Appels système dans windows & API Native?

Récemment, j'ai été en utilisant beaucoup de langage d'Assemblage sous *NIX systèmes d'exploitation. Je me demandais sur le domaine windows.

Convention d'appel dans linux:

mov $SYS_Call_NUM, %eax
mov $param1 , %ebx
mov $param2 , %ecx
int $0x80

C'est tout. C'est la façon dont nous devrions faire un appel système sous linux.

Renvoi de tous les appels système sous linux:

À l'égard de laquelle $SYS_Call_NUM & les paramètres, nous pouvons utiliser cette référence : http://docs.cs.up.ac.za/programming/asm/derick_tut/syscalls.html

Référence OFFICIELLE : http://kernel.org/doc/man-pages/online/dir_section_2.html

Convention d'appel dans Windows:

???

Renvoi de tous les appels système dans Windows:

???

Non officiel : http://www.metasploit.com/users/opcode/syscalls.html , mais comment puis-je les utiliser dans l'assemblée, si je sais que la convention d'appel.

OFFICIEL : ???

  • Si vous le dites, ils n'ont pas documenté. Alors comment peut-on écrire de la libc pour windows sans le savoir, les appels système? Comment on va faire Windows Assemblage de programmation? Au moins dans la programmation d'un pilote a besoin de connaître ces. droit?

Maintenant, whats up avec le soi-disant API Native? Est Native API & System calls for windows les deux sont différents termes se référant à la même chose? Pour confirmer, j'ai comparé ces deux Sources OFFICIEUSES

Appels Système: http://www.metasploit.com/users/opcode/syscalls.html

API Native: http://undocumented.ntinternals.net/aindex.html

Mes observations:

  1. Tous les appels système sont commençant par les lettres Nt où, comme API Native est composé de beaucoup de fonctions qui ne sont pas au début avec des lettres Nt.
  2. System Call of windows sont sous-ensemble de Native API. Les appels système ne sont qu'une partie de l'API Native.

Quelqu'un peut-il confirmer cela et expliquer.

EDIT:

Il y avait une autre réponse. C'était une 2ème réponse. J'ai vraiment aimé, mais je ne sais pas pourquoi répondeur a été supprimée. - Je lui demander de le reposter sa réponse.

InformationsquelleAutor claws | 2010-03-22
  1. 25

    Si vous faites de l'assemblée de la programmation sous Windows, vous n'avez pas le faire en manuel syscalls. Vous utilisez NTDLL et de l'API Native de le faire pour vous.

    L'API Native est tout simplement un wrapper autour de la kernelmode côté des choses. Tout ce qu'il fait est de procéder à un syscall pour l'API correcte.

    Vous ne devriez JAMAIS manuellement syscall pour que toute votre question est redondante.

    Linux syscall les codes ne changent pas, Windows de le faire, c'est pourquoi vous avez besoin de travailler à travers une couche d'abstraction supplémentaire (aka NTDLL).

    EDIT:

    Aussi, même si vous travaillez au niveau de l'assemblage, vous avez toujours le plein accès à l'API Win32, il n'y a pas de raison d'être à l'aide de la NT API pour commencer! Les importations, les exportations, etc tous fonctionnent très bien dans le montage de programmes.

    EDIT2:

    Si vous voulez VRAIMENT le faire en manuel syscalls, vous allez avoir besoin pour inverser NTDLL pour chaque version de Windows, ajouter la détection de la version (via le PEB), et d'effectuer un syscall de recherche pour chaque appel.

    Cependant, ce serait ridicule. NTDLL est là pour une raison.

    Personnes ont déjà fait le reverse-engineering de la partie: voir https://j00ru.vexillium.org/syscalls/nt/64/ pour une table de système de numéros d'appel pour chaque noyau de Windows. (Notez que plus tard, les lignes ne changent même entre les versions de Windows 10.) Encore une fois, c'est une mauvaise idée à l'extérieur à des fins personnelles uniquement à des expériences sur votre propre ordinateur pour en savoir plus sur l'asm et/ou Windows internals. Ne pas système en ligne d'appels dans le code que vous distribuez à quelqu'un d'autre.

