WIN32 API в Windows 7: как вызывать функцию NtCreateThread из ntdll.dll

@DCNick3 · Регистрация: 03.05.2014

Студворк — интернет-сервис помощи студентам

Значит дело такое, решил я узнать, как вызывать функцию NtCreateThread из ntdll.dll
Прототип был найден

C
1
2
3
4
5
6
7
8
9
10
11
NtCreateThread(
 
 
  OUT PHANDLE             ThreadHandle,
  IN ACCESS_MASK          DesiredAccess,
  IN POBJECT_ATTRIBUTES   ObjectAttributes OPTIONAL,
  IN HANDLE               ProcessHandle,
  OUT PCLIENT_ID          ClientId,
  IN PCONTEXT             ThreadContext,
  IN PINITIAL_TEB         InitialTeb,
  IN BOOLEAN              CreateSuspended );

Но не совсем понятны некоторые параметры. Поэтому принял решение: посмотреть как её вызывает Kernel32.dll.
Я с ужасом обнаружил там заглушку на заглушку, отправляющую нас в api-ms-win-core-processthreads-l1-1-0.dll

Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
14
.text:0000000078D36210                 sub     rsp, 48h
.text:0000000078D36214                 mov     rax, [rsp+48h+lpThreadId]
.text:0000000078D36219                 mov     [rsp+48h+var_10], rax ; lpThreadId
.text:0000000078D3621E                 mov     eax, [rsp+48h+dwCreationFlags]
.text:0000000078D36222                 mov     [rsp+48h+lpAttributeList], 0 ; lpAttributeList
.text:0000000078D3622B                 mov     [rsp+48h+var_20], eax ; dwCreationFlags
.text:0000000078D3622F                 mov     [rsp+48h+lpParameter], r9 ; lpParameter
.text:0000000078D36234                 mov     r9, r8          ; lpStartAddress
.text:0000000078D36237                 mov     r8, rdx         ; dwStackSize
.text:0000000078D3623A                 mov     rdx, rcx        ; lpThreadAttributes
.text:0000000078D3623D                 or      rcx, 0FFFFFFFFFFFFFFFFh ; hProcess
.text:0000000078D36241                 call    CreateRemoteThreadEx_1
.text:0000000078D36246                 add     rsp, 48h
.text:0000000078D3624A                 retn

Assembler
1
2
3
4
5
.text:0000000078D36254 ; HANDLE __stdcall CreateRemoteThreadEx_1(HANDLE hProcess, LPSECURITY_ATTRIBUTES lpThreadAttributes, SIZE_T dwStackSize, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, DWORD dwCreationFlags, LPPROC_THREAD_ATTRIBUTE_LIST lpAttributeList, LPDWORD lpThreadId)
.text:0000000078D36254 CreateRemoteThreadEx_1 proc near        ; CODE XREF: CreateThreadStub+31p
.text:0000000078D36254                                         ; CreateRemoteThreadStub+29p
.text:0000000078D36254                 jmp     cs:__imp_CreateRemoteThreadEx
.text:0000000078D36254 CreateRemoteThreadEx_1 endp

А вот в этом самом api-ms-win-core-processthreads-l1-1-0.dll мы видим еще более крутую заглушку на все экспортируемые функции:

Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
.text:000007FF2C801068 ; BOOL __stdcall SetProcessShutdownParameters(LPPROC_THREAD_ATTRIBUTE_LIST lpAttributeList, DWORD dwFlags, DWORD_PTR Attribute, PVOID lpValue, SIZE_T cbSize, PVOID lpPreviousValue, PSIZE_T lpReturnSize)
.text:000007FF2C801068                 public SetProcessShutdownParameters
.text:000007FF2C801068 SetProcessShutdownParameters proc near  ; DATA XREF: .text:off_7FF2C8010B8o
.text:000007FF2C801068                 xor     eax, eax        ; CreateProcessA
.text:000007FF2C801068                                         ; CreateProcessAsUserW
.text:000007FF2C801068                                         ; CreateProcessW
.text:000007FF2C801068                                         ; CreateRemoteThread
.text:000007FF2C801068                                         ; CreateRemoteThreadEx
.text:000007FF2C801068                                         ; CreateThread
.text:000007FF2C801068                                         ; GetCurrentProcess
.text:000007FF2C801068                                         ; GetCurrentProcessId
.text:000007FF2C801068                                         ; GetCurrentThread
.text:000007FF2C801068                                         ; GetCurrentThreadId
.text:000007FF2C801068                                         ; GetExitCodeProcess
.text:000007FF2C801068                                         ; GetExitCodeThread
.text:000007FF2C801068                                         ; GetPriorityClass
.text:000007FF2C801068                                         ; GetProcessId
.text:000007FF2C801068                                         ; GetProcessIdOfThread
.text:000007FF2C801068                                         ; GetProcessTimes
.text:000007FF2C801068                                         ; GetProcessVersion
.text:000007FF2C801068                                         ; GetThreadId
.text:000007FF2C801068                                         ; GetThreadPriority
.text:000007FF2C801068                                         ; GetThreadPriorityBoost
.text:000007FF2C801068                                         ; InitializeProcThreadAttributeList
.text:000007FF2C801068                                         ; OpenProcessToken
.text:000007FF2C801068                                         ; OpenThread
.text:000007FF2C801068                                         ; OpenThreadToken
.text:000007FF2C801068                                         ; ProcessIdToSessionId
.text:000007FF2C801068                                         ; QueryProcessAffinityUpdateMode
.text:000007FF2C801068                                         ; QueueUserAPC
.text:000007FF2C801068                                         ; ResumeThread
.text:000007FF2C801068                                         ; SetPriorityClass
.text:000007FF2C801068                                         ; SetProcessAffinityUpdateMode
.text:000007FF2C801068                                         ; SetProcessShutdownParameters
.text:000007FF2C801068                                         ; SetThreadPriority
.text:000007FF2C801068                                         ; SetThreadPriorityBoost
.text:000007FF2C801068                                         ; SetThreadStackGuarantee
.text:000007FF2C801068                                         ; SetThreadToken
.text:000007FF2C801068                                         ; SuspendThread
.text:000007FF2C801068                                         ; SwitchToThread
.text:000007FF2C801068                                         ; TerminateProcess
.text:000007FF2C801068                                         ; TerminateThread
.text:000007FF2C801068                                         ; TlsAlloc
.text:000007FF2C801068                                         ; TlsFree
.text:000007FF2C801068                                         ; TlsGetValue
.text:000007FF2C801068                                         ; TlsSetValue
.text:000007FF2C80106A                 retn
.text:000007FF2C80106A SetProcessShutdownParameters endp

Так как оно работает? Где находится весь код?
P.S.: Немного оффтоп, но объясните мне, пожалуйста, какая из функций (Zw или Nt) выполняет валидацию параметров, а какая нет. А то я запутался.

Добавлено через 7 минут
Нашёл реализацию в kernelbase.dll
Но всё-таки: как оно работает?

Убежденный · 07.02.2016, 15:10

Сообщение от DCNick3

Но не совсем понятны некоторые параметры.

OBJECT_ATTRIBUTES, CLIENT_ID - это уже не Win32 API, это так называемый Native API.
Нужные объявления можно найти в заголовках из Windows Driver Kits (WDK), а также
(частично) в заголовке <winternl.h>. Для функций и структур, которые документированны, в
MSDN есть описание.

Сообщение от DCNick3

Так как оно работает? Где находится весь код?

Код 99% функций, начинающихся на Nt или Zw, находится в ядре.
ntdll.dll - это лишь переходник, который загружает в eax номер соответствующего
системного сервиса и делает вызов в ядро (sysenter/syscall).

Сообщение от DCNick3

Немного оффтоп, но объясните мне, пожалуйста, какая из функций (Zw или Nt) выполняет валидацию параметров, а какая нет. А то я запутался.

Если ты вызываешь Nt/Zw-функции из режима пользователя, то валидация
параметров и проверки безопасности выполняются всегда. Более того, Nt и Zw в
режиме пользователя - одно и то же, у них адреса в ntdll.dll совпадают.

@jupman · 07.02.2016, 15:29

Сообщение от DCNick3

Где находится весь код?

