Ремонт, сервис, услуги » Информация » Недокументированные интерфейсы




Недокументированные интерфейсы

Автор: addministr от 24-05-2014, 09:57

Категория: Информация



Прояснить ситуацию можно путем изучения имен экспортированных или глобальных символов в ключевых системных образах (таких как Ntoskrnl.exe, Hal.dll или Ntdll.dll). Так Вы можете получить представление о тех вещах, которые может сделать Windows, а не только о том, что уже документировано и поддержано на данный момент. Разумеется, одно только знание имен этих функций еще не означает, что вы можете или должны их вызвать, — интерфейсы не документированы и могут подвергаться изменениям. Мы предлагаем вам только присмотреться к этим функциям для получения более полного представления о видах внутренних функций, выполняемых Windows, а не для обхода поддерживаемых интерфейсов. Например, просмотр списка функций в Ntdll.dll даст вам возможность сравнить список всех системных служб, предоставляемых Windows DLL-библиотекам подсистем пользовательского режима, с подмножеством, показываемым каждой подсистемой.

Хотя многие из этих функций отображаются на документированные и поддерживаемые Windows-функции, некоторые из них недоступны из Windows API. (См. статью «InsidetheNativeAPI» на сайте Sysinternals.) С другой стороны, также интересно изучить то, что импортируют DLL-библиотеки подсистемы Windows (такие как Kernel32.dll или Advapi32.dll) и какие функции они вызывают в Ntdll. Также интересно посмотреть на дамп файла Ntoskrnl.exe. Хотя многие экспортируемые подпрограммы, используемые драйверами устройств режима ядра, документированы в Windows Driver Kit, довольно многие из них остались недокументированными. Может также вызвать интерес просмотр таблицы импорта для Ntoskrnl и HAL; в этой таблице показан список функций в HAL, которые используются в Ntoskrnl, и наоборот.

В таблице ниже показан список большинства широко используемых префиксов имен функций компонентов исполняющей системы. Каждый из этих основных компонентов исполнительной системы также использует слегка измененные префиксы для обозначения внутренних функций — либо за первой буквой префикса следует буква i (означающая internal, внутренняя), либо за всем префиксом следует буква p (означающая private, закрытая). Например, Ki представляет внутренние функции ядра, а Psp ссылается на внутренние функции поддержки процесса. Упростить расшифровку имен этих экспортируемых функций поможет понимание соглашения об именах системных подпрограмм Windows. Общий формат имеет следующий вид: В этом формате «Префикс» представляет внутренний компонент, экспортирующий подпрограмму, «Операция» сообщает о том, что будет сделано с объектом или ресурсом, а «Объект» идентифицирует то, над чем будет проводиться операция. Например, ExAllocatePoolWithTag является вспомогательной процедурой исполняющей системы для выделения из выгружаемого или не выгружаемого пула. KeInitializeThread является процедурой, которая назначает и создает объект ядра «поток».

- Часто используемые префиксы.

- Префикс

- Компонент

- Alpc

- Расширенное локальное между процессное взаимодействие

- Cc

- Общая кэш-память

- Cm

- Диспетчер конфигурации

- Dbgk

- Среда отладки для пользовательского режима

- Em

- Диспетчер исправлений

- Etw

- Отслеживание событий для Windows

- Ex

- Подпрограммы поддержки исполняющей системы

- FsRtl

- Библиотека времени выполнения драйвера файловой системы

- Hvl

- Библиотека гипервизора

- Io

- Диспетчер ввода / вывода

- Kd

- Отладчик ядра

- Ke

- Ядро

- Lsa

- Авторизация локальных пользователей

- Mm

- Диспетчер памяти

- Nt

- Системные службы NT (большинство из которых экспортируется в качестве Windows-функций)

- Ob

- Диспетчер объектов

- Pf

- Prefetcher

- Po

- Диспетчер электропитания

- Pp

- Диспетчер PnP

- Ps

- Поддержка процессов

- Rtl

- Библиотека времени выполнения

- Se

- Безопасность

- Sm

- Диспетчер запоминающего устройства

- Tm

- Диспетчер транзакций

- Vf

- Верификатор

- Wdi

- Инфраструктура диагностики Windows

- Whea

- Архитектура ошибок оборудования Windows

- Wmi

- Инструментарий управления Windows

- Zw

- Зеркальная точка входа для системных служб (имена которых начинаются с Nt), которая устанавливает предыдущий режим доступа к ядру, что исключает проверку параметров, поскольку системные службы Nt проверяют параметры только в том случае, если предыдущий режим доступа был
пользовательским.



Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Архив | Связь с админом | Конфиденциальность

RSS канал новостей     Яндекс.Метрика