gameboytxt
驱动牛犊
驱动牛犊
  • 注册日期2006-05-22
  • 最后登录2009-04-01
  • 粉丝0
  • 关注0
  • 积分20分
  • 威望3点
  • 贡献值0点
  • 好评度2点
  • 原创分0分
  • 专家分0分
阅读:3444回复:5

Understand Windows 2000 sources—Part I

楼主#
更多 发布于:2007-10-11 23:51
作者:AndreaGeddon

这是我的关于Windows 2000内核细节系列文章中的第一篇。我会涉及到已泄漏的Windows 2000内核源代码。显然,我不会在文章中直接写出相关的内核代码,但我会清楚地给出相关话题的参考文件,所以如果你有了这些源代码就会很容易地找到这些文件并理解它。

那么,首先如果你有了源代码固然是好事,如果你没有,通过阅读本文同样可以对Windows 2000内核有一个大致的了解。其次,你必须对X86体系结构有所了解,其实我不会讨论像IDT这样的硬件细节知识,所以赶快拿起INTEL手册开始研究吧!最后,我假设你知道什么是文件系统,什么是调度器等等。现在我们开始吧。

建议阅读以下一些关于内核的书籍:
• The Windows 2000 Device Driver Book - Art Baker, Jerry Lozano
• Inside Windows 2000 - Russinovich, Solomon (sysinternals)
• Windows driver model - Oney
• Windows NT Native Api - Gary Nebbett
• Undocumented Windows NT - Dabak, Phadke, Borate
• Windows NT File SYstem Internals - Nagar
• Windows NT Device Driver Development - Viscarola

Windows 源代码泄漏是二月十号的事,据说对此事负有直接责任的是一个微软的合作伙伴。但是,泄漏的详细情况我仍然不是很清楚。

我们从以下问题开始讨论吧:
从哪里能弄到这些源代码?你必须自己解决这个问题!可以在网络上搜索,现在有很多网站提供下载,显然这是非法的。但是,微软好像也没因此而起诉谁!!嘿嘿!
这些代码有几个版本?虽然网上有许多骗人的声称是源代码,但是确实有两个版本:一个是Windows NT 4.0的源代码,另一个是Windows 2000 SP1的。这里我们讨论的是Windows 2000,但是如果你有NT4的源代码更好。实际上这篇文章所讨论的引导过程使用的是NT4.0的源代码。很明显,对于引导过程来说基本的内容是相同的,所以对于Windows XP和Windows Server 2003也是一样的。
它们是完整的源代码吗?严格意义上它们并不完整。其中包含内核,用户空间DLLs,甚至有单人纸牌游戏的代码!最可惜的是没有NTFS的源代码,它由相关的驱动程序管理,而且在两个版本中都没有给出。但这些源代码仍然有很多有用的东西,在后面就会看到这一点。也没有包含整个GDI,但是我们所感兴趣的部分(内核)是完整的。
那么我能重新编译它吗?这些源代码缺少一些定义和其他的文件,而内核的重编译需要IFS包,但是所有的用户模式代码不能重新编译。在写这篇文章的时候我不知道如何重新编译Windows 内核或与此类似的东西。如果你知道或你自己重编译成功了请你告诉我。
这些源代码有什么用?对此我不能说的太多。它们主要对于驱动程序开发人员或Windows 的竞争者有用。这些源代码是微软WISE(Windows Interface Source Environment,Windows 接口源环境)的一部分,这个项目的目的是帮助UNIX和Macintosh系统开发者将程序整合到Windows中。
源代码泄漏对于系统安全构成威胁这个说法对吗?虽然有些人对这个话题表现出狂热的兴趣,但是他们肯定是错的。在我写本文期间分析家们并没有说内核源代码中有任何致命的Bugs。唯一的Bug是来自于IE5.0,是关于处理位图时发现内存泄漏。
这些代码是用什么语言写的,如何编译的?内核几乎全部用C(不是C++)写成,有些与硬件关系密切的部分使用了汇编。用户模式部分使用C++编写。显然,内核的设计使用了面向对象思想。这些代码使用Visual Studio的内部版本而不是其他商业版本。
这些代码的广泛传播对黑客,程序员以及最终用户带来了什么改变吗?没有什么改变。驱动程序开发者已经对Windows内核有了足够的了解(比如,System Internals,OSR,NTDEV等等)。这些源代码确实可以丰富现存的关于内核的文档,但对那些研究内核并对内核作逆向工程的人并没有什么大的帮助,因为他们所需要的那些东西已经通过内核逆向工程得到了。并不是所有人都知道微软公司其实已经为每个Windows模块提供了调试符号文件,所以像下面的一段反汇编代码:
mov [0x11223344], eax
push 0x22334455
call 0x77889900

