Windows的内部结构&API

已于 2023-07-22 18:55:04 修改
阅读量235 收藏 1
点赞数 1
分类专栏: APT 文章标签: windows 安全
于 2023-07-21 00:26:22 首次发布
永远回不去的那天
本文链接:https://blog.csdn.net/weixin_53912233/article/details/131842716
版权

Windows内部结构

由于 Windows 机器构成了企业基础设施的大部分,红队需要了解 Windows 的内部结构以及如何(滥用)使用它们。在制作攻击性工具或漏洞利用时,红队可以滥用这些来帮助规避和利用。

进程

进程维护并代表程序的执行;一个应用程序可以包含一个或多个进程。一个流程有许多组件,它被分解成要存储和交互的组件。根据官方文档所说:”每个进程都提供执行程序所需的资源。进程具有虚拟地址空间、可执行代码、系统对象的开放句柄、安全上下文、唯一的进程标识符、环境变量、优先级、最小和最大工作集大小以及至少一个执行线程。”
微软的参考文档:

https://learn.microsoft.com/en-us/windows/win32/procthread/about-processes-and-threads

进程是根据应用程序的执行而创建的。进程是 Windows 运行的核心,Windows 的大多数功能都可以包含为应用程序并具有相应的进程。以下是启动进程的默认应用程序的一些示例。
以下是启动进程的默认应用程序的一些示例:

  • MsMpEng(微软防御者)
  • wininit(键盘和鼠标)
  • lsass(凭证存储)

image.png
攻击者可以瞄准进程来逃避检测并将恶意软件隐藏为合法进程。攻击者可以针对进程来实现潜在的攻击向量,如:

工艺注入(T1055)
https://attack.mitre.org/techniques/T1055/

工艺镂空(T1055.012)
https://attack.mitre.org/techniques/T1055/012/

过程伪装(T1055.013)
https://attack.mitre.org/techniques/T1055/013/

流流程组件:
image.png
进程解释:
image.png
有多种实用程序可以使观察过程变得更容易

  • Process Hacker 2
  • Process Explorer
  • Procmon

Procmon

这里使用Procmon工具来进行演示,下载地址:

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
进程树

双击进入工具后,就会来到如图所示的地方,但是会看见有很多重复的进程名称
image.png
我们可以随意选中一个进程,然后点击进程树这个图标
image.png
现在看起来就没有那么乱了
image.png

过滤器

如图进行点击,可以看见有很多可以过滤的选项,这里我过滤的是进程名称
image.png
image.png
最后可以看见,筛选出来的都是刚刚的进程名 notepad.exe
image.png筛选notepad.exe 加载了多少个 dll
image.png
可以看见是51个

查看事件属性

选中一个进程,然后点击这个闪电标志(事件属性)
在这里我们可以看见父进程的ID,还有流程的完整性级别登其他详细的进程信息
image.png
notepad.exe的基地址
image.png
来到这里,可以看见线程堆栈参数
image.png

线程数

线程是进程使用的可执行单元,并根据设备因素进行调度。简而言之线程的定义:“控制进程的执行”。由于线程控制执行,因此这是一个常见的目标组件。线程滥用可以单独使用来帮助代码执行,或者更广泛地用于与其他 API 调用链接,作为其他技术的一部分。
线程与其父进程共享相同的细节和资源,例如代码、全局变量等。线程也有其独特的值和数据:
image.png

虚拟内存

虚拟内存是 Windows 内部工作和交互的关键组成部分。虚拟内存允许其他内部组件与内存交互,就好像它是物理内存一样,而不存在应用程序之间发生冲突的风险。
微软官方文档说明:

https://docs.microsoft.com/en-us/windows/win32/memory/virtual-address-space

虚拟内存为每个进程提供了 私有的虚拟地址空间。内存管理器用于将虚拟地址转换为物理地址。通过拥有私有虚拟地址空间而不是直接写入物理内存,进程造成损坏的风险较小。
内存管理器还将使用 页面 或 传输 来处理内存。应用程序可能使用比分配的物理内存更多的虚拟内存;内存管理器将虚拟内存转移或分页到磁盘来解决这个问题。如图:
image.png

  • 32 位 x86 系统上的理论最大虚拟地址空间为 4 GB。
  • 在 64 位现代系统上,理论最大虚拟地址空间为 256 TB。

管理员可以通过设置 ( increaseUserVA ) 或 AWE(地址窗口扩展)为需要更大地址空间的应用程序更改此分配布局。
AWE:

https://learn.microsoft.com/en-us/windows/win32/memory/address-windowing-extensions

动态链接库

DLL “一个包含可由多个程序同时使用的代码和数据的库”
windows文档:

https://docs.microsoft.com/en-us/troubleshoot/windows-client/deployment/dynamic-link-library#:~:text=A%20DLL%20is%20a%20library,common%20dialog%20box%20related%20functions.


