียนโปรแกรมแอสเซมบลีใน Windows คุณจะไม่ทำการเรียกระบบด้วยตนเอง คุณใช้ NTDLL และ Native API เพื่อทำสิ่งนั้นให้กับคุณ

Native API เป็นเพียงตัวห่อหุ้มด้านเคอร์เนลโหมดของสิ่งต่างๆ ทั้งหมดที่ทำได้คือดำเนินการ syscall สำหรับ API ที่ถูกต้อง

คุณไม่ควรจำเป็นต้อง syscall ด้วยตนเอง ดังนั้นคำถามทั้งหมดของคุณจึงซ้ำซ้อน

รหัส syscall ของ Linux จะไม่เปลี่ยนแปลง เช่นเดียวกับ Windows นั่นคือสาเหตุว่าทำไมคุณต้องทำงานผ่านเลเยอร์นามธรรมเพิ่มเติม (หรือที่รู้จักในชื่อ NTDLL)

แก้ไข:

นอกจากนี้ แม้ว่าคุณจะทำงานในระดับแอสเซมบลี คุณยังคงสามารถเข้าถึง Win32 API ได้อย่างเต็มที่ แต่ก็ไม่มีเหตุผลที่ต้องใช้ NT API ในการเริ่มต้น! การนำเข้า การส่งออก ฯลฯ ล้วนทำงานได้ดีในโปรแกรมแอสเซมบลี

แก้ไข 2:

หากคุณต้องการดำเนินการ syscall ด้วยตนเอง คุณจะต้องย้อนกลับ NTDLL สำหรับ Windows แต่ละเวอร์ชันที่เกี่ยวข้อง เพิ่มการตรวจหาเวอร์ชัน (ผ่าน PEB) และดำเนินการค้นหา syscall สำหรับการโทรแต่ละครั้ง

อย่างไรก็ตามนั่นจะโง่ NTDLL อยู่ที่นั่นด้วยเหตุผล

ผู้คนได้ทำส่วนวิศวกรรมย้อนกลับไปแล้ว: ดู https://j00ru.vexillium.org/syscalls/nt/64/ สำหรับตารางหมายเลขการโทรของระบบสำหรับเคอร์เนล Windows แต่ละตัว (โปรดทราบว่าแถวหลังๆ จะเปลี่ยนแปลงแม้ระหว่างเวอร์ชันของ Windows 10) ขอย้ำอีกครั้ง นี่เป็นความคิดที่ไม่ดีนอกเหนือจากการทดลองใช้งานส่วนบุคคลเท่านั้นในเครื่องของคุณเองเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับ asm และ/หรือภายในของ Windows อย่าอินไลน์ระบบเรียกรหัสที่คุณแจกจ่ายให้กับบุคคลอื่น

อีกสิ่งหนึ่งที่คุณต้องรู้เกี่ยวกับแบบแผน syscall ของ windows คือเมื่อฉันเข้าใจแล้ว ตาราง syscall จะถูกสร้างขึ้นโดยเป็นส่วนหนึ่งของกระบวนการสร้าง ซึ่งหมายความว่าพวกเขาสามารถเปลี่ยนแปลงได้ - ไม่มีใครติดตามพวกเขา หากมีคนเพิ่มรายการใหม่ที่ด้านบนของรายการ ก็ไม่สำคัญ NTDLL ยังคงใช้งานได้ ดังนั้นทุกคนที่เรียก NTDLL ก็ยังใช้งานได้

แม้แต่กลไกที่ใช้ในการดำเนินการ syscalls (ซึ่ง int หรือ sysenter) ก็ไม่ได้รับการแก้ไขและมีการเปลี่ยนแปลงในอดีต และฉันคิดว่ากาลครั้งหนึ่ง Windows รุ่นเดียวกันนั้นใช้ DLL ที่แตกต่างกันซึ่งใช้กลไกการป้อนข้อมูลที่แตกต่างกันขึ้นอยู่กับ ซีพียูในเครื่อง

ฉันสนใจที่จะทำการเรียก windows API ในชุดประกอบที่ไม่มีการนำเข้า (เป็นแบบฝึกหัดด้านการศึกษา) ดังนั้นฉันจึงเขียนชุดประกอบ FASM ต่อไปนี้เพื่อทำสิ่งที่ NtDll!NtCreateFile ทำ เป็นการสาธิตคร่าวๆ บน Windows เวอร์ชัน 64 บิตของฉัน (Win10 1803 เวอร์ชัน 10.0.17134) และเกิดปัญหาหลังการโทร แต่ค่าที่ส่งคืนของ syscall นั้นเป็นศูนย์ ดังนั้นจึงดำเนินการได้สำเร็จ ทุกอย่างได้รับการตั้งค่าตามหลักการเรียก Windows x64 จากนั้นหมายเลขการโทรของระบบจะถูกโหลดลงใน RAX จากนั้นจะเป็นคำสั่งแอสเซมบลี syscall เพื่อเรียกใช้การโทร ตัวอย่างของฉันสร้างไฟล์ c:\HelloWorldFile_FASM ดังนั้นจึงต้องเรียกใช้ "ในฐานะผู้ดูแลระบบ"

format PE64 GUI 4.0


entry start


section '.text' code readable executable


 start: 
 ;puting the first four parameters into the right registers

                            mov rcx, _Handle
                            mov rdx, [_access_mask]
                            mov r8, objectAttributes
                            mov r9, ioStatusBlock