有了调试符号后就会像下面这样:
mov [_TickCount], eax
push _dwSeconds
call _GetTime

所以一旦解决了符号名字,那么把汇编代码转换成C代码就很容易了。以上代码与相关的C代码对于阅读来说没有什么不同:
TickCount = ...blahblah...;
GetTime(dwSeconds);
怎么样?Windows本来就是开放源代码的,你只是需要知道如何阅读汇编代码罢了。比如Matt Pietrek用伪代码重写了许多Windows 9X内核。我们唯一知道的关于Windows内核源代码泄露后有所进展的是那些Windows 的竞争者,其它Windows源代码泄漏所带来的影响已经没有什么报道了。

现在我们已经对Windows源代码有了一般性的认识,该是讨论一些细节的时候了!

如果不想在源代码的海洋中迷失的话,你应该在脑海里有一幅windows系统主要组件的结构图。首先我们看看下面三个重要的目录:
\bsc
\private
\public

第一个目录包含了搜索引擎的索引数据,最后一个目录是SDK和OAK,我们对这两个目录都没什么兴趣。我们感兴趣的是\private目录,它是所有代码的基础。在NT4 源代码中只给了\private目录。现在你会看到这个目录很大!所以我们不会对所有的目录都给出注释。下面是一些重要组件的目录:
模块: ntoskrnl.exe
位置: \private\ntos
描述: Windows内核, 与Linux的bzImage相当
模块: ntdll.dll
位置: \private\ntos\dll
描述: 从用户模式转换到内核模式的大门(系统调用)
模块: kernel32.dll
位置: \private\windows\base\client
描述: Windows内核的用户模式部分
模块: user32.dll
位置: \private\ntos\w32\ntuser\client
描述: 各种组件, 比如窗口创建和文本处理等
模块: advapi32.dll
位置: \private\windows\screg\winreg
描述: 注册表 APIs

这些是主要组件,但我们所关心的90%是内核部分。在\private\windows\shell目录下你可以发现注册表管理器、任务管理器、游戏和其他应用程序。也有一些其他组件的源代码,比如comdlg32等等。真正缺少的是前面提到的:
NTFS.sys——NTFS驱动程序
gdi32.dll——图形函数库

在Windows 2000源代码中引导启动代码没有给出,但是在NT4 中给了,它所在的目录是:
\private\ntos\boot
你可以发现引导扇区加载器、内核加载器、硬件侦测器和安装程序加载器,每个组件都有自己的目录。引导扇区加载器与特定文件系统相关,尤其是NTFS,所以你可以在这里发现NTFS分区的相关数据。如果你对NTFS感兴趣这里也有日志文件管理函数。回到Windows 2000代码中,可以发现有关网络部分的代码:
\private\inet
它是IE(mshtml)、urlmon、wininet的一部分。

好了,现在我们已经对源代码结构有了大致的了解,如果你所关心的问题在这里我没有提及,可以使用grep工具自己搜索。

从引导开始


到接触代码的时候了!嗯!我们从哪里开始呢?从引导开始?好的!前面我们提到\private\ntos\boot目录,该目录下每个组件都有自己的子目录而引导扇区加载器是在\bootcode子目录下。我们知道开始点是在\mbr下,即 主引导记录。它是在开机BIOS代码执行后操作系统所执行的第一段代码(文件名是x86mboot.asm)。正如上面提到的它是每个PC机的标准代码。这段代码读出位于主引导记录末尾的分区表,找到标志为可引导的分区,把它的引导扇区拷贝到内存中并执行。主引导记录的结构是:
+----------+ -- MBR --
| 引导代码  | 可执行代码
| 分区1      | 分区表
| 分区2      |
| 分区3      |
| 分区4      |
+------------+ -- END MBR --
| 分区1      | 分区
|                 |
.                .
.                .
所以引导代码只是重定位到地址 0000:0600,跳到这里从分区表中读取可引导分区的入口,把引导分区拷贝到内存的标准引导地址(0000:7C00),最后执行它。因此就好像BIOS自己直接引导了这个分区。嗯,注意在x86mboot.asm文件的第48行,以及以后的代码,该代码使用了一个远跳转指令自动重定位到地址 0000:0600,但值得注意的是它用了硬编码,如下:

db OEAh
db ...blabla...