当DLL作为程序中的函数加载时,该 DLL 被指定为依赖项。由于程序依赖于 DLL,因此攻击者可以瞄准 DLL 而不是应用程序来控制执行或功能的某些方面。

  • DLL劫持 ( T1574.001 )
https://attack.mitre.org/techniques/T1574/001/
  • DLL旁载 ( T1574.002 )
https://attack.mitre.org/techniques/T1574/002/
  • DLL注入 ( T1055.001 )
https://attack.mitre.org/techniques/T1055/001/

DLL的创建方式与任何其他项目/应用程序没有什么不同;它们只需要轻微的语法修改即可工作。Visual C++ Win32 动态链接库项目的 DLL 示例:

#include "stdafx.h"   // 预编译头文件,用于包含常用的系统和标准库头文件
#define EXPORTING_DLL  
// 一个宏定义,用于在代码中标记导出函数
#include "sampleDLL.h" //包含示例 DLL 的头文件
BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved
)

// 这是 DLL 的入口函数,当 DLL 被加载或卸载时会调用该函数。
// 参数 hModule 是 DLL 模块的句柄,ul_reason_for_call 是调用原因的标志,
// lpReserved 是保留参数。 

{
    return TRUE; //DllMain 函数只是简单地返回 TRUE
}

void HelloWorld()  // 一个自定义的函数 HelloWorld()
{
    MessageBox( NULL, TEXT("Hello World"), TEXT("In a DLL"), MB_OK);
}

// Windows API 函数 MessageBox,用于显示一个消息框
// 消息框显示 "Hello World",标题为 "In a DLL",并有一个确定按钮

便携式可执行格式

可执行文件和应用程序是 Windows 内部如何在更高级别上运行的很大一部分。PE(可移植可执行文件)格式定义了有关可执行文件和存储数据的信息。PE 格式还定义了数据组件如何存储的结构。
PE(可移植可执行文件)格式是可执行文件和目标文件的总体结构。PE(可移植可执行文件)和COFF(通用对象文件格式)文件组成了PE 格式。

PE 数据最常见于可执行文件的十六进制转储中。下面我们将对 calc.exe 的十六进制转储分解为 PE 数据的部分,对其进行了解。

首先使用 DIE 打开 目标calc.exe 文件,下面那个红框框是DiE 报告的入口点 0000000140001830
image.png
然后点击这里,如图所示
image.png
然后在这里,我们可以看见许多地址的值。红框框指的是 .data段虚拟地址
image.png

PE 数据的结构

主要为分为七个部分

DOS头定义文件类型

MZ标头将文件格式定义为.exe。我们可以从十六进制转储部分中看到
image.png

DOS存根

DOS存根是默认在文件开头运行的程序,用于打印兼容性消息,不会影响该文件的任何功能。
DOS 存根打印该消息 This program cannot be run in DOS mode
image.png

PE文件头

PE文件头提供二进制文件的 PE 头信息。定义文件的格式,包含签名和图像文件头,以及其他信息头。
它是人类可读输出最少的部分。以从下面的十六进制转储部分中的存根识别 PE 文件头的开头。
image.png
图像可选头有一个欺骗性的名字,它是PE文件头的重要组成部分
数据字典是图像可选标头的一部分。它们指向图像数据目录结构。
部分表将定义图像中的可用部分和信息,都可以从十六进制转储部分中的表中识别每个部分的定义。
image.png
各部分可以定义文件的内容和数据:
image.png

Winwows API

Windows API 提供与 Windows 操作系统的关键组件交互的本机功能。该 API 被许多人广泛使用,包括红队成员、威胁参与者、蓝队成员、软件开发人员和解决方案提供商。

