Short Message LPC机理分析

最新推荐文章于 2020-12-27 17:48:09 发布
最新推荐文章于 2020-12-27 17:48:09 发布
阅读量1.5k 收藏
点赞数
分类专栏: Windows编程 驱动开发学习
Short Message LPC机理分析进程间通信(IPC)是在多任务操作系统或联网的计算机之间运行的程序和进程所用的通信技术。有两种类型的进程间通信。本地过程调用(LPC)和远程过程调用(RPC)。出于未知的原因,微软没有公开 LPC 的接口。微软为机器间的客户机服务器通讯提供了一套 RPC。Windows NT优化了RPC,将其转为了LPC,只不过是客户机服务器全在同一台机器上罢了。

   本文只讨论Short-Message LPC通信过程,引用一张流程图可以全部包括,如下:

   为了节省篇幅,就不一一列出各函数的反汇编代码了,我们直接看流程:

   服务器端调用NtCreatePort() 函数创建一个端口。它返回一个端口句柄,服务器就使用此句柄调用 NtListenPort() 函数来等待和接受请求。任何客户端都可以通过此端口发送连接请求并得到一个用于通讯的端口句柄。

   NtCreatePort函数原型:
NTSTATUS
NtCreatePort (
     OUT PHANDLE PortHandle,
     IN POBJECT_ATTRIBUTES ObjectAttributes,
     IN ULONG MaxConnectionInfoLength,
     IN ULONG MaxMessageLength,
     IN ULONG MaxPoolUsage
     )

   实际上,NtCreatePort将调用LpcpCreatePort函数,丢ntoskrnl.exe到IDA,将看到:

__stdcall NtCreatePort(x, x, x, x, x) proc near
PAGE:004C04E6 004                  push     0
PAGE:004C04E8 008                  push     [ebp+Reserved]
PAGE:004C04EB 00C                  push     [ebp+MaxMessageSize]
PAGE:004C04EE 010                  push     [ebp+MaxDataSize]
PAGE:004C04F1 014                  push     [ebp+ObjectAttributes]
PAGE:004C04F4 018                  push     [ebp+PortHandle]
PAGE:004C04F7 01C                  call     LpcpCreatePort(x,x,x,x,x,x)
__stdcall NtCreatePort(x, x, x, x, x) endp

   LpcpCreatePort函数原型如下:
NTSTATUS
LpcpCreatePort (
     OUT PHANDLE PortHandle,
     IN POBJECT_ATTRIBUTES ObjectAttributes,
     IN ULONG MaxConnectionInfoLength,
     IN ULONG MaxMessageLength,
     IN ULONG MaxPoolUsage,
     IN BOOLEAN Waitable
     )

   而NtListenPort函数如下:
NTSTATUS
NtListenPort (
     IN HANDLE PortHandle,
     OUT PPORT_MESSAGE ConnectionRequest
     )
这里值得说明的是NtListenPort函数的实现里实际调用的是NtReplyWaitReceivePort(PortHandle, NULL, NULL, ConnectionRequest),所以做为实际的编程也可以直接调用NtReplyWaitReceivePort。

NTSTATUS
NtReplyWaitReceivePort (
     IN HANDLE PortHandle,
     OUT PVOID *PortContext OPTIONAL,
     IN PPORT_MESSAGE ReplyMessage OPTIONAL,
     OUT PPORT_MESSAGE ReceiveMessage
     )

   在正式的编程前,有必要介绍下LPCMESSAGE结构,定义如下:
typedef struct LpcMessage {
WORD ActualMessageLength;
WORD TotalMessageLength;
DWORD MessageType;
DWORD ClientProcessId;
DWORD ClientThreadId;
DWORD MessageId;
DWORD SharedSectionSize;
BYTE MessageData[MAX_MESSAGE_DATA];
} LPCMESSAGE, *PLPC_MESSAGE;

   M$官方给出的结构是:
typedef struct _TLPC_PORTMSG {
     PORT_MESSAGE h;
     ULONG Data[ TLPC_MAX_MSG_DATA_LENGTH ];
} TLPC_PORTMSG, *PTLPC_PORTMSG;
其中PORT_MESSAGE结构定义了LPCMESSAGE中的前几项。

在我们的编程中,将PPORT_MESSAGE替换成PLPC_MESSAGE。

   值得关注的是MessageType,M$是这么定义的:
char * LpcMsgTypes[] = {
     "** INVALID **",
     "LPC_REQUEST",
     "LPC_REPLY",
     "LPC_DATAGRAM",
     "LPC_LOST_REPLY",
     "LPC_PORT_CLOSED",
     "LPC_CLIENT_DIED",
     "LPC_EXCEPTION",
     "LPC_DEBUG_EVENT",
     "LPC_ERROR_EVENT",
     "LPC_CONNECTION_REQUEST",
     NULL
};