这些硬编码的位是JMP 0000:0600指令,它的地址在编译期间决定下来。以后发现可引导分区后还会发现一些硬编码的地方。这些代码还会使处理器跳到0000:7C00来引导新的扇区。此时,代码有了些变化。因为我们为每一个系统所支持的文件系统提供不同的代码:
\etfs Electronic Tariff Filing System
\fat fat32
\hpfs Pinball File System (high performance file system, os2)
\ntfs nt native file system
\ofs surprise! Void directory!

然而只有FAT32和NTFS是系统真正所支持的,把Windows NT 系统安装到FAT32分区上并不是件好事。现在我们主要关心NTFS的引导分区加载器上,其他引导分区工作方式相同。

这段代码(ntfsboot.asm)的主要任务是读ntldr文件,把它映射到地址2000:0000并开始执行它。注意,现在操作系统依然在实模式下,所以所有代码都是16位的。但是这段代码太大了,第一个扇区的512字节容不下它,实际上BIOS把可引导磁盘(磁道0,磁头0,扇区1)的第一个物理扇区映射到内存中物理地址为7C00处。然而现在BIOS并没有真的把可引导分区的第一个扇区映射到物理内存中,而是由MBR映射的。为什么这段代码没有把多于512字节的ntfsboot全部映射呢?显然是为了与其他系统兼容。所以被映射了的ntfsboot现在马上要做的就是把剩余的代码映射到内存。其实,它先从第一个扇区读代码,一直到bootsector代码部分,并把它重定向到地址0D00:0000,所以内存中该地址处是bootsector代码和后面扇区中的必要代码部分。一旦这些代码映射好了,它就跳到0D00:0200处,这是已从磁盘读入的第二个扇区中的代码(第一个扇区的代码已经执行过了,所以它没什么用处了)。这段代码在物理地址D200处,它离地址2000还远着呢,所以没有任何干扰问题。这里我们再次看到新的重定位跳转代码(165行):

push seg
push offset
ret

呵呵,这里好像使用远跳转会有些问题!这并不重要,只是好奇罢了。现在主引导程序转移到了第二个扇区。在执行第二个扇区代码之前我们可以看到一些数据,如"55AA",这代表第一个扇区的末尾处。主引导程序读NTFS文件(你可以看到几个读NTFS文件的函数),它把执行权返回给ntldr的内存映像,上面我们已经提到了它位于2000:0000处。与其他文件系统相关的引导扇区加载器的工作原理也是一样的,唯一不一样的是读ntldr的代码部分,它因文件系统的不同而不同。现在我们要转到ntldr代码部分了。注意,到现在为止还没有做任何的初始化,像换页机制,保护模式的切换等等。我们仍处于实模式,所以ntldr开始执行16位代码,然后切换到保护模式后才开始执行32位代码。好了,现在我们要看一下这个文件:

\ntos\boot\startup\i386\su.asm

记住我们仍处于NT 4的源代码中。第一行代码是 jmp RealStart。在这行代码以及整个例程中我们看到一些与FAT文件系统有关的代码。如果系统是从FAT32引导的,那么仍然需要处理读ntldr文件并把它映射到内存再去执行它。这里我们关心的是NTFS,所以忽略FAT32的问题。RealStart例程为了把执行权交给SuMain需要准备栈和设置段寄存器。SuMain位于:

\ntos\boot\startup\i386\main.c

在这里我们终于看到C代码了!但是一定要记住su.asm文件,因为它导出了保护模式启用函数,一会儿我们会看到。这个例程初始化视频子系统(display.c中的InitializeVideoSubSystem函数),如果系统从软盘引导则关掉软盘驱动器(su.asm中的TurnMotorOff函数),做其他一些初始化工作,如计算操作系统加载器所需的内存量,之后我们进入核心地带:32位模式切换。

这段代码启动了A20线(a20.asm中的EnableA20函数),重定位保护模式中使用的IDT和GDT结构。现在该做保护模式切换了(su.asm中的EnableProtectPaging函数)。注意,首次执行这段代码时还没有启用换页功能,其实加载器的启动代码还没有给出PDE和PTE的有效描述符。换页功能的启用是在操作系统加载器的开始代码处,一会我们就会看到。