子系统和硬件交互

程序经常需要访问或修改Windows子系统或硬件,但为了维护机器的稳定性而受到限制。为了解决这个问题,微软发布了Win32 API,一个用于用户模式应用程序和内核之间接口的库。

Windows 通过两种不同的模式来区分硬件访问:用户模式和内核模式。这些模式决定了应用程序或驱动程序允许的硬件、内核和内存访问。各模式之间的API或系统调用接口,向系统发送信息以在内核模式中进行处理。
image.png
下面是用户应用程序如何使用 API 调用来修改内核组件的直观表示。

应用程序在使用 API 之前将先经过语言运行时。

Windows API 的组件

Win32 API(通常称为 Windows API)具有多个依赖组件,用于定义 API 的结构和组织。
我们通过自上而下的方法分解 Win32 API。我们假设 API 是顶层,构成特定调用的参数是底层。如图:
image.png

操作系统库

Win32 库的每个 API 调用都驻留在内存中,并且需要一个指向内存地址的指针。由于ASLR(地址空间 布局 R随机化)实现,获取这些函数指针的过程变得模糊; 每种语言或软件包都有独特的过程来克服 ASLR。

Windows 头文件

Microsoft 发布了 Windows 头文件(也称为 Windows 加载程序),作为与 ASLR 实现相关的问题的直接解决方案。将概念保持在较高的水平,在运行时,加载程序将确定正在进行哪些调用,并创建一个 thunk 表来获取函数地址或指针。
官方文档:

https://learn.microsoft.com/en-us/windows/win32/winprog/using-the-windows-headers

一旦windows.h文件包含在非托管程序的顶部;可以调用任何 Win32 函数

P/Invoke

Microsoft 将 P/Invoke 或平台调用描述为“一种允许您从托管代码访问非托管库中的结构、回调和函数的技术”。
P/invoke 提供了处理从托管代码调用非托管函数(或者换句话说,调用 Win32 API)的整个过程的工具。P/invoke 将通过导入包含非托管函数或 Win32 API 调用的所需DLL来启动。下面是导入带有选项的 DLL 的示例。

using System;
using System.Runtime.InteropServices;

public class Program
{
[DllImport("user32.dll", CharSet = CharSet.Unicode, SetLastError = true)]
...
} 

// 使用user32.dll文件导入了DLL "DLLImport"

注意:不包含分号是因为 p/invoke 函数尚未完成。在第二步中,我们必须将托管方法定义为外部方法。该extern关键字将通知运行时先前导入的特定DLL 。下面是创建外部方法的示例。

using System;
using System.Runtime.InteropServices;

public class Program
{
...
private static extern int MessageBox(IntPtr hWnd, string lpText, string lpCaption, uint uType);
}

现在我们可以将函数作为托管方法调用,但我们正在调用非托管函数!

API调用结构

API 调用是 Win32 库的第二个主要组件。API调用功能可以通过修改命名方案和附加代表性字符来扩展。下面是 Microsoft 支持的命名方案的字符表:

字符解释
A表示采用 ANSI 编码的 8 位字符集
W代表Unicode编码
Ex为 API 调用提供扩展功能或输入/输出参数

详细可以参考这个:

https://docs.microsoft.com/en-us/windows/win32/learnwin32/working-with-strings

每个 API 调用还有一个预定义的结构来定义其输入/输出参数。Windows-api 文档的相应 API 调用文档页面上找到大多数这些结构 ,以及每个 I/O 参数的说明:

https://docs.microsoft.com/en-us/windows/win32/apiindex/windows-api-list

我们以WriteProcessMemoryAPI 调用为例:获得的调用的 I/O 结构 。

BOOL WriteProcessMemory(
    [in]  HANDLE  hProcess,
    [in]  LPVOID  lpBaseAddress,
    [in]  LPCVOID lpBuffer,
    [in]  SIZE_T  nSize,
    [out] SIZE_T  *lpNumberOfBytesWritten
);

C API 实现

Microsoft 提供了 C 和 C++ 等低级编程语言以及一组预配置的库,我们可以使用它们来访问所需的 API 调用。windows.h 文件头用于定义调用结构并获取函数指针。要包含 Windows 标头,请将以下行添加到任何 C 或 C++ 程序之前。
如:

#include <windows.h>

常见滥用的 API 调用

Win32 库中的多个 API 调用很容易被用于恶意活动。最常被滥用的 API:
在这里插入图片描述

参考

https://tryhackme.com/jr/windowsinternals
https://tryhackme.com/jr/windowsapi
永远回不去的那天
关注
专栏目录
windows API 实现截图
Just Do IT
10-06 1万+
参考:http://bbs.csdn.net/topics/330154355 #include "stdio.h" #include "windows.h" /************************************************************************/ /* hBitmap 为刚才的屏幕位图句柄
Windows API介绍
06-20
Windows API 介绍 Windows API(Application Programming Interface)是微软公司提供的一组应用程序接口,允许开发人员访问Windows操作系统的各种功能和服务。Windows API 是一个广泛的概念,它包含了多种类型的API...
windows api架构
锄禾日当午
11-29 1129
每一个操作系统都要通过某种方式为开放人员提供一组服务---也就是Application Programming Interface (应用程序编程接口.API)..开发人员就通过API来编写应 用程序.例如.DOS是用著名的INT 21h提供此接口的.(之前讲到的软件中断.具体功能需要查表.CPU指令).微软的操作系统也多时如此. 当然API有几种实现..掌上电脑的(windowsCE)..
Windows内存管理API的体系结构
weixin_34232363的博客
02-04 153
首先上两张图,分别阐述: 1.WindowsAPI与CRT(C运行时)及C++标准库的关系 2.Windows内存管理API的体系结构 图1:WindowsAPI、CRT及标准C++库之间的关系(转自:http://www.codeproject.com/Articles/22642/What-Every-Computer-Programmer-Should-Know-About-...
Windows API编程01-详解第一个程序(超级详细)
smiler_D的博客
10-21 7143
简单介绍Windows APIWindows API(Application Programming Interface)是Microsoft Windows平台的应用程序编程接口,其主要目的是让应用程序开发人员可以调用操作系统提供的一组例程功能,而无须考虑其底层的源代码实现及内部工作机制。API函数是构筑整个Windows框架的基石,它基于Windows的操作系统核心,上层是所有的Windows应用程序。简单来说,这些API接口就是函数,就像C语言调用的stdio.h中的函数一样。
PE文件格式与API HOOK
zacklin的专栏
04-27 582
对于windows低层编程来说,进行API拦截始终是一件让人激动的事,用自己的代码来改变其它程序的行为,还有比这个更有趣吗?而且,在实现API拦截的过程中我们还有机会去熟悉许多在RAD编程环境中很少接触的东西,如DLL远程注入、内存管理,PE文件格式等知识。许多商业软件,如金山词霸等词典软件,各种即时汉化软件、甚至一些网络游戏的外挂中都用到了这种技术,各种调试工具中多多少少也要用到这种技术。 实
Windows API Windows应用程序开发入门
王牌飞行员_里海的博客
04-19 1151
Windows API,即Windows应用程序接口,是微软Windows操作系统提供的一组功能强大的函数、宏、数据类型和数据结构的集合。它为运行在Windows系统上的应用程序提供了与操作系统交互的桥梁,使得开发者能够借助这些接口实现各种复杂的功能,从而构建出丰富多彩的应用程序。Windows API涵盖了众多领域,从基本的文件操作、内存管理,到复杂的进程间通信、图形用户界面设计等,几乎涵盖了应用程序开发所需的所有功能。这些API函数不仅易于使用,而且性能卓越,能够充分发挥Windows操作系统的优势。
Windows下 C++ API函数大全
Gary_ghw的博客
01-28 4623
Windows下C++API函数大全,收藏起来了,需要的时候来检索
什么是Windows API
顺其自然~专栏
11-03 6160
Windows 工作原理的中心思想就是“动态链接”概念。Windows 自身带有一大套函数,应用程序就是通过调用这些函数来实现它的用户界面和在屏幕上显示文本和图形的。这些函数都是在动态链接库里实现的。这些文件的名称都带有后缀 .dll,或有时带有 .exe。 Windows 的 3 个主要子系统:内核(kernel),用户(user),GDI。 内核 负责操作系统的传统工作:如 内存管理,文件输入/输出 以及任务管理等。 用户 指的是用户界面,负责所有的窗口管理。 GDI 就是图形设备接口,负责在屏