А в чем проблема, поставте бряк прямо на NtCreateThread и все (имейте ввиду что на Vista и выше NtCreateUserProcess будет вызваться, если вы при создании процесса ловите).

PS: У Неббета кстати есть её описание.

@DCNick3 · 07.02.2016, 22:56 **[ТС]**

Убеждённый,
К сожалению всё что вы рассказали, я уже знал. Но спасибо. Я не понимал как эти параметры создать. Для OBJECT_ATTRIBUTES нашёл InitializeObjectAttributes, понел, что там указываются параметры nt объекта (как банально). Не было найдено масок для Desired Access. Так же не знаю как создать THREAD_CONTEX и INITIAL_TEB. Наверняка есть какие-нибудь функции, ткните носом пожалуйста.

Сообщение от Убежденный

Если ты вызываешь Nt/Zw-функции из режима пользователя, то валидация
параметров и проверки безопасности выполняются всегда. Более того, Nt и Zw в
режиме пользователя - одно и то же, у них адреса в ntdll.dll совпадают.

Вот этого не ожидал. Но нашёл, что в ядре Nt* параметры проверяет, вызываю их. Надо ведь что-то выбрать.

Сообщение от jupman

PS: У Неббета кстати есть её описание.

Тут тоже надо ткнуть носом. Я программистских книжек читал мало, видимо придётся начинать. В поисковиках не нашёл, можно хотя бы название.

И всё-таки. Каким лесом вызываются эти функции? Там же одни заглушки.

Убежденный · 08.02.2016, 10:52

Сообщение от DCNick3

OBJECT_ATTRIBUTES нашёл InitializeObjectAttributes, понел, что там указываются параметры nt объекта (как банально). Не было найдено масок для Desired Access. Так же не знаю как создать THREAD_CONTEX и INITIAL_TEB. Наверняка есть какие-нибудь функции, ткните носом пожалуйста.

OBJECT_ATTRIBUTES можно заполнить вручную: все поля по нулям,
Length - размер структуры, ObjectName - указатель на UNICODE_STRING с
именем объекта, в Attributes - атрибуты, обычно OBJ_CASE_INSENSITIVE
(в ядре еще OBJ_KERNEL_HANDLE). Все.

Остальное undocumented.
Примеры работы с этими структурами можно увидеть только в исходниках Windows
(NT4/W2K/WRK), но никаких гарантий, разумеется, никто не даст.

Сообщение от DCNick3

Вот этого не ожидал. Но нашёл, что в ядре Nt* параметры проверяет, вызываю их. Надо ведь что-то выбрать.

Повторюсь: в режиме пользователя не имеет абсолютно никакого значения,
вызываешь ли ты Nt-функцию или Zw-функцию, т.к. у них одна и та же
точка входа в ntdll.dll. Так что разницы никакой.

@jupman · 08.02.2016, 19:12

Сообщение от DCNick3

Тут тоже надо ткнуть носом. Я программистских книжек читал мало, видимо придётся начинать. В поисковиках не нашёл, можно хотя бы название.

Gary Nebbett Windows NT, 2000 Native API Reference

@DCNick3 · 10.02.2016, 10:23 **[ТС]**

Сообщение от Убежденный

Остальное undocumented.

Но ведь есть ReactOS, undocumented.ntinternals.net, и в конце концов реверс-инжиниринг. Хотя, конечно, да. Native API и так не гарантирует обратную совместимость, а тут еще недокументированный... Вот например функции Csr*, функции обмена дынными с CSRSS.EXE. Пакеты обмена с ним меняются даже от SP к SP. Ужас. А ведь такая интересная тема, эти ваши недокументированные функции, возможности, части ОС... Романтика.

Добавлено через 10 часов 49 минут
Но всё-таки. Как вызываются WINAPI функции в Windows Vista и старше? Наверное там какой-то код, который над таблицей импорта шаманит...

Убежденный · 10.02.2016, 10:26

На самом деле некоторое из того, что считается undocumented, не меняется годами.
Да, структуры дополняются, но новые поля, как правила, добавляются в конец.
Кое-что можно найти по сигнатурам, если очень нужно. Кстати, это вполне рабочий
метод, при условии, что сигнатура достаточно четкая. Я так ZwProtectVirtualMemory в
ядре искал, к примеру, а также некоторые флаги внутри EPROCESS, которые по-другому
ничем не вытащить. Так что не все потеряно, просто в таких вещах действовать нужно
ну очень осмотрительно и сначала семь раз отмерить и все перепроверить.

