Windows 기본 응용 프로그램 및 Acronis Active Restore 서비스

오늘 우리는 Innopolis University의 직원들과 함께 사용자가 장애 발생 후 가능한 한 빨리 작업을 시작할 수 있도록 Active Restore 기술을 개발하는 방법에 대한 이야기를 계속합니다. 생성 및 실행 기능을 포함하여 기본 Windows 응용 프로그램에 대해 이야기하겠습니다. 컷 아래에는 우리 프로젝트에 대한 내용과 네이티브 애플리케이션 작성 방법에 대한 실용적인 가이드가 나와 있습니다.

이전 게시물에서 우리는 이미 그것이 무엇인지에 대해 이야기했습니다. 활성 복원, 이노폴리스 학생들의 발전 과정 서비스. 오늘 저는 활성 복구 서비스를 "매장"하려는 수준까지 기본 애플리케이션에 집중하고 싶습니다. 모든 것이 잘되면 다음을 수행할 수 있습니다.

• 훨씬 더 일찍 서비스 자체를 시작하십시오.
• 훨씬 이전에 백업이 위치한 클라우드에 문의하세요.
• 시스템이 어떤 모드에 있는지 이해하는 것이 훨씬 더 빠릅니다(일반 부팅 또는 복구).
• 미리 복구할 파일 수가 훨씬 적습니다.
• 사용자가 더욱 빠르게 시작할 수 있습니다.

네이티브 앱이란 무엇인가요?

이 질문에 대답하기 위해 예를 들어 응용 프로그램의 프로그래머가 파일을 생성하려고 시도하는 경우 시스템이 호출하는 순서를 살펴보겠습니다.

Pavel Yosifovich - Windows 커널 프로그래밍(2019)

프로그래머는 다음 기능을 사용합니다. CreateFile, 헤더 파일 fileapi.h에서 선언되고 Kernel32.dll에서 구현됩니다. 그러나 이 함수 자체는 파일을 생성하지 않고 입력 인수만 확인하고 함수를 호출합니다. NtCreate파일 (접두사 Nt는 해당 함수가 기본 함수임을 나타냅니다.) 이 함수는 Winternl.h 헤더 파일에 선언되어 있으며 ntdll.dll에 구현되어 있습니다. 핵우주로 뛰어들 준비를 한 후 시스템 호출을 통해 파일을 생성합니다. 이 경우 Kernel32는 Ntdll의 래퍼일 뿐이라는 것이 밝혀졌습니다. 이렇게 한 이유 중 하나는 Microsoft가 기본 인터페이스의 기능을 변경할 수 있지만 표준 인터페이스는 건드릴 수 없기 때문입니다. Microsoft는 기본 함수를 직접 호출하는 것을 권장하지 않으며 대부분을 문서화하지 않습니다. 그런데 문서화되지 않은 기능을 찾을 수 있습니다 여기에.

기본 응용 프로그램의 주요 장점은 ntdll이 kernel32보다 훨씬 일찍 시스템에 로드된다는 것입니다. kernel32가 작동하려면 ntdll이 필요하기 때문에 이것은 논리적입니다. 결과적으로 기본 기능을 사용하는 애플리케이션은 훨씬 더 일찍 작업을 시작할 수 있습니다.

따라서 Windows 기본 응용 프로그램은 Windows 부팅 초기에 시작할 수 있는 프로그램입니다. 그들은 ntdll의 기능만 사용합니다. 이러한 응용 프로그램의 예: 오토크 누가 공연하는가 chkdisk 유틸리티 주요 서비스를 시작하기 전에 디스크에 오류가 있는지 확인합니다. 이것이 바로 우리가 원하는 Active Restore 수준입니다.

우리에게 필요한 것은 무엇입니까?

• DDK (드라이버 개발 키트), 현재는 WDK 7(Windows 드라이버 키트)로도 알려져 있습니다.
• 가상 머신(예: Windows 7 x64)
• 꼭 필요한 것은 아니지만 다운로드할 수 있는 헤더 파일이 도움이 될 수 있습니다. 여기에

코드에는 무엇이 들어있나요?