   那么,服务端相关的代码如下:

#define PORTNAME             L"\\MyPort"
HANDLE PortHandle, AcceptPortHandle;
LPCMESSAGE LpcMessage;
LSA_OBJECT_ATTRIBUTES ObjectAttr;
UNICODE_STRING uString;
int rc;

RtlInitUnicodeString(&uString, PORTNAME);
memset(&ObjectAttr, 0, sizeof(ObjectAttr));
ObjectAttr.Length = sizeof(ObjectAttr);
ObjectAttr.ObjectName = &uString;

         rc = NtCreatePort(&PortHandle, &ObjectAttr,0x100, 0x0, 0x00000);
if (rc != 0) {//... }

memset(&LpcMessage, 0, sizeof(LpcMessage));

while (1) {  
   rc = NtReplyWaitReceivePort(PortHandle,
    NULL, NULL, &LpcMessage);
   if (rc != 0) {//... }
  
   if(LPC_CONNECTION_REQUEST == LpcMessage.MessageType) //0x000A
   {   
    rc = NtAcceptConnectPort(
     &AcceptPortHandle,
     NULL,
     &LpcMessage,
     TRUE,
     NULL,
     NULL);
    if (rc != 0) {//...    }
   
          rc = NtCompleteConnectPort(AcceptPortHandle);
    if (rc != 0) {
     CloseHandle(AcceptPortHandle);
     //...
     }
   }
}

   从上面的代码我们反过来看,当客户程序NtConnectPort()向正处于等待中的服务器发送一个连接请求, 服务器使用 NtAcceptConnectPort()函数接受请求,当接受到LPC_CONNECTION_REQUEST消息时,为客户所请求的连接返回一个新的端口句柄,并使用 NtCompleteConnectPort() 函数完成连接协议。
   当然你也可以处理其他的消息,比如LPC_REQUEST,调用NtReplyPort();而对LPC_PORT_CLOSED 消息,释放掉各个客户所占用的资源。下文将会提到这些。


   这两个函数的原型分别为:
NTSTATUS
NtAcceptConnectPort (
     OUT PHANDLE PortHandle,
     IN PVOID PortContext OPTIONAL,
     IN PPORT_MESSAGE ConnectionRequest,
     IN BOOLEAN AcceptConnection,
     IN OUT PPORT_VIEW ServerView OPTIONAL,
     OUT PREMOTE_PORT_VIEW ClientView OPTIONAL
     )

NTSTATUS
NtCompleteConnectPort (
     IN HANDLE PortHandle
     )

   由于客户端相对比较简单,我们只看NtConnectPort()的原型:
NTSYSAPI
NTSTATUS
NTAPI
NtConnectPort (
     OUT PHANDLE PortHandle,
     IN PUNICODE_STRING PortName,
     IN PSECURITY_QUALITY_OF_SERVICE SecurityQos,   //-> winnt.h
     IN OUT PPORT_VIEW ClientView OPTIONAL,
     IN OUT PREMOTE_PORT_VIEW ServerView OPTIONAL,
     OUT PULONG MaxMessageLength OPTIONAL,
     IN OUT PVOID ConnectionInformation OPTIONAL,
     IN OUT PULONG ConnectionInformationLength OPTIONAL
     )

   简单的实现代码可以这样写:
rc = ZwConnectPort(&PortHandle, &uString,
   (PSECURITY_QUALITY_OF_SERVICE)&SecurityQos,   //static int
   0, 0, 0, ConnectDataBuffer,(unsigned long*)&Size);
/*
rc=NtRequestPort(PortHandle, &LpcMessage);
rc = NtRequestWaitReplyPort(PortHandle,
     &LpcMessage,
     &LpcMessage);
*/ //something else...


