转自: http://hi.baidu.com/zzzevazzz/item/b2a9c9a4ea6805f615329ba7
这两个Vista新增的系统服务函数原型未公开,目前网上搜索到的资料有些问题,特别是对于最后一个参数的描述不确切。
首先说NtCreateUserProcess。网上找到的函数原型如下:
DWORD newNtCreateUserProcess(PVOID pvP1,PVOID pvP2,PVOID pvP3,PVOID pvP4,PVOID pvP5,PVOID pvP6,PVOID pvP7,PVOID pvP8,PVOID pvP9,PVOID pvP10,PPROCESS_UNKNOWN ppuUnknown)
typedef struct {
ULONG Length;
ULONG Unknown1;
ULONG Unknown2;
PWSTR pwsImageFileName;
ULONG Unknown4;
ULONG Unknown5;
ULONG Unknown6;
PCLIENT_ID pcidClient;
ULONG Unknown8;
ULONG Unknown9;
ULONG Unknown10;
ULONG Unknown11;
ULONG Unknown12;
ULONG Unknown13;
ULONG Unknown14;
ULONG Unknown15;
ULONG Unknown16;
} PROCESS_UNKNOWN, *PPROCESS_UNKNOWN;
姑且不论这么多的Unknown,仅仅是“公开”的pwsImageFileName也不总是吻合。如果挂钩NtCreateUserProcess并以此来获取进程全路径,那么某些时候(比如注销重新登陆时)就会失败。而另一个pcidClient更是不知所云,真不知道当初第一个公布的人是怎么判断的。唯一始终符合的只有Length成员。
另一个NtCreateThreadEx由于有NtCreateThread作参考,所以看起来好一点,但最后一个参数仍然是雾里看花。
typedef struct {
ULONG Length;
ULONG Unknown1;
ULONG Unknown2;
PULONG Unknown3;
ULONG Unknown4;
ULONG Unknown5;
ULONG Unknown6;
PULONG Unknown7;
ULONG Unknown8;
} UNKNOWN;
typedef DWORD (WINAPI *NtCreateThreadEx)
(
PHANDLE ThreadHandle,
ACCESS_MASK DesiredAccess,
POBJECT_ATTRIBUTES ObjectAttributes,
HANDLE ProcessHandle,
LPTHREAD_START_ROUTINE lpStartAddress,
LPVOID lpParameter,
BOOL CreateSuspended,
DWORD dwStackSize,
DWORD dw1,
DWORD dw2,
LPVOID Unknown
);
又是一堆Unknown,用的时候得像这样:
memset (&Buffer,0,sizeof(UNKNOWN));
Buffer.Length = 36; // sizeof (UNKNOWN)
Buffer.Unknown1 = 0x10003;
Buffer.Unknown2 = 0x8;
Buffer.Unknown3 = &dw1;
Buffer.Unknown4 = 0;
Buffer.Unknown5 = 0x10004;
Buffer.Unknown6 = 4;
Buffer.Unknown7 = &dw0;
Buffer.Unknown8 = 0;
虽然可以运行,但这样搞心里总是没底的。
观察运行时的实际数据就能发现,两个函数最后的参数指向的应该是同一种数据结构。
那么它到底是什么?这里省略调试跟踪的细节,直接公布答案。其实它和用户态的LPPROC_THREAD_ATTRIBUTE_LIST是类似的东西。
随着Vista创建进程过程变得更复杂,CreateProcess的参数也要跟着增加。为了保持向前兼容性和扩展性,微软搞了一个AttributeList,放在StartupInfo的扩展结构STARTUPINFOEX里。这个AttributeList的大小和成员位置是动态决定的,所以才出现那两个Unknown结构“不靠谱”的情况。
AttributeList的结构也是未公开的,只能用InitializeProcThreadAttributeList和UpdateProcThreadAttribute等API操作。通过逆向工程不难得到结构的细节。这事有人已经做过了:
struct _ProThreadAttrItem {
DWORD dwFlags;
DWORD cbBufSize;
HANDLE* pHandleBuf;
};
struct _ProcThreadAttrHeader {
DWORD dwMark;
DWORD dwTotalNum;
DWORD dwCurNum;
DWORD dwUnknown;
_ProThreadAttrItem* lpLast;
};
struct _StartupInfoExW {
STARTUPINFOW si;
_ProcThreadAttrHeader* pEx;
};
系统服务用的AttributeList结构略有不同,以下是我逆向的结果:
typedef struct _NT_PROC_THREAD_ATTRIBUTE_ENTRY {
ULONG Attribute; // PROC_THREAD_ATTRIBUTE_XXX,参见MSDN中UpdateProcThreadAttribute的说明
SIZE_T Size; // Value的大小
ULONG_PTR Value; // 保存4字节数据(比如一个Handle)或数据指针
ULONG Unknown; // 总是0,可能是用来返回数据给调用者
} PROC_THREAD_ATTRIBUTE_ENTRY, *PPROC_THREAD_ATTRIBUTE_ENTRY;
typedef struct _NT_PROC_THREAD_ATTRIBUTE_LIST {
ULONG Length; // 结构总大小
NT_PROC_THREAD_ATTRIBUTE_ENTRY Entry[1];
} NT_PROC_THREAD_ATTRIBUTE_LIST, *PNT_PROC_THREAD_ATTRIBUTE_LIST;
两个系统服务大部分参数也确定了:
NTSTATUS NtCreateUserProcess(
OUT PHANDLE ProcessHandle,
OUT PHANDLE ThreadHandle,
IN ACCESS_MASK ProcessDesiredAccess,
IN ACCESS_MASK ThreadDesiredAccess,
IN POBJECT_ATTRIBUTES ProcessObjectAttributes OPTIONAL,
IN POBJECT_ATTRIBUTES ThreadObjectAttributes OPTIONAL,
IN ULONG CreateProcessFlags,
IN ULONG CreateThreadFlags,
IN PRTL_USER_PROCESS_PARAMETERS ProcessParameters,
IN PVOID Parameter9,
IN PNT_PROC_THREAD_ATTRIBUTE_LIST AttributeList
);
NTSTATUS NtCreateThreadEx(
OUT PHANDLE ThreadHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
IN HANDLE ProcessHandle,
IN PTHREAD_START_ROUTINE StartRoutine,
IN PVOID StartContext,
IN ULONG CreateThreadFlags,
IN ULONG ZeroBits OPTIONAL,
IN ULONG StackSize OPTIONAL,
IN ULONG MaximumStackSize OPTIONAL,
IN PNT_PROC_THREAD_ATTRIBUTE_LIST AttributeList
);
CreateProcessFlags和CreateThreadFlags没有现成的宏定义,只能逆向分析。
下面是含义较明确的常用定义。
#define CREATE_PROCESS_BREAKAWAY_FROM_JOB 0x0001
#define CREATE_PROCESS_INHERIT_HANDLES 0x0004
#define CREATE_PROCESS_PROTECTED 0x0040
#define CREATE_THREAD_SUSPENDED 0x0001
Parameter9是一个固定大小的结构,内容含义有待继续分析。