 ;I think we need 1 stack word of padding:

                            push 0x0DF0AD8B


 ;pushing the other params in reverse order:

                            push [_eaLength]
                            push [_eaBuffer]
                            push [_createOptions]
                            push [_createDisposition]
                            push [_shareAcceses]
                            push [_fileAttributes]
                            push [_pLargeInterger]

 ;adding the shadow space (4x8)

 ;                               push 0x0
 ;                               push 0x0
 ;                               push 0x0
 ;                               push 0x0

 ;pushing the 4 register params into the shadow space for ease of debugging

                            push r9
                            push r8
                            push rdx
                            push rcx

 ;now pushing the return address to the stack:

                            push endOfProgram

                            mov r10, rcx ;copied from ntdll!NtCreateFile, not sure of the reason for this
                            mov eax, 0x55
                            syscall

 endOfProgram:
                            retn




 section '.data' data readable writeable

 ;parameters------------------------------------------------------------------------------------------------

 _Handle                         dq      0x0
 _access_mask                    dq      0x00000000c0100080
 _pObjectAttributes              dq      objectAttributes        ; at 00402058
 _pIoStatusBlock                 dq           ioStatusBlock
 _pLargeInterger                 dq      0x0
 _fileAttributes                 dq      0x0000000000000080
 _shareAcceses                   dq      0x0000000000000002
 _createDisposition              dq      0x0000000000000005
 _createOptions                  dq      0x0000000000000060
 _eaBuffer                       dq      0x0000000000000000       ; "optional" param
 _eaLength                       dq      0x0000000000000000

 ;----------------------------------------------------------------------------------------------------------


                            align   16
 objectAttributes:
 _oalength                       dq      0x30
 _rootDirectory                  dq      0x0
 _objectName                     dq           unicodeString
 _attributes                     dq      0x40
 _pSecurityDescriptor            dq      0x0
 _pSecurityQualityOfService      dq      securityQualityOfService


 unicodeString:
 _unicodeStringLength            dw      0x34
 _unicodeStringMaxumiumLength    dw      0x34, 0x0, 0x0
 _pUnicodeStringBuffer           dq      _unicodeStringBuffer


 _unicodeStringBuffer            du      '\??\c:\HelloWorldFile_FASM'       ; may need to "run as adinistrator" for the file create to work.



 ioStatusBlock:
 _status_pointer                 dq      0x0
 _information                    dq      0x0


 securityQualityOfService:
 _sqlength                       dd      0xC
 _impersonationLevel             dd      0x2
 _contextTrackingMode            db      0x1
 _effectiveOnly                  db      0x1, 0x0, 0x0

ฉันใช้เอกสารประกอบสำหรับ Ntdll!NtCreateFile และฉันยังใช้เคอร์เนลดีบักเกอร์เพื่อดูและคัดลอกพารามิเตอร์จำนวนมากด้วย

__kernel_entry NTSTATUS NtCreateFile(
  OUT PHANDLE                      FileHandle,
  IN ACCESS_MASK                   DesiredAccess,
  IN POBJECT_ATTRIBUTES            ObjectAttributes,
  OUT PIO_STATUS_BLOCK             IoStatusBlock,
  IN PLARGE_INTEGER AllocationSize OPTIONAL,
  IN ULONG                         FileAttributes,
  IN ULONG                         ShareAccess,
  IN ULONG                         CreateDisposition,
  IN ULONG                         CreateOptions,
  IN PVOID EaBuffer                OPTIONAL,
  IN ULONG                         EaLength
);

การเรียกของระบบ Windows ทำได้โดยการเรียกเข้าไปใน DLL ของระบบ เช่น kernel32.dll หรือ gdi32.dll ซึ่งทำได้โดยใช้การเรียกรูทีนย่อยทั่วไป กลไกในการดักจับในเลเยอร์สิทธิพิเศษของ OS นั้นไม่มีเอกสารระบุไว้ แต่ก็ไม่เป็นไร เพราะ DLL เช่น kernel32.dll ทำสิ่งนี้เพื่อคุณ

และโดยการเรียกของระบบ ฉันหมายถึงจุดเข้าใช้งาน Windows API ที่บันทึกไว้ เช่น CreateProcess() หรือ GetWindowText() โดยทั่วไปไดรเวอร์อุปกรณ์จะใช้ API ที่แตกต่างจาก Windows DDK

แบบแผนการเรียกอย่างเป็นทางการใน Windows: http://msdn.microsoft.com/en-us/library/7kcdt6fy.aspx

(หวังว่าลิงก์นี้จะคงอยู่ต่อไปในอนาคต หากไม่เป็นเช่นนั้น ให้ค้นหา "x64 Software Conventions" บน MSDN)

รูปแบบการเรียกใช้ฟังก์ชันแตกต่างกันใน Linux และ Windows x86_64 ใน ABI ทั้งสอง พารามิเตอร์จะถูกส่งผ่านรีจิสเตอร์ แต่รีจิสเตอร์ที่ใช้แตกต่างกัน สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ Linux ABI ได้ที่ http://www.x86-64.org/documentation/abi.pdf