   在完成握手后,就可以通过这个端口开始通讯了。 客户使用NtRequestPort()函数向子系统发送请求。如果客户希望请求能得到回复,可以使用 NtRequestWaitReplyPort()函数发送请求并等待回复。服务器使用 NtReplyWaitReceive()函数接收请求的消息并使用NtReplyPort()函数发送回复消息,当然也可以用一个联合的函数NtReplyWaitReceivePort()将两步都完成。这里都是在NtReplyWaitReceivePort函数接受消息后处理,如:

rc = NtReplyWaitReceivePort(PortHandle,
     NULL,
     NULL,
     &LpcMessage);
if (rc != 0) {//...     }

switch (LpcMessage.MessageType) {
   case LPC_CONNECTION_REQUEST:
    rc = NtAcceptConnectPort(//...)
    //...
   break;
   case LPC_REQUEST:
    rc = NtReplyPort(//...)
    //...
   break;
   default:  
   break;


   相关的函数声明如下:
NTSTATUS
NtRequestPort (
     IN HANDLE PortHandle,
     IN PPORT_MESSAGE RequestMessage
     )

NTSTATUS
NtRequestWaitReplyPort (
     IN HANDLE PortHandle,
     IN PPORT_MESSAGE RequestMessage,
     OUT PPORT_MESSAGE ReplyMessage
     )

NTSTATUS
NtReplyWaitReceivePort (
     IN HANDLE PortHandle,
     OUT PVOID *PortContext OPTIONAL,
     IN PPORT_MESSAGE ReplyMessage OPTIONAL,
     OUT PPORT_MESSAGE ReceiveMessage
     )


对于Shared-Section LPC通信,有几点不同的地方:

1.客户通过CreateFileMapping函数创建共享section,指定section 的大小。 服务器在连接时得到此section的大小。
2.在调用NtConnectPort、NtAcceptConnectPort等函数的时候,需要填充相应的PPORT_VIEW ClientView,PREMOTE_PORT_VIEW ServerView,对于客户端的NtRequestWaitReplyPort函数,在发送消息时还要进行LpcMessage结构的填充。


