解析windows消息处理机制

最新推荐文章于 2024-08-31 20:51:07 发布
最新推荐文章于 2024-08-31 20:51:07 发布
阅读量1.6k 收藏
点赞数
分类专栏: Windows编程

解析windows消息处理机制

众所周知Windows系统通过消息机制来管理交互,Windows的应用程序一般包含窗口 (Window),它主要为用户提供一种可视化的交互方式,窗口是由线程(Thread)创建的。消息 (Message)被发送,保存,处理,一个线程会维护自己的一套消息队列(Message Queue),以保持线程间的独占性,那具体又是如何处理的呢?

消息由一个叫MSG的结构体定义,包括窗口句柄(HWND),消息ID(UINT),参数(WPARAM, LPARAM)等等:

struct MSG

{

    HWND hwnd;

    UINT message;

    WPARAM wParam;

    LPARAM lParam;

    DWORD time;

     POINT pt;

};

每个线程维护了一个THREADINFO的结构体,里面保存了5个消息队列。

typedef struct _tagTHREADINFO           // 156 elements, 0x208 bytes (sizeof)

{

/*0x0BC*/     struct _tagQ* pq;// input queue

/*0x0E0*/     struct _tagSMS* psmsSent;// send queue (sent)

/*0x0E4*/     struct _tagSMS* psmsCurrent;// send queue (current)

/*0x0E8*/     struct _tagSMS* psmsReceiveList;// send queue (received)

/*0x174*/     struct _tagMLIST mlPost;// post queue

} tagTHREADINFO, *PtagTHREADINFO;

消息得传递分为两种:1,异步方式,比如:PostMessage();直接把消息插入到mlPost消息队列中就返回了!2,同步的方式,比如:sendmessage,它的处理就比较麻烦了。今天我们主要看一下这个函数的执行流程。

Sendmessage由USER32.dll导出,经过简单处理之后通过SSDT shadow 进入内核的NtUserMessageCall  函数。

NTSTATUS NtUserMessageCall (

HWND hWnd,// target window

UINT Msg,// message type

WPARAM wParam,// param1

LPARAM lParam,// param2

ULONG_PTR ResultInfo,// param3

DWORD dwType,// window procedure

BOOL bAnsi )// ansi/unicode

NtUserMessageCall  首先判断hWnd是不是有效的窗口对象,然后判断Msg是否是系统定义的消息,如果是,就通过MessageTable得到索引。

kd> db win32k!MessageTable

822a42c8  00 c2 00 00 00 00 00 00-00 00 00 00 c3 c4 ec 00  ................

822a42d8  00 00 00 00 80 00 00 00-00 00 c3 c5 00 00 00 00  ................

822a42e8  00 00 00 00 86 00 00 80-00 00 00 87 88 89 00 4a  ...............J

822a42f8  00 80 00 00 00 00 00 00-8b 8c 29 00 a9 00 00 00  ..........).....

822a4308  00 00 00 00 00 00 8d 8e-00 cf 90 00 00 00 00 00  ................

822a4318  00 00 00 91 00 00 00 00-00 00 00 00 00 00 00 00  ................

822a4328  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................

822a4338  a9 00 00 00 00 00 00 00-00 00 00 00 92 92 00 00  ................

再然后通过得到的索引调用代理函数,代理函数保存在一个名叫_gapfnMessageCall的数组中

.rdata:BF9F31C8 _gapfnMessageCall dd offset _NtUserfnNCDESTROY@28

.rdata:BF9F31CC                 dd offset _NtUserfnNCDESTROY@28

.rdata:BF9F31D0                 dd offset _NtUserfnINLPCREATESTRUCT@28

.rdata:BF9F31D4                 dd offset _NtUserfnINSTRINGNULL@28

.rdata:BF9F31D8                 dd offset _NtUserfnOUTSTRING@28

.rdata:BF9F31DC                 dd offset _NtUserfnINSTRING@28

.rdata:BF9F31E0                 dd offset _NtUserfnINOUTLPPOINT5@28

在代理函数中依次调用

                      xxxSendMessage

                            |

|

|

                               \  /

                        xxxSendMessageTimeout 

                            |

|

|

                               \  /

                           xxxInterSendMsgEx

在xxxInterSendMsgEx中创建发送消息结构体send message structure (win32k!tagSMS);利用AllocSMS()创建结构体之后通过MSGSQMAddMessage(x,x,x,x,x,x,x)添加到队列中。然后通知服务线程!