조금 연습해서 예를 들어 다음과 같은 작은 애플리케이션을 작성해 보겠습니다.

1. 화면에 메시지를 표시합니다
2. 일부 메모리를 할당합니다.
3. 키보드 입력을 기다립니다
4. 사용된 메모리를 확보합니다.

기본 애플리케이션에서 진입점은 main이나 winmain이 아니라 NtProcessStartup 함수입니다. 실제로 시스템에서 새 프로세스를 직접 시작하기 때문입니다.

화면에 메시지를 표시하는 것부터 시작해 보겠습니다. 이를 위해 우리는 기본 기능을 가지고 있습니다 NtDisplayString, UNICODE_STRING 구조 개체에 대한 포인터를 인수로 사용합니다. RtlInitUnicodeString은 초기화하는 데 도움이 됩니다. 결과적으로 화면에 텍스트를 표시하기 위해 다음과 같은 작은 함수를 작성할 수 있습니다.

//usage: WriteLn(L"Here is my textn");
void WriteLn(LPWSTR Message)
{
    UNICODE_STRING string;
    RtlInitUnicodeString(&string, Message);
    NtDisplayString(&string);
}

우리는 ntdll의 함수만 사용할 수 있고 아직 메모리에 다른 라이브러리가 없기 때문에 메모리 할당 방법에 확실히 문제가 있을 것입니다. new 연산자는 아직 존재하지 않으며(너무 높은 수준의 C++ 세계에서 왔기 때문에), malloc 함수도 없습니다(런타임 C 라이브러리가 필요함). 물론 스택만 사용할 수 있습니다. 그러나 메모리를 동적으로 할당해야 한다면 힙(예: 힙)에서 수행해야 합니다. 그러니 우리 스스로 힙을 만들고 필요할 때마다 메모리를 가져오도록 합시다.

이 작업에 적합한 기능입니다 RtlCreateHeap. 다음으로 RtlAllocateHeap 및 RtlFreeHeap을 사용하여 필요할 때 메모리를 점유하고 해제합니다.

PVOID memory = NULL;
PVOID buffer = NULL;
ULONG bufferSize = 42;

// create heap in order to allocate memory later
memory = RtlCreateHeap(
  HEAP_GROWABLE, 
  NULL, 
  1000, 
  0, NULL, NULL
);

// allocate buffer of size bufferSize
buffer = RtlAllocateHeap(
  memory, 
  HEAP_ZERO_MEMORY, 
  bufferSize
);

// free buffer (actually not needed because we destroy heap in next step)
RtlFreeHeap(memory, 0, buffer);

RtlDestroyHeap(memory);

키보드 입력을 기다리는 것으로 넘어 갑시다.

// https://docs.microsoft.com/en-us/windows/win32/api/ntddkbd/ns-ntddkbd-keyboard_input_data
typedef struct _KEYBOARD_INPUT_DATA {
  USHORT UnitId;
  USHORT MakeCode;
  USHORT Flags;
  USHORT Reserved;
  ULONG  ExtraInformation;
} KEYBOARD_INPUT_DATA, *PKEYBOARD_INPUT_DATA;

//...

HANDLE hKeyBoard, hEvent;
UNICODE_STRING skull, keyboard;
OBJECT_ATTRIBUTES ObjectAttributes;
IO_STATUS_BLOCK Iosb;
LARGE_INTEGER ByteOffset;
KEYBOARD_INPUT_DATA kbData;

// inialize variables
RtlInitUnicodeString(&keyboard, L"DeviceKeyboardClass0");
InitializeObjectAttributes(&ObjectAttributes, &keyboard, OBJ_CASE_INSENSITIVE, NULL, NULL);

// open keyboard device
NtCreateFile(&hKeyBoard,
			SYNCHRONIZE | GENERIC_READ | FILE_READ_ATTRIBUTES,
			&ObjectAttributes,
			&Iosb,
			NULL,
			FILE_ATTRIBUTE_NORMAL,
			0,
			FILE_OPEN,FILE_DIRECTORY_FILE,
			NULL, 0);