Сообщение от DCNick3

Как вызываются WINAPI функции в Windows Vista и старше?

Не понял, в чем "подвох" вопроса?
Вызываются также, как и на других версиях Windows.

@DCNick3 · 10.02.2016, 10:45 **[ТС]**

В этих версиях добавили кучу dll подходящх под маску api-ms-win-*
На эти dll и ссылаются все стандартные либы (по крайней мере kernel32.dll, advapi32.dll). По факту код kernel32.dll находится в kernelbase.dll
Но в api-ms-win-* находятся заглушки return 0; Как управление передаётся kernelbase.dll?

@Mikl___ · 10.02.2016, 11:04

Убежденный,
подвох, наверное, в слове "и старше". Подразумевается скорее всего 64-разрядные Windows 7/Windows 8. Параметры в WinAPI передаются уже не только через стек, а через регистры RCX, RDX, R8, R9, через стек, вещественные через XMM0-XMM3

Убежденный · 10.02.2016, 11:48

Сообщение от DCNick3

Как управление передаётся kernelbase.dll?

При загрузке исполняемого модуля в память система выполняет отображение
функций-заглушек из api-ms-win-xxx на реальные адреса из реальных dll.
За отображение отвечает специальная dll-ка - apisetschema.dll:

приложение/dll -> kernel32!некая функция -> api-ms-win-abcde[заглушка] -> somedll!реальная функция

Каких именно dll - это пользователей Win32 API вообще не должно волновать.

Ну то есть, API Sets - это вообще внутренний механизм системы для упрощения
поддержки и организации совместимости, нас, программистов, он не касается,
мы по-прежнему юзаем kernel32.dll, advapi32.dll, old32/combase.dll и т.д.

@DCNick3 · 10.02.2016, 14:47 **[ТС]**

Сообщение от Убежденный

При загрузке исполняемого модуля в память система выполняет отображение
функций-заглушек из api-ms-win-xxx на реальные адреса из реальных dll.
За отображение отвечает специальная dll-ка - apisetschema.dll:
приложение/dll -> kernel32!некая функция -> api-ms-win-abcde[заглушка] -> somedll!реальная функция
Каких именно dll - это пользователей Win32 API вообще не должно волновать.
Ну то есть, API Sets - это вообще внутренний механизм системы для упрощения
поддержки и организации совместимости, нас, программистов, он не касается,
мы по-прежнему юзаем kernel32.dll, advapi32.dll, old32/combase.dll и т.д.

Спасибо большое, надо будет попилить эту dll

Добавлено через 6 минут
Ладно, это оказалась полная пустышка. Может когда-нибудь мне удастся выяснить как оно работает. Это как-то сложно. ~~И мне лень~~
А, гениально. Там же есть данные. Имена функций...

Добавлено через 8 минут
Сорри за оффтоп, но можно ли где-то найти хотя бы прототипы функций из BOOTVID.DLL? Гугл не помогает по вполне известным "ошибкам в BOTTVID.DLL"

Убежденный · 10.02.2016, 15:18

Сообщение от DCNick3

можно ли где-то найти хотя бы прототипы функций из BOOTVID.DLL?

Можно. Они есть в исходниках Win2K (файл private\ntos\inc\bootvid.h).

@DCNick3 · 11.02.2016, 12:34 **[ТС]**

Сообщение от Убежденный

Можно. Они есть в исходниках Win2K (файл private\ntos\inc\bootvid.h).

А линковаться как с ним? На C наверно lib файл нужен...

Убежденный · 11.02.2016, 14:16

Ну даже если .lib-файлов нету - это проблема?
Напиши свой драйвер-заглушку с таким же именем и точно такими же
экспортами, как у bootvid.dll - получишь подходящий lib.

@DCNick3 · 11.02.2016, 22:08 **[ТС]**

Сообщение от Убежденный

Ну даже если .lib-файлов нету - это проблема?
Напиши свой драйвер-заглушку с таким же именем и точно такими же
экспортами, как у bootvid.dll - получишь подходящий lib.