    • +1 & merci. Pouvez-vous l'obligeance de nous montrer un exemple de code montrant comment utiliser l'API WIN32 & NT de l'API du langage d'Assemblage.
    • Ce assembleur utilisez-vous? Si vous êtes à l'aide de MASM par exemple, le plus simple serait d'utiliser juste 'APPELER'. Les premiers résultats sur Google, j'ai trouvé que décrit c'est: movsd.com/masm.htm
    • Un court & article concis qui est un excellent complément à cette réponse: codeproject.com/KB/system/Win32.aspx
    • Que l'article n'est pas ce que vous cherchez. Il montre comment effectuer manuellement des appels, vous ne devez pas faire parce que les chiffres changent à travers les versions de Windows et les service packs. Comme je l'ai déjà dit, vous devriez être en utilisant l'API Windows pour effectuer l'expédition pour vous. NTDLL est mappé dans tous les processus automatiquement. Donc, même si pour quelque raison vous ne pouvez pas utiliser des importations (je ne peux pas penser à toute heure raisonnable, où ce serait le cas), vous pouvez obtenir une poignée de NTDLL et d'énumérer les MANGER à la main pour obtenir le nécessaire pointeurs de fonction (bien que vous ne devriez jamais avoir à).
    • Bien sûr que non. J'essayais juste de préciser que les renseignements que vous faisiez allusion, n'est pas pertinent à votre question parce que vous n'avez pas besoin de savoir comment le système de processus de coordination de travaux dans le but de faire des appels système dans Windows. C'est pourquoi le haut niveau de l'API Win32 (ou diable, même les NT API) est-il, de faire abstraction de ces détails sans importance.
    • L'article est un très intéressant à lire, merci beaucoup
    • Ce n'est pas vraiment adressée à l'auteur de cette réponse, mais je ne comprends pas pourquoi ces "ne faites pas ceci" les réponses sont très répandus, et n'est-ce pas censé être un site "pour les professionnels et les amateurs de programmeurs"? Pourquoi sur une seule main ne ce site encourager l'extrême effort de recherche mais alors, quand vous arrivez à un bas niveau la curiosité des questions, je vois un flux constant de "vous n'avez pas besoin de savoir ça!!!". Qui est le public cible réelle de ce nouveau site? Les gens qui ont besoin de leurs mains ou de personnes qui sont vraiment prêts à creuser?
    • 100% d'accord. Savoir comment quelque chose fonctionne sous le capot est intéressant même si vous n'allez écrire du code qui l'utilise directement. J'ai édité cette réponse pour ajouter un lien vers j00ru.vexillium.org/syscalls/nt/64. Je n'ai aucune idée de pourquoi les gens qui répondent Windows asm questions sont si réticents à même de donner des pointeurs vers des infos comme ça. Tout ce qui est nécessaire, c'est de la prudence de rigueur que c'est une mauvaise idée de l'utiliser à l'extérieur des expériences personnelles et des exercices d'apprentissage, tout comme beaucoup de silly ordinateur de trucs que vous pouvez faire avec de l'asm!

    InformationsquelleAutor RaptorFactor
  2. 8

    L'autre chose que vous devez savoir sur windows syscall convention est que, comme je comprends le syscall tables sont générées dans le cadre du processus de construction. Cela signifie qu'ils peuvent simplement changer - personne ne les suit. Si quelqu'un ajoute un nouveau, en haut de la liste, il n'a pas d'importance. NTDLL fonctionne encore, donc tout le monde qui appelle NTDLL fonctionne toujours.

    Même le mécanisme utilisé pour effectuer des appels (qui int, ou sysenter) n'est pas fixé dans la pierre et qui a changé dans le passé, et je pense qu'une fois la même version de windows utilisée Dll différents qui utilisent différents mécanismes d'entrée en fonction du CPU de la machine.