Windows系统编程API 学习之路
charlie114514191的博客
07-29 1562
GetLastError公开的错误代码机制也可供应用程序使用,以类似的方式设置错误代码。这是通过在当前线程上调用SetLastError with error来设置的。函数可以使用许多预定义的错误代码之一,也可以定义自己的错误代码。为了防止与系统定义的代码发生任何冲突,应用程序应在定义的错误代码中设置第29位。以下是一个使用此技术的函数示例:if (!ok) {if (!ok) {
Windows API
fincakkk的博客
06-19 2588
一、简要介绍Windows API 就是windows应用程序接口,是针对microsoft windows操作系统家族的系统编程接口,这样的系统包括Windows 8,Windows 7,Windows Vista、Windows XP、Windows Server 2012、Windows 2008 R2 、Windows Server 2003、Windows 2000、Windows 95...
api-native.zip_windows api
09-20
2. **系统结构**:介绍Windows操作系统的内部结构,如进程、线程、内存管理、I/O系统等,以及如何通过API与这些系统组件交互。 3. **编程模型**:讲解如何使用Windows API进行事件驱动编程,包括消息队列、窗口过程...
深入研究Windows内部原理系列之三:Windows体系结构-从应用程序的角度.zip
05-27
在深入探讨Windows操作系统内部原理的过程中,我们不能忽视其体系结构对应用程序开发和运行的重要性。本系列的第三部分,我们将从应用程序的角度出发,理解Windows体系结构的精髓。这将帮助开发者更好地设计、优化和...
windowsapi:Windows API源代码的集合-windows source code
03-25
通过这些API,开发者可以深入理解Windows操作系统内部的工作机制,提高程序的兼容性和效率。 源代码的开放,使得开发者有机会学习到操作系统级别的编程细节,比如系统调用的实现、内存管理策略以及线程同步原语等。...
内核上项目【远程call】
qq_45844442的博客
10-31 357
本次项目代码量过多,但思路相对简单,主要功能为挂起目标主线程,将主线程TrapFrame的rip进行修改跳转到指定的shellcode位置,该ShellCode我写的是弹出MessageBox,然后再恢复线程,最后创建一个工作队列,让系统将我们的ShellCode等痕迹进行清除,因为我只写了关于64位的进程操作,如果是操作32位进程,要在定位到Context结构,进而修改eip。
C++《list》
mljy.博客
10-31 970
在本篇当中我们将学习STL中的list,在此list就是我们之前在数据结构学习过的链表,在本篇中我们要来了解list当中的成员函数该如何使用,由于list各个函数的接口和之前学习过的vector类型,因此在学习list的使用就较为轻松。在lis篇章中我们要重点了解的是在下一个篇章当中的list模拟实现中的迭代实现,由于list底层的物理空间不一定是连续的,因此list迭代的实现相比之前学习过的容就复杂多了,在下一篇中将带来细致的讲解。在此之前我们先来了解list该如何使用吧!
strongswan链表结构
最新发布
redwingz的博客
11-03 468
链表结构定义如下,public成员为公共的方法,count,first和last为私有成员,count表示链表中元素的数量,first和last分别指向链表的头和尾。public(linked_list_t结构)定义了一系列操作链表的方法,其必须为第一个结构成员,方便在公共方法和私有结构间转换。如下函数创建通用的链表元素结构。
二级列表联动
weixin_73579626的博客
11-03 332
本示例主要介绍了List组件实现二级联动(Cascading List)的场景。该场景多用于商品种类的选择、照片不同类型选择等场景。
链表逆置相关算法题|原地逆置|轮转链表|循环链表逆置(C)
ChoSeitaku的博客
11-03 410
将n初始化为1,cur指向L,cur的next指向第一个节点,往后遍历直到cur的next指向NULL,cur指向最后一个节点。一个工作指针cur用来遍历链表,一个后继指针用来保存cur的下一个节点,一个前驱指针prev用来保存前一个节点。然后找到新链表的尾节点,为原链表的第n-k个节点,令L指向新链表尾节点的下一个节点,并将环断开,得到新链表。将prev指向cur,cur指向next,next指向next的下一个,三个指针往后走一步。将cur的next指向perv,将中间节点的next指向前一个节点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远回不去的那天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值