typedef struct _tagSMS                      // 15 elements, 0x3C bytes (sizeof)

{

/*0x000*/     struct _tagSMS* psmsNext;

/*0x004*/     struct _tagSMS* psmsReceiveNext;

/*0x008*/     struct _tagTHREADINFO* ptiSender;

/*0x00C*/     struct _tagTHREADINFO* ptiReceiver;

/*0x010*/     FUNCT_00A4_1106_lpResultCallBack* lpResultCallBack;

/*0x014*/     ULONG32      dwData;

/*0x018*/     struct _tagTHREADINFO* ptiCallBackSender;

/*0x01C*/     LONG32       lRet;

/*0x020*/     ULONG32      tSent;

/*0x024*/     UINT32       flags;

/*0x028*/     UINT32       wParam;

/*0x02C*/     LONG32       lParam;

/*0x030*/     UINT32       message;

/*0x034*/     struct _tagWND* spwnd;

/*0x038*/     VOID*        pvCapture;

} tagSMS, *PtagSMS;

客服端的分析就到这里结束了....我们想想现在把消息添加进去了,那系统又是如何取得并如何分发的呢?那就得通过getmessage这个入口点了。

Getmessage-->NtUserGetMessage----->xxxRealInternalGetMessage------>xxxReceiveMessage。

-------------------不写了-----------------------没心情了------------

好吧```由于昨天不在状态咯,,今天继续更新

主要来仔细分析一下xxxReceiveMessage函数的执行流程,和Sendmessge一样,此函数通过MessageTable得到一个索引值,然后根据这个值在_gapfnScSendMessage数组中找到一个代理函数

.rdata:BF9F31C8 _gapfnMessageCall dd offset _NtUserfnNCDESTROY@28

.rdata:BF9F31CC                 dd offset _NtUserfnNCDESTROY@28

.rdata:BF9F31D0                 dd offset _NtUserfnINLPCREATESTRUCT@28

.rdata:BF9F31D4                 dd offset _NtUserfnINSTRINGNULL@28

.rdata:BF9F31D8                 dd offset _NtUserfnOUTSTRING@28

.rdata:BF9F31DC                 dd offset _NtUserfnINSTRING@28

.rdata:BF9F31E0                 dd offset _NtUserfnINOUTLPPOINT5@28

在代理函数中通过KeUserModeCallback的力量回到RING3之上,进行一系列的数据操作,再然后回到内核中一路返回到xxxReceiveMessage,在该函数中填充MSG结构体并返回给调用者。(注:KeUserModeCallback的执行流程请看黑月教主的《KeUserModeCallback用法详解》地址:http://bbs.pediy.com/showthread.php?t=104918 ),然后告知发送者已经完成。

在同步的处理消息的时候,没有确认证实地址的可用性下就使用,将会带来DOs漏洞的攻击,比如MS11-012 ,MS10-073)以及最近爆出来的漏洞MS11-077另附MS11-077的一个BSOD代码

/*

* 【作者:KiDebug】

* 【E-Mail:Google¥pku.edu.cn】

*/

#include <Windows.h>

void main()

{

  SendNotifyMessage((HWND)-1,0x180,0,0);

蓝屏时的调用栈:

1 0: kd> kp

2 ChildEBP RetAddr  

3 ee0a3d08 bf80eed3 win32k!NtUserfnINLBOXSTRING+0x8

4 ee0a3d40 8054261c win32k!NtUserMessageCall+0xae

5 ee0a3d40 7c92e4f4 nt!KiFastCallEntry+0xfc

6 0012ff3c 77d194be ntdll!KiFastSystemCallRet

7 0012ff64 00401011 USER32!NtUserMessageCall+0xc

8 0012ff78 00401148 1!main(void)+0x11 [r:\temp\1\1.cpp @ 6]