    • +1 parce que j'ai trouvé cela très intéressant. Avez-vous des ressources (internet ou des livres) où l'on peut apprendre plus au sujet de ce genre d'API Win32 / syscall internes?
    • Il est un peu en dehors de la date, mais à l'Intérieur de Windows 2000 couvre ce que je pense. nynaeve.net/?p=48 a une belle discussion et démontre aussi qu'il y a trois dernières syscall conventions en usage sur windows sur les ordinateurs x86 et x64. IA64 probablement fait quelque chose de totalement différent de nouveau, et puis bien sûr il y a l'Alpha, PowerPC, MIPS et probablement d'autres. Bien sûr, d'habitude mise en garde s'applique - tous les sans-papiers et susceptibles de changer.
    InformationsquelleAutor Stewart
  3. 1

    Windows appels système sont effectuées par l'appel système Dll, telles que kernel32.dll ou gdi32.dll, ce qui est fait avec de simples appels de sous-programme. Les mécanismes de piégeage dans le système d'exploitation privilégié de la couche est sans-papiers, mais c'est bien parce que la Dll comme kernel32.dll le faire pour vous.

    Et par les appels système, je fais allusion à l'documenté Windows API points d'entrée comme CreateProcess() ou GetWindowText(). Les pilotes de périphériques utilisent généralement une API différente à partir de le kit DDK de Windows.

    • 1. Comment vais-je les utiliser dans la programmation en langage assembleur? 2. API de Windows et le système d'appels ne sont pas la même chose. API WINDOWS utilisation, les appels système. L'analogie similaire sur linux domaine serait POSIX API (API WINDOWS) utilisation des appels système fourni par le noyau de linux (noyau de windows). Donc, mon souci c'est que sur le true, les appels système.
    • Je comprends qu'il y a une différence entre les appels de l'API et trappes dans le système d'exploitation privilégié de la couche (ce que vous appelez "vrai" système d'appels). Ces "vrai" système d'appels sont un détail de l'implémentation de Dll système de Windows. Vous pourriez être en mesure de comprendre comment ils fonctionnent par le démontage de la Dll et la recherche à l'assemblée. Ou vous pouvez simplement écrire votre code d'assemblée pour appeler la Dll comme approprié... c'est possible.
    InformationsquelleAutor Will
  4. 1

    J'étais intéressé à faire un appel API de windows à l'assemblée avec aucun des importations (comme un exercice éducatif), j'ai donc écrit ce qui suit FASM assemblée à faire ce NtDll!NtCreateFile n'. C'est un rude démonstration sur ma version 64 bits de Windows (Win10 1803 Version 10.0.17134), et il se bloque après l'appel, mais la valeur de retour de la syscall est nulle si elle est couronnée de succès. Tout est mis en place par le Windows x64 convention d'appel, puis le système de numéro d'appel est chargé dans RAX, et puis c'est le syscall instructions de montage pour exécuter l'appel. Mon exemple crée le fichier c:\HelloWorldFile_FASM, de sorte qu'il doit être exécuté "en tant qu'administrateur".

    format PE64 GUI 4.0


entry start


section '.text' code readable executable


 start: 
 ;puting the first four parameters into the right registers

                            mov rcx, _Handle
                            mov rdx, [_access_mask]
                            mov r8, objectAttributes
                            mov r9, ioStatusBlock

 ;I think we need 1 stack word of padding:

                            push 0x0DF0AD8B


 ;pushing the other params in reverse order:

                            push [_eaLength]
                            push [_eaBuffer]
                            push [_createOptions]
                            push [_createDisposition]
                            push [_shareAcceses]
                            push [_fileAttributes]
                            push [_pLargeInterger]

 ;adding the shadow space (4x8)

 ;                               push 0x0
 ;                               push 0x0
 ;                               push 0x0
 ;                               push 0x0

 ;pushing the 4 register params into the shadow space for ease of debugging

                            push r9
                            push r8
                            push rdx
                            push rcx

 ;now pushing the return address to the stack:

                            push endOfProgram

                            mov r10, rcx ;copied from ntdll!NtCreateFile, not sure of the reason for this
                            mov eax, 0x55
                            syscall

 endOfProgram:
                            retn




 section '.data' data readable writeable

 ;parameters------------------------------------------------------------------------------------------------

 _Handle                         dq      0x0
 _access_mask                    dq      0x00000000c0100080
 _pObjectAttributes              dq      objectAttributes        ; at 00402058
 _pIoStatusBlock                 dq           ioStatusBlock
 _pLargeInterger                 dq      0x0
 _fileAttributes                 dq      0x0000000000000080
 _shareAcceses                   dq      0x0000000000000002
 _createDisposition              dq      0x0000000000000005
 _createOptions                  dq      0x0000000000000060
 _eaBuffer                       dq      0x0000000000000000       ; "optional" param
 _eaLength                       dq      0x0000000000000000

 ;----------------------------------------------------------------------------------------------------------


                            align   16
 objectAttributes:
 _oalength                       dq      0x30
 _rootDirectory                  dq      0x0
 _objectName                     dq           unicodeString
 _attributes                     dq      0x40
 _pSecurityDescriptor            dq      0x0
 _pSecurityQualityOfService      dq      securityQualityOfService


 unicodeString:
 _unicodeStringLength            dw      0x34
 _unicodeStringMaxumiumLength    dw      0x34, 0x0, 0x0
 _pUnicodeStringBuffer           dq      _unicodeStringBuffer


 _unicodeStringBuffer            du      '\??\c:\HelloWorldFile_FASM'       ; may need to "run as adinistrator" for the file create to work.



 ioStatusBlock:
 _status_pointer                 dq      0x0
 _information                    dq      0x0


 securityQualityOfService:
 _sqlength                       dd      0xC
 _impersonationLevel             dd      0x2
 _contextTrackingMode            db      0x1
 _effectiveOnly                  db      0x1, 0x0, 0x0

    J'ai utilisé la documentation de Ntdll!NtCreateFile, et j'ai aussi utilisé le débogueur de noyau à regarder et copier beaucoup de la params.