// create event to wait on
InitializeObjectAttributes(&ObjectAttributes, NULL, 0, NULL, NULL);
NtCreateEvent(&hEvent, EVENT_ALL_ACCESS, &ObjectAttributes, 1, 0);

while (TRUE)
{
	NtReadFile(hKeyBoard, hEvent, NULL, NULL, &Iosb, &kbData, sizeof(KEYBOARD_INPUT_DATA), &ByteOffset, NULL);
	NtWaitForSingleObject(hEvent, TRUE, NULL);

	if (kbData.MakeCode == 0x01)    // if ESC pressed
	{
			break;
	}
}

우리에게 필요한 것은 사용하는 것뿐입니다. NtRead파일 열려 있는 장치에서 키보드가 어떤 키라도 눌러질 때까지 기다리십시오. ESC 키를 누르면 작업이 계속됩니다. 장치를 열려면 NtCreateFile 함수를 호출해야 합니다(DeviceKeyboardClass0을 열어야 합니다). 우리도 전화할게 NtCreate이벤트대기 객체를 초기화합니다. 키보드 데이터를 나타내는 KEYBOARD_INPUT_DATA 구조를 직접 선언하겠습니다. 이렇게 하면 작업이 더 쉬워질 것입니다.

기본 애플리케이션은 함수 호출로 종료됩니다. NtTerminate프로세스왜냐하면 우리는 단순히 우리 자신의 프로세스를 죽이고 있기 때문입니다.

소규모 애플리케이션을 위한 모든 코드:

#include "ntifs.h" // WinDDK7600.16385.1incddk
#include "ntdef.h"

//------------------------------------
// Following function definitions can be found in native development kit
// but I am too lazy to include `em so I declare it here
//------------------------------------

NTSYSAPI
NTSTATUS
NTAPI
NtTerminateProcess(
  IN HANDLE               ProcessHandle OPTIONAL,
  IN NTSTATUS             ExitStatus
);

NTSYSAPI 
NTSTATUS
NTAPI
NtDisplayString(
	IN PUNICODE_STRING String
);

NTSTATUS 
NtWaitForSingleObject(
  IN HANDLE         Handle,
  IN BOOLEAN        Alertable,
  IN PLARGE_INTEGER Timeout
);

NTSYSAPI 
NTSTATUS
NTAPI
NtCreateEvent(
    OUT PHANDLE             EventHandle,
    IN ACCESS_MASK          DesiredAccess,
    IN POBJECT_ATTRIBUTES   ObjectAttributes OPTIONAL,
    IN EVENT_TYPE           EventType,
    IN BOOLEAN              InitialState
);



// https://docs.microsoft.com/en-us/windows/win32/api/ntddkbd/ns-ntddkbd-keyboard_input_data
typedef struct _KEYBOARD_INPUT_DATA {
  USHORT UnitId;
  USHORT MakeCode;
  USHORT Flags;
  USHORT Reserved;
  ULONG  ExtraInformation;
} KEYBOARD_INPUT_DATA, *PKEYBOARD_INPUT_DATA;

//----------------------------------------------------------
// Our code goes here
//----------------------------------------------------------

// usage: WriteLn(L"Hello Native World!n");
void WriteLn(LPWSTR Message)
{
    UNICODE_STRING string;
    RtlInitUnicodeString(&string, Message);
    NtDisplayString(&string);
}

void NtProcessStartup(void* StartupArgument)
{
	// it is important to declare all variables at the beginning
	HANDLE hKeyBoard, hEvent;
	UNICODE_STRING skull, keyboard;
	OBJECT_ATTRIBUTES ObjectAttributes;
	IO_STATUS_BLOCK Iosb;
	LARGE_INTEGER ByteOffset;
	KEYBOARD_INPUT_DATA kbData;
	
	PVOID memory = NULL;
	PVOID buffer = NULL;
	ULONG bufferSize = 42;

	//use it if debugger connected to break
	//DbgBreakPoint();

	WriteLn(L"Hello Native World!n");

	// inialize variables
	RtlInitUnicodeString(&keyboard, L"DeviceKeyboardClass0");
	InitializeObjectAttributes(&ObjectAttributes, &keyboard, OBJ_CASE_INSENSITIVE, NULL, NULL);