9 0012ffc0 7c817067 1!__tmainCRTStartup(void)+0x10b [f:\dd\vctools\crt_bld\self_x86\crt\src\crt0.c @ 278]

10 0012fff0 00000000 kernel32!BaseProcessStart+0x23

由此可以看出是在处理NtUserfnINLBOXSTRING代理函数时出现的问题`````

我相信再WIN32K中还有很多这样的的漏洞~~~

--------------------------昏割线-----------------------------------------------------

Sendmessge和getmessge执行流程图:


cosmoslife
关注
专栏目录
Windows消息
king_weng的博客
08-26 755
1、消息 (1)消息Windows发出的一个通知,告诉应用程序某个事情发生。Windows中,消息使用同一的结构体来存放消息。 typedef struct tagMSG{ HWND hwnd; //窗口句柄 UINT message; //消息常量标识符 WPARAM wParam; //32位消息的特定附加消息 LPARAM lPara...
Qt和Windows消息通信机
z_tt123456789的博客
07-17 1594
Qt和Windows消息通信机 Qt Qt是以事件驱动的UI工具集。 大家熟知Signals/Slots在多线程的实现也依赖于Qt的事件处理机。 在Qt中,事件被封装成一个个对象,所有的事件均继承自抽象类QEvent. 接下来依次谈谈Qt中有谁来产生、分发、接受和处理事件: 1、谁来产生事件: 最容易想到的是我们的输入设备,比如键盘、鼠标产生的 keyPressEvent,keyReleaseEvent,mousePressEvent,mouseReleaseEvent事件(他们被封装成QM.
Windows网络编程(九):消息选择模型
tutucoo
11-26 412
概述 这种模型的使用需要在调用完socket()函数以后调用WSAAsyncSelect(),这个函数的声明如下: int WSAAsyncSelect(SOCKET s,HWND hWnd,u_int wMsg,long lEvent) s:需要使用异步模式的套接字 wMsg:用户自定义的消息,这个自定义消息可以是WM_USER + 200,通过将这个消息跟回调函数映射,可以在接...
windows消息处理过程及消息钩子
研究源码的最底层,只持有正确的仓位
01-15 3213
应用层发消息: 发送消息过程 SendMessage(user32.dll)-&gt;SendMessageWorker,先检查有没有hook消息钩子,有的话调用CsSendMessage,进入消息钩子过滤函数。 没有的话,看是不是系统消息,是的话在Message表中找到对应msg id的索引值,通过索引值在在gapfnScSendMessage数组中找到对应的消息处理函数 如果是NtUser...
关于THREADINFO结构
Tommy(凌飞)的专栏
10-27 5996
线程为窗口维护一个threadinfo结构,  threadinfo数据结构:  ------------------  |登记消息队列指针|  ------------------  |虚拟输入队列指针|  ------------------  |发送消息队列指针|  ------------------  |应答消息队列指针|  ------------------
windows message manager
飞鸟的专栏
08-31 1553
SendMessage窗口过程函数的调用有两个入口,一个是自己的线程给自己窗口发通知,这样直接调用内部函数进行调用,使用IntCallMessageProc来调用函数,另一种方式是转换用户消息为内核消息,调用NtUserMessageCall来传递消息。LRESULT WINAPI SendMessageW(HWND Wnd, UINT Msg, WPARAM wParam
windows消息循环机
07-11
Windows 消息循环机Windows 操作系统的核心机之一,它使得应用程序能够与操作系统进行交互,处理用户事件和消息。下面将对 Windows 消息循环机和 API 程序设计进行详细的介绍。 操作系统和窗口环境 操作...
解析Windows2000的IDT扩展机》配套代码VC源代码
03-15
解析Windows2000的IDT扩展机》是一本深入探讨Windows操作系统内核机的书籍,特别是关于中断描述表(IDT)的扩展技术。IDT是Windows系统中的核心组件,它负责管理处理器的中断处理流程。在这个配套的VC源代码中...
Windows消息视频
06-11
Windows消息Windows操作系统核心部分的一个重要组成部分,它在应用程序与操作系统之间起到了桥梁的作用,使得程序可以接收并处理来自用户的输入和其他系统事件。这个视频教程应该是深入解析了这一主题,帮助...