特别地这段代码在FS段寄存器中为进程控制块PCR——内核的一个基本数据结构——设置选择符,因此我们希望代码立即将执行权传递给ntoskrnl.exe模块。除此之外,已经为IDT和GDT设置了内存区域,而将LDT清零。Windows NT实际上没有使用LDT。因此保护模式的代码是:

mov eax, c30
... (首先避免换页)
or eax,PROT_MODE
mov cr0,eax

但是并没有完全切换到32位模式,因为现在需要设置一些段寄存器,数据结构以及TSS选择符。切换到保护模式之后代码返回到SuMain继续执行。SuMain调用RelocateLoaderSections函数计算操作系统加载器入口点的地址。它是一个有效的COFF PE格式的文件并嵌入到ntldr中,所以我们认为它是Windows执行的第一个真正的进程。一旦找到入口点后TransferToLoader函数使用刚刚计算出的地址把执行权传给它。所以现在我们转向目录:

\ntos\boot\lib\i386

这里有许多将要执行的文件。尤其是文件:

entry.c

它是上面提到的PE文件的入口点,由NtProcessStartup函数识别。现在我们分析这个文件,我们会看到第一个调用的函数是DoGlobalInitialization。也能看到调用InitializeMemorySubsytem函数。看起来很有意思!(作者按:许多函数作为BootContextRecord结构体的参数传递过去,这个结构是在bootx86.h中声明的_BOOT_CONTEXT结构)。再来看看memory.c文件中的InitializeMemorySubsystem函数。在这个文件中我们也能找到内存映射(映像和相关的堆栈组件)。这个函数循环设置所有的由BootContextRecord加载的内存描述符。每个内存描述符由两个域组成:BlockBase和BlockSize。它们描述了内存区域的起始地址和大小。所以

BootContext->MemoryDescriptorList

是一个用于描述所有内存块的内存描述符的数组。记住,现在我们在保护模式中但是没有换页机制。所以while语句为所有已知的内存块准备内存地址(页界限)。加载器不使用16m以上的内存(为了避免与ISA总线数据传输相互干扰),所以所有16M以上的内存都标识为MemorySetDescriptorRegion。一旦代码退出了while循环所有物理内存都有了描述符(由MemAllocDescriptor和MempSetDescriptorRegion函数设置),而描述符数组由arcemul.c中定义的MDArray[]维护。这些"宏"描述符使物理内存能够按需描述,所以在while循环以后会有处理第一个1MB内存的描述符的代码。其实,所有内存对于加载器来说都是有用的,例如中断向量区,系统堆等等。注意,第一个1MB的虚拟内存与第一个1MB的物理内存是对应的,这允许操作系统加载器继续执行第一个1MB以下的代码并把内核映射到相应的内存处。这时我们再次看到MempAllocDescriptor函数,它初始化MDArray数组,获得1Mb以下的内存区子描述符。当所有描述符都建立好后我们就到了MempTurnOnPaging函数。这个函数遍历MDArray数组,这样它就能利用刚计算出来的所需内存所创建的PDE/PTE入口来调用MempSetupPaging函数。全局变量PDE代表PDE,HalPT代表PTE。遍历完内存描述符,正确设置了PDE /PTE 后,调用MempTurnOnPaging函数:

mov eax,PDE
mov cr3,eax
mov eax,cr0
or eax,CR0_PG
mov cr0,eax

这样就开启了换页机制。这是自系统加载以后第一次开启换页机制。指向PDE数组的指针被放到页目录基地址寄存器(CR3)中,并开启了CR0寄存器的PG位启动换页机制。之后我们回到InitializeMemorySubsystem函数,它调用MempCopyGdt把GDT和IDT转移到新的内存区域处。好了现在这个函数结束了,我们可以回到DoGlobalInitialization函数了。我们看到

其他一些初始化处理代码,最后调用InitializeMemoryDescriptor函数,可以在注释中看到这时InitializeMemorySubsystem函数的第二步。首先建立PDE/PTE开启换页机制,现在该函数回到MDArray数组并为所有标记为"reserved"的描述符分配内存。现在我们完成了DoGlobalInitialization函数的分析。再回到NtProcessStartup函数。这里有其他一些初始化函数,找到引导分区,初始化系统内存和I/O系统,然后调用BlStartup函数。之后是下面这段代码:

// we should never get here!
do {
GET_KEY();
} while ( 1 );

这表示ntldr在BlStartup函数中结束了它的全部工作,它位于initx86.c文件,目录是:

\ntos\boot\bldr\i386

这个函数是做什么的?它负责打开驱动和读boot.ini文件(所有可引导入口都在该文件中定义)。这些可引导入口以传统的选择菜单的形式出现在屏幕上,因此一旦选择了一个引导入口,操作系统就通过 磁盘/分区/路径的形式引导,然后到了BlOsLoader函数,它位于:

\ntos\boot\bldr\osloader.c

我们可以看到这个函数之前定义了名为"ntoskrnl.exe"和"hal.dll"的文件,这些组件是之后将要加载的。这段代码注释得很好,所以很容易理解它是做什么的:它打开引导文件和系统分区,打开输入/输出控制台,用BlMemoryInitalize初始化内存,位于:

\ntos\boot\lib

的blmemory.c文件,可以发现栈,堆和内存分配列表。此时,一个唯一的内存描述符分配给了相应的操作系统加载器,其实除了它之外没有加载其他程序。因此该函数搜索操作系统加载器内存描述符之后的第一个描述符,并在尽可能高的地址处为它分配堆栈。内存初始化之后还有其他的初始化工作(I/O和其他资源)。所以我们看到处理位于boot.ini文件的引导参数,其实内核和硬件抽象层与默认的有所不同。所以现在建立内核和硬件抽象层组件的路径以及系统储巢。第一个加载的是ntoskrnl.exe,它由BlLoadImage函数加载到内存中。加载器分析文件系统的类型并把最终的参数传递给内核。现在轮到hal.dll了,它也是由BlLoadImage函数加载。记住,这两个PE COFF文件实际上位于:

\ntos\boot\lib\peldr.c

它不是一个完全的PE文件加载器,在这段代码之后实际使用的是BlScanImportDescriptorTable函数来加载动态链接库并进行引入/导出绑定。这时该到加载驱动程序的时候了。为了加载驱动程序,操作系统加载器必须参考系统储巢。什么是储巢?储巢是存储于注册表的系统信息文件。特别是在

\windows\config\system

下的储巢文件。它存储了所有硬件设置和相应驱动器的信息。一旦加载了驱动程序,就调用BlSetupForNt函数:它做一些硬件初始化,例如ABIOS的重定位,TSS重定位等等。最后加载器完成了它的工作,之后我们到了这行:

(SystemEntry)(BlLoaderBlock);

这行代码调用ntoskrnl模块的入口点。从现在开始我们就要转到Windows 2000源代码了(我们现在仍在NT4中!)。

内核的入口点位于:

\win2k\private\ntos\ke\i386\newsysbg.asm

该函数是KiSystemStartup。它带有一个参数,就是上面提到的BlLoaderBlock。

本系列文章的第一部分就到这里了。我们已经看到了系统的初始化部分,即引导部分。我们到了内核,所以下一部分将要讲述的是内核初始化和其他有趣的话题。

下一章再见!

AndreaGeddon
附件名称/大小 下载次数 最后更新
UNDERSTANDING WINDOWS 2K SOURCES (part 1).pdf (49KB)  261 2007-10-11 23:51
boywhp
驱动中牛
驱动中牛
  • 注册日期2007-08-09
  • 最后登录2015-04-24
  • 粉丝2
  • 关注0
  • 积分1105分
  • 威望515点
  • 贡献值0点
  • 好评度254点
  • 原创分1分
  • 专家分0分
沙发#
发布于:2007-10-12 16:33
有好心人汉化一下没?
keenjoy95
驱动牛犊
驱动牛犊
  • 注册日期2006-07-12
  • 最后登录2010-07-14
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望24点
  • 贡献值0点
  • 好评度13点
  • 原创分0分
  • 专家分0分
板凳#
发布于:2007-10-15 13:05
...
楼上的...
chinaruto
驱动牛犊
驱动牛犊
  • 注册日期2007-09-19
  • 最后登录2008-01-26
  • 粉丝0
  • 关注0
  • 积分210分
  • 威望22点
  • 贡献值0点
  • 好评度21点
  • 原创分0分
  • 专家分0分
地板#
发布于:2007-10-17 19:52
这本书不错,好象邪恶八进制有中文的。。。
move_forward
驱动牛犊
驱动牛犊
  • 注册日期2007-04-19
  • 最后登录2008-06-18
  • 粉丝0
  • 关注0
  • 积分100分
  • 威望12点
  • 贡献值0点
  • 好评度11点
  • 原创分0分
  • 专家分0分
地下室#
发布于:2007-11-03 15:44
非常不错, 一直期待有这样的文章出来.
yangzhengbao
驱动牛犊
驱动牛犊
  • 注册日期2005-07-30
  • 最后登录2009-08-26
  • 粉丝0
  • 关注0
  • 积分344分
  • 威望41点
  • 贡献值0点
  • 好评度27点
  • 原创分0分
  • 专家分0分
5楼#
发布于:2007-11-05 08:55
去年就看到了英文版
http://hackersroad.page.tl/
游客

返回顶部