Windows内核开发-9-32位和64位的区别
32位的应用程序可以完美再64位的电脑上运行,而32位的内核驱动无法再64位的电脑上运行,或者64位的驱动无法在32位的应用程序上运行。这是为什么呢。
原因是在x64的Windows操作系统上,模拟了x86操作系统的操作,并且引入了一个WOW64子系统,将x86和x64完美进行兼容。
WOW64子系统
x86能在x64上运行全靠这个东西。全名叫做Windows On Windows,英文名感觉是在套娃,其实它的意思就是在Windows64上运行Windows32。
这个系统由Wow64.dll,Wow64Win.dll,Wow64Cpu.dll三个dll实现,具体怎么实现的不用考虑。
Wow64子系统可以完美实现x86和x64之间的转换。
转换流程: 当一个32位Application发起系统调用时,WOW64会拦截下来,将其转换为64位的类型(包括指针范围,数据类型范围等等),然后再把系统调用请求提交给内核。这整个拦截-转换的流程被称为"thunking"。
WOW64有两个重要的模块,一个是系统文件重定向(File System Redirector),一个是注册表重定向(Registry Redirector)。
系统文件重定向(File System Redirector)
Windows64位OS包含了两个System32文件,一个是System32另一个是SysWow64。默认情况下的安装路径%Windows%\System32和%Windows%\SysWow64。
System32这个文件里面保存了系统需要的一些二进制文件,System32里面存放的是x64的系统二进制文件,SysWow64里面存放的是x86里的文件。不要被这个什么system32迷惑成了它就是32位的系统文件了。
一般情况下32位的只能加载32位的系统dll,64只能加载64的。因为是64位的操作系统,所以肯定默认是加载64的dll,但是32位怎么办,为了解决这个问题WOW64就构成了文件系统重定向模块,把32的系统dll放到了SysWow64里面,然后把System32这个文件夹给他重定向指到了SysWow64文件夹里了。
这里我们写一个代码来验证一下:
void TestFileRedirector()
{
HANDLE hFile = CreateFileA("C:\\Windows\\System32\\test.txt", GENERIC_READ | GENERIC_WRITE, 0x00000000, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
if (hFile == INVALID_HANDLE_VALUE)
{
cout << "创建文件失败" << endl;
}
else
{
cout << "创建文件成功,文件名为test.txt" << endl;
}
CloseHandle(hFile);
}假如说这个test文件是在SysWow64文件夹下面创建的,那么说明我们前面的讲述没问题,确实是重定向到了SysWow64里面。这里我们要用管理员启动Visual Studio才行,因为这个文件夹是系统文件夹,需要管理员权限。
下面是我的验证结果:
在x86和x64运行后分别是在System32和SysWow64新建了文件,足以说明结论了。
关闭系统文件重定向
文件重定向固然不错,但是肯定有时候我们会不得不关闭它。
这里就会用到两个API:
BOOL Wow64DisableWow64FsRedirection(
[out] PVOID *OldValue
);//关闭重定向,将原来的值保存到输入参数oldvalue里面
BOOL Wow64RevertWow64FsRedirection(
PVOID OlValue
);//通过参数olvalue来恢复重定向这里我们在修改一下我们的代码,让他x86的程序不要重定向到x64文件里面:
void TestFileRedirector()
{
PVOID OldValue;
auto ret = Wow64DisableWow64FsRedirection(&OldValue);
if (ret == 0)
{
cout << "调用关闭重定向的函数失败,请检查" << endl;
return;
}
else
{
cout << "调用重定向的函数成功,已经取消文件系统重定向" << endl;
}
HANDLE hFile = CreateFileA("C:\\Windows\\System32\\test.txt", GENERIC_READ | GENERIC_WRITE, 0x00000000, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
if (hFile == INVALID_HANDLE_VALUE)
{
cout << "创建文件失败" << endl;
return;
}
else
{
cout << "创建文件成功,文件名为test.txt" << endl;
}
CloseHandle(hFile);
Wow64RevertWow64FsRedirection(OldValue);
}这样再创建就是到System32系统文件夹里面了。
有一部分文件是不会被重定向的:
