🥇Windows vietējās lietojumprogrammas un Acronis Active Restore pakalpojums

Šodien turpinām stāstu par to, kā mēs kopā ar puišiem no Innopolis Universitātes attīstām Active Restore tehnoloģiju, lai pēc kļūmes lietotājs pēc iespējas ātrāk varētu sākt strādāt pie savas mašīnas. Mēs runāsim par vietējām Windows lietojumprogrammām, tostarp to izveides un palaišanas funkcijām. Zem griezuma ir nedaudz par mūsu projektu, kā arī praktisks ceļvedis, kā rakstīt vietējās lietojumprogrammas.

Iepriekšējos ierakstos mēs jau runājām par to, kas tas ir Aktīvā atjaunošana, un kā attīstās Innopolis studenti pakalpojumu. Šodien es vēlos koncentrēties uz vietējām lietojumprogrammām, kuru līmenī mēs vēlamies “apglabāt” mūsu aktīvās atkopšanas pakalpojumu. Ja viss izdosies, tad mēs varēsim:

Palaidiet pakalpojumu daudz agrāk
Daudz agrāk sazinieties ar mākoni, kurā atrodas dublējums
Daudz agrāk, lai saprastu, kādā režīmā sistēma atrodas - parastā sāknēšana vai atkopšana
Iepriekš atkopjamo failu skaits ir daudz mazāks
Ļaujiet lietotājam sākt darbu vēl ātrāk.

Kas vispār ir vietējā lietotne?

Lai atbildētu uz šo jautājumu, apskatīsim izsaukumu secību, ko sistēma veic, piemēram, ja programmētājs savā lietojumprogrammā mēģina izveidot failu.

Pāvels Josifovičs — Windows kodola programmēšana (2019)

Programmētājs izmanto funkciju Izveidot failu, kas ir deklarēts galvenes failā fileapi.h un ieviests programmā Kernel32.dll. Tomēr šī funkcija pati neveido failu, tā tikai pārbauda ievades argumentus un izsauc funkciju NtCreateFile (prefikss Nt tikai norāda, ka funkcija ir vietējā). Šī funkcija ir deklarēta galvenes failā winternl.h un ieviesta failā ntdll.dll. Tas gatavojas pārlēkšanai kodoltelpā, pēc tam veic sistēmas izsaukumu, lai izveidotu failu. Šajā gadījumā izrādās, ka Kernel32 ir tikai Ntdll iesaiņojums. Viens no iemesliem, kāpēc tas tika darīts, ir tas, ka Microsoft tādējādi var mainīt vietējās pasaules funkcijas, bet nepieskarties standarta saskarnēm. Microsoft neiesaka tieši izsaukt vietējās funkcijas un lielāko daļu no tām nedokumentē. Starp citu, var atrast nedokumentētas funkcijas šeit.

Galvenā vietējo lietojumprogrammu priekšrocība ir tā, ka ntdll tiek ielādēts sistēmā daudz agrāk nekā kernel32. Tas ir loģiski, jo kernel32 darbam ir nepieciešams ntdll. Rezultātā lietojumprogrammas, kas izmanto vietējās funkcijas, var sākt darboties daudz agrāk.

Tādējādi Windows vietējās lietojumprogrammas ir programmas, kuras var palaist agri Windows sāknēšanas laikā. Viņi izmanto TIKAI ntdll funkcijas. Šādas lietojumprogrammas piemērs: autochk kurš uzstājas chkdisk utilīta lai pirms galveno pakalpojumu palaišanas pārbaudītu, vai diskā nav kļūdu. Tas ir tieši tāds līmenis, kādu mēs vēlamies, lai mūsu aktīvā atjaunošana būtu.

Ko mums vajag?

DDK (Driver Development Kit), tagad pazīstams arī kā WDK 7 (Windows draiveru komplekts).
Virtuālā mašīna (piemēram, Windows 7 x64)
Nav nepieciešams, taču var palīdzēt galvenes faili, kurus var lejupielādēt šeit

Kas ir kodā?

Nedaudz trenēsimies un, piemēram, uzrakstīsim nelielu pieteikumu, kas:

Parāda ziņojumu ekrānā
Piešķir daļu atmiņas
Gaida tastatūras ievadi
Atbrīvo izmantoto atmiņu

Vietējās lietojumprogrammās ievades punkts nav galvenais vai winmain, bet gan funkcija NtProcessStartup, jo mēs faktiski tieši palaižam sistēmā jaunus procesus.

Sāksim ar ziņojuma parādīšanu ekrānā. Šim nolūkam mums ir vietējā funkcija NtDisplayString, kas kā argumentu izmanto rādītāju uz UNICODE_STRING struktūras objektu. RtlInitUnicodeString palīdzēs mums to inicializēt. Tā rezultātā, lai ekrānā parādītu tekstu, mēs varam ierakstīt šo mazo funkciju:

//usage: WriteLn(L"Here is my textn");
void WriteLn(LPWSTR Message)
{
    UNICODE_STRING string;
    RtlInitUnicodeString(&string, Message);
    NtDisplayString(&string);
}

Tā kā mums ir pieejamas tikai funkcijas no ntdll, un citu bibliotēku atmiņā vienkārši vēl nav, mums noteikti būs problēmas ar atmiņas piešķiršanu. Jaunais operators vēl neeksistē (jo tas nāk no pārāk augsta līmeņa C++ pasaules), un nav malloc funkcijas (tam nepieciešamas izpildlaika C bibliotēkas). Protams, jūs varat izmantot tikai kaudzi. Bet, ja mums ir dinamiski jāpiešķir atmiņa, mums tas būs jādara kaudzē (t.i., kaudzītē). Tāpēc izveidosim sev kaudzi un ņemsim no tās atmiņu ikreiz, kad tas būs nepieciešams.