深入解析windows操作系统第6版下册-内存管理.zip
07-24
《深入解析Windows操作系统第6版下册 - 内存管理》是一本专为Windows操作系统爱好者和专业人士准备的权威书籍,其深入探讨了Windows系统中的内存管理机。内存管理是操作系统的核心组成部分,它决定了系统如何有效...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
分析了一下360安全卫士的hook(zt)
lionzl的专栏
07-11 3363
分析了一下360安全卫士的hook(zt)2010-6-3 18:36阅读(12) 分析了一下360的HOOK,通过直接hook KiFastCallEntry实现以所有系统调用的过滤。 我分析的版本如下: 主程序版本: 6.0.1.1003 HookPort.sys版本: 1, 0, 0, 1005 HookPort.sys的TimeStamp: 4A8D4AB8 简
Windows核心编程笔记(二十) 窗口与消息
春暖花开
02-13 1663
线程的消息队列 (1)Windows用户对象(User Object)   ①类型:图标、光标、窗口类、菜单、加速键表等   ②当一个线程创建某个对象时,则该对象归这个线程的进程所有,当进程结束时,如果用户没有明确删除这个对象,则操作系统会自动删除这个对象。   ③窗口和钩子(hook)这两种用户对象,它们分别由建立窗口和安装钩子的线程所拥有(注意,不是进程)。如果一个线程
CVE-2022-21882 Win32k内核提权漏洞深入分析
二狗的博客
01-30 779
CVE-2022-21882是对CVE-2021-1732漏洞的绕过,属于win32k驱动程序中的一个类型混淆漏洞。攻击者可以在user_mode调用相关的GUIAPI进行内核调用,如xxxMenuWindowProc、xxxSBWndProc、xxxSwitchWndProc、xxxTooltipWndProc等,这些内核函数会触发回调xxxClientAllocWindowClassExtraBytes。攻击者可以通过hook。
揭秘gapfnScSendMessage数组大部分都是NtUserMessageCall
最新发布
linux-0.11调试教程
08-31 366
揭秘gapfnScSendMessage数组大部分都是NtUserMessageCall client/clmsg.c里面的 RealDefWindowProcWorker函数里面大量调用了CsSendMessage函数 第一部分B: client/usercli.h文件里有CsSendMessage函数的宏定义 #define CsSendMessage(hwnd, msg, wParam, lParam, xParam, pfn, bAnsi) \ (((msg) >= WM
STM32中CanRxMsg结构体各成员变量含义详解
格物穷理
04-24 8027
结构体定义如下: typedef struct { uint32_t StdId; uint32_t ExtId; uint8_t IDE; uint8_t RTR; uint8_t DLC; uint8_t Data[8]; uint8_t FMI; } CanRxMsg; uint32_t StdId; 标准帧的ID,按照CAN协议,标准帧ID占...
STM32:结构体总结
weixin_45952920的博客
05-07 9785
1 什么是结构体 我们知道数据的基本类型有:int (整形 ), char(字符形) , unsigned int (无符号整形),unsigned char (无符号字符形) 等,还包括数组等,但有些情况下 这些都 无法满足现实的需求,于是程序员把所需变量组织起来,类似数组,便不同于数组,定义成一个新的数据类型,这就是结构体struct,.结构体类型是一种新的数据类型,在程序中,可以像...
STM32基础知识
陌上烟雨遥的博客
03-04 9852
1)  GPIO口a)      工程的建立:1)  stdPeiph_Driver,下面存放的是ST官方提供的固件库函数,里面内容不需要用户修改。2)  Startup下面存放的是固件库必须的启动文件。不需用户修改。3)  Cmsis下面存放的是固件库必须的启动文件。不需用户修改。4)  APP下面存放的是外设的驱动代码。比如说LED.c里面需要调用stm32f10x_gpio.c里面的函数对其...
深入解析Windows消息
深入解析Windows操作系统中消息的工作原理和消息结构,包括TMsg记录类型及其各字段含义,并列举了部分常见Windows消息常量,如WM_CREATE、WM_DESTROY等,旨在帮助程序员理解并有效处理Windows消息。" 在Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值