%Windows%System32\catrrot
%Windows%System32\catrrot2
%Windows%System32\drivers\etc
%Windows%System32\logfiles
%Windows%System32\spool注册表重定向(Registry Redirector)
和系统文件重定向(File System Redirecotr)比较类似,但是功能更为复杂。除了重定向还有注册表反射功能(Registry Reflection 该功能暂时用不到)。
和File System Redirector比较类似的是,win32访问HKEY_LOCAL_MACHINE\SOFTWARE会被重定向到HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node下面。同样写一下代码测试一下:
void TestRegRedirector()
{
HKEY hKey = NULL;
RegCreateKeyEx(HKEY_LOCAL_MACHINE, TEXT("Software\\Test"),
0, NULL, 0, KEY_READ, NULL, &hKey,NULL);
if (hKey != NULL)
{
cout << "创建注册表成功" <<endl;
RegCloseKey(hKey);
}
else
{
cout << "创建注册表失败" << endl;
return;
}
}用32位来运行,看他添加到哪里:
当然也肯定有关闭的办法。
DIY注册表重定向
在创建注册表的API上加一个宏定义就可完美解决这个问题了:
RegCreateKeyEx(HKEY_LOCAL_MACHINE, TEXT("Software\\Test"),0, NULL, 0, KEY_READ | KEY_WOW64_32KEY, NULL, &hKey,NULL);这里的KEY_WOW64_32KEY就是32位,KEY_WOW64_64KEY就可以锁定为64位了。void TestRegRedirector()
{
HKEY hKey = NULL;
RegCreateKeyEx(HKEY_LOCAL_MACHINE, TEXT("Software\\Test"),
0, NULL, 0, KEY_READ | KEY_WOW64_32KEY, NULL, &hKey,NULL);
if (hKey != NULL)
{
cout << "创建注册表成功" <<endl;
RegCloseKey(hKey);
}
else
{
cout << "创建注册表失败" << endl;
return;
}
}64位系统的升级技术
64对比32提供了很多新技术,比如之前的32位被很多程序很多公司,进行挂钩啊各种功能导致很不安全很麻烦。
PatchGuard
所以升级了一个PatchGuard技术,这个机制就是系统会定期检查内部的关键位置是否被篡改,一旦被篡改就会蓝屏。
比如一些论坛常见的SSDT(系统描述表),GDT(全局描述表),IDT(中断描述表)等等。但是其实也是可以绕过的。正所谓道高一尺魔高一丈就是这个意思,没有绝对的安全。
x64的编译、安装、运行
编译很简单,vs换成x64就行了。
安装的话著需要考虑32位exe安装驱动的时候不会把他放到64位驱动system32这个文件夹下就行了,这个用关闭File System redirecotr就行。
运行:x64的驱动必须得有签名才行,变相提高了安全吧,不过我们自己测试就把测试机变成测试模式就好了。
编程差异
x86和x64编程还是有少许区别的。
加入汇编
32位和64比较麻烦的就是不能直接内联汇编了,就比如说下面这段代码:
#include<ntddk.h>
extern "C"
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)
{
UNREFERENCED_PARAMETER(DriverObject);
UNREFERENCED_PARAMETER(RegistryPath);
__asm
{
int 3
}
return STATUS_SUCCESS;
}一个很简单的内核驱动代码,用x64编译就不行,而x86没问题:
也就是说不运行直接内联汇编了,只能用汇编asm写好了,然后作为函数的形式放进去了。
条件编译
WDK设置了宏来帮助条件编译,比如针对操作系统平台有: _M_AMD64, _M_IX64等等,对于位数也有 _WIN64和 _WIN32 ,比如说:
#ifdef _WIN32 //32位情况
#else //不是32位情况
#endif调整数据结构
当一个32位的exe通过DeviceIoControl的方式和64位驱动进行交互的时候,如果结构体里有指针是不会进行thunking技术调整的,所以这里就会涉及到一些问题了,比如指针位数的不兼容,以及比如int这种位数也是不兼容的,还有对齐的一些很多问题。所以最好是采用限制好了的数据结构体。
比如说结构体定义成这样
struct DRIVER_DATA
{
void* POINTER_32 test;
UNICODE_STRING32 testUnicode_string;
};本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。