	// open keyboard device
	NtCreateFile(&hKeyBoard,
				SYNCHRONIZE | GENERIC_READ | FILE_READ_ATTRIBUTES,
				&ObjectAttributes,
				&Iosb,
				NULL,
				FILE_ATTRIBUTE_NORMAL,
				0,
				FILE_OPEN,FILE_DIRECTORY_FILE,
				NULL, 0);

	// create event to wait on
	InitializeObjectAttributes(&ObjectAttributes, NULL, 0, NULL, NULL);
	NtCreateEvent(&hEvent, EVENT_ALL_ACCESS, &ObjectAttributes, 1, 0);
	
	WriteLn(L"Keyboard readyn");
	
	// create heap in order to allocate memory later
	memory = RtlCreateHeap(
	  HEAP_GROWABLE, 
	  NULL, 
	  1000, 
	  0, NULL, NULL
	);
	
	WriteLn(L"Heap readyn");

	// allocate buffer of size bufferSize
	buffer = RtlAllocateHeap(
	  memory, 
	  HEAP_ZERO_MEMORY, 
	  bufferSize
	);
	
	WriteLn(L"Buffer allocatedn");

	// free buffer (actually not needed because we destroy heap in next step)
	RtlFreeHeap(memory, 0, buffer);

	RtlDestroyHeap(memory);
	
	WriteLn(L"Heap destroyedn");
	
	WriteLn(L"Press ESC to continue...n");

	while (TRUE)
	{
		NtReadFile(hKeyBoard, hEvent, NULL, NULL, &Iosb, &kbData, sizeof(KEYBOARD_INPUT_DATA), &ByteOffset, NULL);
		NtWaitForSingleObject(hEvent, TRUE, NULL);

		if (kbData.MakeCode == 0x01)    // if ESC pressed
		{
				break;
		}
	}

	NtTerminateProcess(NtCurrentProcess(), 0);
}

추신: 코드에서 DbgBreakPoint() 함수를 쉽게 사용하여 디버거에서 이를 중지할 수 있습니다. 사실, 커널 디버깅을 위해서는 WinDbg를 가상 머신에 연결해야 합니다. 이를 수행하는 방법에 대한 지침을 찾을 수 있습니다 여기에 또는 그냥 사용 가상KD.

컴파일 및 어셈블리

기본 애플리케이션을 구축하는 가장 쉬운 방법은 다음을 사용하는 것입니다. DDK (드라이버 개발 키트). 최신 버전은 접근 방식이 약간 다르고 Visual Studio와 긴밀하게 작동하므로 고대 일곱 번째 버전이 필요합니다. DDK를 사용하는 경우 프로젝트에는 Makefile과 소스만 필요합니다.

Makefile

!INCLUDE $(NTMAKEENV)makefile.def

출처 :

TARGETNAME			= MyNative
TARGETTYPE			= PROGRAM
UMTYPE				= nt
BUFFER_OVERFLOW_CHECKS 		= 0
MINWIN_SDK_LIB_PATH		= $(SDK_LIB_PATH)
SOURCES 			= source.c

INCLUDES 			= $(DDK_INC_PATH); 
				  C:WinDDK7600.16385.1ndk;

TARGETLIBS 			= $(DDK_LIB_PATH)ntdll.lib	
				  $(DDK_LIB_PATH)nt.lib

USE_NTDLL			= 1

Makefile은 완전히 동일하지만 소스를 좀 더 자세히 살펴보겠습니다. 이 파일은 프로그램의 소스(.c 파일), 빌드 옵션 및 기타 매개변수를 지정합니다.