Точно, спасибо большое!

Новые блоги и статьи Все статьи Все блоги /
Мастер-класс по микросервисам на Node.js Reangularity 21.06.2025 Node. js стал одной из самых популярных платформ для микросервисной архитектуры не случайно. Его неблокирующая однопоточная модель и событийно-ориентированный подход делают его идеальным для. . .	Управление Arduino из WPF приложения Wired 21.06.2025 Зачем вообще связывать Arduino с WPF-приложением? Казалось бы, у Arduino есть собственная среда разработки, своя экосистема, свои способы управления. Однако при создании серьезных проектов. . .	Звёздная пыль kumehtar 20.06.2025 Я просто это себе представляю: как создавался этот мир. Как энергия слипалась в маленькие частички. Как они собирались в первые звёзды, как во вселенной впервые появился Свет. Как эти звёзды. . .	Создание нейросети с PyTorch AI_Generated 19.06.2025 Ключевое преимущество PyTorch — его питоновская натура. В отличие от TensorFlow, который изначально был построен как статический вычислительный граф, PyTorch предлагает динамический подход. Это. . .	JWT аутентификация в ASP.NET Core UnmanagedCoder 18.06.2025 Разрабатывая веб-приложения, я постоянно сталкиваюсь с дилеммой: как обеспечить надежную аутентификацию пользователей без ущерба для производительности и масштабируемости? Классические подходы на. . .
Краткий курс по С# aaLeXAA 18.06.2025 Здесь вы найдете все необходимые функции чтоб написать програму на C# Задание 1: КЛАСС FORM 1 public partial class Form1 : Form { Spisok listin = new Spisok(); . . .	50 самых полезных примеров кода Python для частых задач py-thonny 17.06.2025 Эффективность работы разработчика часто измеряется не количеством написаных строк, а скоростью решения задач. Готовые сниппеты значительно ускоряют разработку, помогают избежать типичных ошибок и. . .	C# и продвинутые приемы работы с БД stackOverflow 17.06.2025 Каждый . NET разработчик рано или поздно сталкивается с ситуацией, когда привычные методы работы с базами данных превращаются в источник бессонных ночей. Я сам неоднократно попадал в такие ситуации,. . .	Angular: Вопросы и ответы на собеседовании Reangularity 15.06.2025 Готовишься к техническому интервью по Angular? Я собрал самые распространенные вопросы, с которыми сталкиваются разработчики на собеседованиях в этом году. От базовых концепций до продвинутых. . .	Архитектура Onion в ASP.NET Core MVC stackOverflow 15.06.2025 Что такое эта "луковая" архитектура? Термин предложил Джеффри Палермо (Jeffrey Palermo) в 2008 году, и с тех пор подход только набирал обороты. Суть проста - представьте себе лук с его. . .

@DCNick3 4 / 4 / 6 Регистрация: 03.05.2014 Сообщений: 101
	10.02.2016, 10:45 [ТС]
	В этих версиях добавили кучу dll подходящх под маску api-ms-win-* На эти dll и ссылаются все стандартные либы (по крайней мере kernel32.dll, advapi32.dll). По факту код kernel32.dll находится в kernelbase.dll Но в api-ms-win-* находятся заглушки return 0; Как управление передаётся kernelbase.dll? 0

@Mikl___ Ушел с форума 16364 / 7677 / 1078 Регистрация: 11.11.2010 Сообщений: 13,743
	10.02.2016, 11:04
	Убежденный, подвох, наверное, в слове "и старше". Подразумевается скорее всего 64-разрядные Windows 7/Windows 8. Параметры в WinAPI передаются уже не только через стек, а через регистры RCX, RDX, R8, R9, через стек, вещественные через XMM0-XMM3 0

Убежденный Ушел с форума 16478 / 7441 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	11.02.2016, 14:16
	Ну даже если .lib-файлов нету - это проблема? Напиши свой драйвер-заглушку с таким же именем и точно такими же экспортами, как у bootvid.dll - получишь подходящий lib. 2

WIN32 API в Windows 7: как вызывать функцию NtCreateThread из ntdll.dll

Решение