    __kernel_entry NTSTATUS NtCreateFile(
  OUT PHANDLE                      FileHandle,
  IN ACCESS_MASK                   DesiredAccess,
  IN POBJECT_ATTRIBUTES            ObjectAttributes,
  OUT PIO_STATUS_BLOCK             IoStatusBlock,
  IN PLARGE_INTEGER AllocationSize OPTIONAL,
  IN ULONG                         FileAttributes,
  IN ULONG                         ShareAccess,
  IN ULONG                         CreateDisposition,
  IN ULONG                         CreateOptions,
  IN PVOID EaBuffer                OPTIONAL,
  IN ULONG                         EaLength
);
    • mov r10, rcx est probablement pour la même raison que Linux: syscall lui-même clobbers rcx (et r11) avant que le noyau de la voir, de sorte que le noyau syscall convention d'appel utilise r10 au lieu de rcx. Quelle version(s) de Windows ne ce code de travail sur? Le syscall ABI n'est pas stable sur Windows, paramètres différents ou même un code autre que eax = 0x55 pourrait être la bonne façon de l'appeler sur les autres versions de Windows.
    • Merci pour l'info sur la mov r10, rcx ligne; je n'avais pas regardé encore. Ma version de windows est 10.0.17134 Construire 17134 .
    • Pour plus de détails sur syscall et RCX, voir Pourquoi ne x86-64 Linux système d'appels modifier RCX, et quelle est la valeur moyenne? et Différence dans l'ABI entre Linux x86_64 les fonctions et les syscalls. Et Pourquoi Assemblée x86_64 syscall paramètres ne sont pas dans l'ordre alphabétique comme i386 pour un exemple d'une fonction wrapper comme Linux/glibc mmap qui ne dispose que de mov r10,rcx)
    • Merci. J'ai regardé le syscall documentation et je vois qu'il enregistre l'adresse suivante dans RCX. Je pourrais améliorer ma démonstration ci-dessus, car j'ai remarqué qu'après la création du fichier, il se bloque avec une exception de violation d'accès. Je ne voulais pas en faire un autre appel pour bien terminer le processus.
    • Je ne dis pas que je vous recommandons d'utiliser syscall numéros directement (comme ils le font changer), mais le syscall numéros sont officieusement documenté. La Version Windows 10.0.17134 est Windows(1803) et le syscall pour NtCreateFile est 0x55. Tous les 5 publié des versions de Gagner 10 utilisation 0x55 jusqu'à présent. (Pré Win10 ont utilisé le système de numéros d'appel autre que 0x55)
    • Le mov r10,rcx est parce que le syscall interface passe le premier paramètre via r10 au lieu de RCX. Régulièrement 64-bit appel de fonction utilise RCX, RDX, R8 et R9. Syscall utilise R10, RDX, R8 et R9. La raison pour cela est que la syscall instruction instruction remplace RCX (il remplace également le R11).Microsoft a choisi d'utiliser R10 pour le premier paramètre de l'appel système au lieu donc pourquoi vous verrez mov r10, rcx
    • La raison pour le rembourrage supplémentaire (c'est à dire push 0x0DF0AD8B) est de maintenir la pile de l'alignement pour des raisons de performances. Vous devez ajouter 8 octets (un quadword) de rembourrage SI il existe un équivalent d'un même nombre de pousse fait avant le syscall (sinon vous n'avez pas besoin de rembourrage). C'est parce que la pile n'est pas correctement alignée par 8 au point start est exécuté parce que l'adresse de retour est sur la pile.
    • La raison pour laquelle votre code est un échec, c'est parce que vous n'avez pas à nettoyer la pile après la syscall. Vous avez poussé l'équivalent de 13 quadwords pour configurer le syscall vous avez besoin d'ajuster la pile après le syscall pour restaurer le pointeur de pile à son état précédent avant de faire le ret. 13*8=104 octets mis sur la pile avant syscall. Après le syscall vous pouvez simplement faire add rsp, 104 pour nettoyer la pile.
    • Parce que le premier paramètre à la syscall est en R10 au lieu de RCX vous pouvez remplacer mov rcx, _Handle avec mov r10, _Handle et ensuite, vous pouvez supprimer le mov r10, rcx tout à fait. Vous pouvez également modifier push rcx à push r10
    • Une version révisée de votre code qui doit encore travailler et prendre tout cela en compte, c'est ici: capp-sysware.com/misc/stackoverflow/2489889/winsyscall.asm
    • Puisque vous êtes en formant un syscall directement (sans passer par les paramètres passés pour commencer), l'adresse de retour de l'adresse n'a pas à avoir une quelconque valeur. syscall de ne pas l'utiliser pour retourner à (syscall sera de retour à l'instruction après syscall). Ainsi, au lieu de push endOfProgram vous pouvez simplement appuyer sur n'importe quel registre (sa valeur n'a pas d'importance) comme push rbp (ou push rax registre n'a pas d'importance)

    InformationsquelleAutor Elliot
  5. -3

    OFFICIEL de la convention d'Appel dans Windows: http://msdn.microsoft.com/en-us/library/7kcdt6fy.aspx

    (espérons que ce lien survit dans l'avenir; s'il ne le fait pas, il suffit de chercher "x64 Logiciel Conventions" sur MSDN).

    La fonction de convention d'appel diffère dans Linux & Windows x86_64. Dans les deux ABIs, les paramètres sont de préférence transmis via les registres, les registres utilisés diffèrent. Plus sur l'ABI Linux peut être trouvé à http://www.x86-64.org/documentation/abi.pdf

    • Cela ne veut pas répondre à la question, qui était sur la convention pour la remettre en mode noyau. C'est pour le mode d'utilisation de la fonction de convention d'appel, ce qui est très différent. Et bien documentées.
    InformationsquelleAutor claws