参考资料:
1.<Undocumented Windows NT> --Prasad Dabak / 董岩
2.<windows 2000 kernel exploit 的一点研究> --ey4s
3.ntoskrnl.exe, ntdll.dll
cosmoslife
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
902519.rar_DEMO_lpc分析与合成
07-15
自己写的关于lpc分析与合成的Demo程序,适合本科做设计参考,,
windows LPC机制
lionzl的专栏
03-23 2535
LPC(Local Procedure Call) 本地过程调用,是一种非常高效的进程间通讯方式。不同于LRPC的是,LPC是通过端口进行通信,而LRPC是对多种通信方式的封装,可以支持port,TCP/IP,和UDP。微软虽然没有公布这个协议,但是windows经常用它进行通信(win32子系统),LPC通信的基本步骤大概如下:1. NtCreatePort 来创建一个命名端口,
修改目标进程的父进程
Richard的专栏
03-10 7422
 来源:http://pjf.blogone.net作者:pjf(jfpan20000@sina.com)  让小师弟测一下1.06的进程规则,他试了试问:“为什么里面有源进程和父进程两项?不就是指创建目标进程的那个进程,它们不是一个意思吗?”  因为很简单,略略回答了一下,因为好多天没在http://pjf.blogone.net上添东西了,敲下来充数,有点不好意思。   windows下的
LPC 简单介绍
商少
06-22 4654
LPC 简单应用           概念性的东西就不介绍了。这里主要介绍LPC 函数以及一个代码实例。总的来说,LPC与套接字类似,对比着理解会比较容易。一个进程创建一个LPC 端口对象(服务器),然后等待其他进程(客户)连接过来,服务器接收连接后,服务器与客户端均建立一个通信端口对象,通信端口对象没有名称。理论上说,通信端口处理数据请求,连接端口处理连接请求,就像套接字中的监听套接字与
驱动加载监控
kernweak的博客
05-31 1513
Hook_ZwLoadDriver和HOOK_ZwSetSystemInformation(xp) Hook_ZwLoadDriver( IN PUNICODE_STRING DriverServiceName )//服务名,在注册表 所以要在注册表改驱动ImagePath看驱动路径。 注意通过instrDrv加载驱动不一定看到的是原本加载驱动的文件,是通信方式加载驱动,在ZwLoadD...
LPC 简单应用长消息
商少
06-23 677
公共头文件Common.h #include #include using namespace std; #define MAX_LPC_DATA 0x148 #define LPC_MESSAGE_LENGTH 48 #define MAX_COMMUN_NUMBER 10 #define LARGE_MESSAGE_SIZE 0x10000 typedef struct _CLIE
zlg-LPC2200-code.zip_lpc2200_启动分析
07-14
周立功LPC2200开发板启动代码分析.pdf
lpc_error_syn.zip_LPC synthesis_LPC恢复_lpc分析
07-14
利用MATLAB执行LPC分析和合成语音文件和显示原始语音信号通过滤波,提取LPC的错误(激发)信号,然后使用逆LPC的滤波误差信号,可以完全恢复原始语音信号。
基于MATLAB的LPC分析
09-22
基于MATLAB的LPC分析,给出了原理和设计过程,以及相关的MATLAB程序
基于ARM单片机LPC2148的音频分析仪设计
08-12
基于ARM单片机LPC2148的音频分析仪设计 本文设计了一种基于ARM单片机LPC2148的音频分析仪,采用LPC2148芯片来实现音频分析仪的设计。该系统通过对比选择采用了LPC2148芯片解决方案,实现音频信号的采样、 FFT变换、...
Native API 权威指南
weixin_34357962的博客
03-27 747
2019独角兽企业重金招聘Python工程师标准>>> ...
SPLWOW64权限提升漏洞(CVE-2020-17008)复现
锋刃科技的博客
12-27 1924
漏洞描述 Splwow64过于信任LPC传递的数据,并且在消息0x6D中使用了请求发起者的偏移量且没有进行有效的验证,Splwow64将LPC消息传递给GdiPrinterThunk。导致执行可控制的memcpy函数任意地址写。 漏洞原理 触发任意地址写入的调用栈 通过 “\\RPC Control\\UmpdProxy_%x_%x_%x_%x “, 会话ID, 令牌认证ID 低位,令牌认证ID 高位,0x200 构造出通信LPC名称并进行链接。 通过发送6A消息打开该打印机 ..
Windows NT内核函数大全
qq_42577465的博客
06-06 1537
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
Windows NT引导过程源代码分析(三)
hnzwx888的专栏
06-20 1032
1.3建立用户登录会话 Windows内核在阶段1初始化的最后,启动了一个用户模式进程——会话管理器子系统(smss)。Smss进程是Windows操作系统的关键组成部分,它尽管是一个用户模式进程,但有其特殊性:首先,它是可信的,这意味着它可以做一些其他用户进程无法做的事情,比如创建安全令牌;其次,它直接建立在Windows内核的基础上,只使用Windows内核提供的系统服务,...
windows 内核原理与实现读书笔记之LPC
maomao171314的专栏
11-24 1783
LPC(本地过程调用)服务 本地过程调用(LPC,Local Procedure Call),主要用于操作系统各个组件之间进行通信,或者用户模式程序与系统组件之间通信。 LPC工作方式时消息传递,允许两个进程进行双向通信,在Windows的主要应用如下: Windows 应用程序与系统进程,包括Windows环境子系统之间的通信。 用户模式程序与内核模式组件之间的通信。 当RPC(远程过程调用,Remote Procecure Call)的两端在同一个系统时,RPC通信转化位LPC通信。 8.2.
LPC通讯过程
ljmwork的专栏
07-05 2702
LPC Communication LPC (Local Procedure Call) is a portion of Windows NT kernel, used for fast communication between threads or processes. It can be also used for communication between kernel mode a
Nt内核函数原型and中文
dengjiatao9832的博客
09-21 522
NtLoadDriver 服务控制管理器加载设备驱动. NtUnloadDriver 服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice 加载新驱动文件. NtQueryIntervalProfile 返回数据. NtSetIntervalProfile 指定采样间隔. NtStartProfile 开始取样. NtStopProfile 停止...
NT 内核函数原型大全
weixin_30390075的博客
09-21 638
NTSYSAPINTSTATUSNTAPINtAcceptConnectPort(OUT PHANDLE PortHandle,IN PVOID PortIdentifier,IN PPORT_MESSAGE Message,IN BOOLEAN Accept,IN OUT PPORT_VIEW ServerView OPTIONAL,OUT PREMOTE_PORT_VIEW Clie...
WIN7X64代码禁止应用层创建、枚举服务
瞎捣鼓
05-16 569
WIN7代码禁止应用层创建、枚举服务 WIN7的系统服务遍历,是通过RPC远程调用,最后调用NdrClientCall2 进入内核 通知services.exe,services.exe中有张全局的服务表,这张表在WIN7 X64中俺不知道定义,如果要隐藏系统服务,可以对这张表进行修改,但是俺不知道呀咋办!于是有了这个办法。 应用层遍历服务,都要打开SC管理器,而我就是打开SC管理器上面做文章。...
基于matlab语音信号处理的LPC分析
最新发布
05-18
LPC(线性预测编码)是一种数字信号处理技术,用于对语音信号进行分析和压缩。它的基本思想是将一个信号分解成多个预测分量和一个残差分量。 在matlab中进行LPC分析的步骤如下: 1. 读取语音信号,可以使用wavread...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值