• TARGETNAME – 최종적으로 생성되어야 하는 실행 파일의 이름입니다.
• TARGETTYPE – 실행 파일 유형. 드라이버(.sys)일 수 있으며 필드 값은 DRIVER여야 하며, 라이브러리(.lib)인 경우 값은 LIBRARY입니다. 우리의 경우에는 실행 파일(.exe)이 필요하므로 값을 PROGRAM으로 설정했습니다.
• UMTYPE – 이 필드에 가능한 값: 콘솔 애플리케이션용 콘솔, 창 모드 작업용 창. 하지만 기본 애플리케이션을 얻으려면 nt를 지정해야 합니다.
• BUFFER_OVERFLOW_CHECKS – 스택에서 버퍼 오버플로를 확인합니다. 불행하게도 우리의 경우는 아니므로 끕니다.
• MINWIN_SDK_LIB_PATH – 이 값은 SDK_LIB_PATH 변수를 참조합니다. 선언된 시스템 변수가 없다고 걱정하지 마십시오. DDK에서 검사된 빌드를 실행하면 이 변수가 선언되고 필요한 라이브러리를 가리킵니다.
• SOURCES – 프로그램의 소스 목록입니다.
• INCLUDES - 어셈블리에 필요한 헤더 파일입니다. 여기서는 일반적으로 DDK와 함께 제공되는 파일의 경로를 나타내지만 추가로 다른 경로를 지정할 수도 있습니다.
• TARGETLIBS - 연결해야 하는 라이브러리 목록입니다.
• USE_NTDLL은 명백한 이유로 1로 설정해야 하는 필수 필드입니다.
• USER_C_FLAGS – 애플리케이션 코드를 준비할 때 전처리기 지시문에 사용할 수 있는 플래그입니다.

따라서 빌드하려면 x86(또는 x64) Checked Build를 실행하고 작업 디렉터리를 프로젝트 폴더로 변경한 후 Build 명령을 실행해야 합니다. 스크린샷의 결과는 하나의 실행 파일이 있음을 보여줍니다.

이 파일은 그렇게 쉽게 시작할 수 없으며 시스템은 다음 오류와 함께 해당 동작에 대해 생각하도록 저주하고 보냅니다.

기본 애플리케이션을 시작하는 방법은 무엇입니까?

autochk가 시작되면 프로그램의 시작 순서는 레지스트리 키 값에 따라 결정됩니다.

HKLMSystemCurrentControlSetControlSession ManagerBootExecute

세션 관리자는 이 목록의 프로그램을 하나씩 실행합니다. 세션 관리자는 system32 디렉터리에서 실행 파일 자체를 찾습니다. 레지스트리 키 값 형식은 다음과 같습니다.

autocheck autochk *MyNative

값은 일반적인 ASCII가 아닌 XNUMX진수 형식이어야 하므로 위에 표시된 키의 형식은 다음과 같습니다.

61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,00,4d,79,4e,61,74,69,76,65,00,00

제목을 변환하려면 다음과 같은 온라인 서비스를 사용할 수 있습니다. 이.

기본 애플리케이션을 시작하려면 다음이 필요합니다.

1. 실행 파일을 system32 폴더에 복사하세요.
2. 레지스트리에 키 추가
3. 머신을 재부팅하세요

편의를 위해 기본 애플리케이션 설치를 위해 미리 만들어진 스크립트는 다음과 같습니다.

install.bat를

@echo off
copy MyNative.exe %systemroot%system32.
regedit /s add.reg
echo Native Example Installed
pause

add.reg

REGEDIT4

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager]
"BootExecute"=hex(7):61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,00,4d,79,4e,61,74,69,76,65,00,00

설치 및 재부팅 후 사용자 선택 화면이 나타나기 전에도 다음 그림이 표시됩니다.

합계

이러한 작은 애플리케이션의 예를 사용하여 우리는 Windows Native 수준에서 애플리케이션을 실행하는 것이 가능하다는 것을 확신했습니다. 다음으로, Innopolis University의 팀원들과 저는 이전 프로젝트 버전보다 훨씬 일찍 드라이버와의 상호 작용 프로세스를 시작하는 서비스를 계속해서 구축할 것입니다. 그리고 win32 셸의 출현으로 이미 개발된 본격적인 서비스로 제어권을 이전하는 것이 논리적일 것입니다. 여기에).

다음 기사에서는 Active Restore 서비스의 또 다른 구성 요소인 UEFI 드라이버를 다루겠습니다. 다음 게시물을 놓치지 않으려면 블로그를 구독하세요.

출처 : habr.com