Funkcija ir piemērota šim uzdevumam RtlCreateHeap. Tālāk, izmantojot RtlAllocateHeap un RtlFreeHeap, mēs aizņemsim un atbrīvosim atmiņu, kad tā būs nepieciešama.

PVOID memory = NULL;
PVOID buffer = NULL;
ULONG bufferSize = 42;

// create heap in order to allocate memory later
memory = RtlCreateHeap(
  HEAP_GROWABLE, 
  NULL, 
  1000, 
  0, NULL, NULL
);

// allocate buffer of size bufferSize
buffer = RtlAllocateHeap(
  memory, 
  HEAP_ZERO_MEMORY, 
  bufferSize
);

// free buffer (actually not needed because we destroy heap in next step)
RtlFreeHeap(memory, 0, buffer);

RtlDestroyHeap(memory);

Pāriesim pie tastatūras ievades gaidīšanas.

// https://docs.microsoft.com/en-us/windows/win32/api/ntddkbd/ns-ntddkbd-keyboard_input_data
typedef struct _KEYBOARD_INPUT_DATA {
  USHORT UnitId;
  USHORT MakeCode;
  USHORT Flags;
  USHORT Reserved;
  ULONG  ExtraInformation;
} KEYBOARD_INPUT_DATA, *PKEYBOARD_INPUT_DATA;

//...

HANDLE hKeyBoard, hEvent;
UNICODE_STRING skull, keyboard;
OBJECT_ATTRIBUTES ObjectAttributes;
IO_STATUS_BLOCK Iosb;
LARGE_INTEGER ByteOffset;
KEYBOARD_INPUT_DATA kbData;

// inialize variables
RtlInitUnicodeString(&keyboard, L"DeviceKeyboardClass0");
InitializeObjectAttributes(&ObjectAttributes, &keyboard, OBJ_CASE_INSENSITIVE, NULL, NULL);

// open keyboard device
NtCreateFile(&hKeyBoard,
			SYNCHRONIZE | GENERIC_READ | FILE_READ_ATTRIBUTES,
			&ObjectAttributes,
			&Iosb,
			NULL,
			FILE_ATTRIBUTE_NORMAL,
			0,
			FILE_OPEN,FILE_DIRECTORY_FILE,
			NULL, 0);

// create event to wait on
InitializeObjectAttributes(&ObjectAttributes, NULL, 0, NULL, NULL);
NtCreateEvent(&hEvent, EVENT_ALL_ACCESS, &ObjectAttributes, 1, 0);

while (TRUE)
{
	NtReadFile(hKeyBoard, hEvent, NULL, NULL, &Iosb, &kbData, sizeof(KEYBOARD_INPUT_DATA), &ByteOffset, NULL);
	NtWaitForSingleObject(hEvent, TRUE, NULL);

	if (kbData.MakeCode == 0x01)    // if ESC pressed
	{
			break;
	}
}

Viss, kas mums nepieciešams, ir izmantot NtReadFile atvērtā ierīcē un pagaidiet, līdz tastatūra atgriezīs mums jebkuru nospiešanu. Ja tiek nospiests ESC taustiņš, mēs turpināsim darbu. Lai atvērtu ierīci, mums būs jāizsauc funkcija NtCreateFile (mums būs jāatver DeviceKeyboardClass0). Mēs arī piezvanīsim NtCreateEventlai inicializētu gaidīšanas objektu. Mēs paši deklarēsim KEYBOARD_INPUT_DATA struktūru, kas atspoguļo tastatūras datus. Tas atvieglos mūsu darbu.

Vietējā lietojumprogramma beidzas ar funkcijas izsaukumu NtTerminateProcessjo mēs vienkārši nogalinām paši savu procesu.

Viss mūsu mazās lietojumprogrammas kods:

#include "ntifs.h" // WinDDK7600.16385.1incddk
#include "ntdef.h"

//------------------------------------
// Following function definitions can be found in native development kit
// but I am too lazy to include `em so I declare it here
//------------------------------------

NTSYSAPI
NTSTATUS
NTAPI
NtTerminateProcess(
  IN HANDLE               ProcessHandle OPTIONAL,
  IN NTSTATUS             ExitStatus
);

NTSYSAPI 
NTSTATUS
NTAPI
NtDisplayString(
	IN PUNICODE_STRING String
);

NTSTATUS 
NtWaitForSingleObject(
  IN HANDLE         Handle,
  IN BOOLEAN        Alertable,
  IN PLARGE_INTEGER Timeout
);

NTSYSAPI 
NTSTATUS
NTAPI
NtCreateEvent(
    OUT PHANDLE             EventHandle,
    IN ACCESS_MASK          DesiredAccess,
    IN POBJECT_ATTRIBUTES   ObjectAttributes OPTIONAL,
    IN EVENT_TYPE           EventType,
    IN BOOLEAN              InitialState
);



// https://docs.microsoft.com/en-us/windows/win32/api/ntddkbd/ns-ntddkbd-keyboard_input_data
typedef struct _KEYBOARD_INPUT_DATA {
  USHORT UnitId;
  USHORT MakeCode;
  USHORT Flags;
  USHORT Reserved;
  ULONG  ExtraInformation;
} KEYBOARD_INPUT_DATA, *PKEYBOARD_INPUT_DATA;

//----------------------------------------------------------
// Our code goes here
//----------------------------------------------------------

// usage: WriteLn(L"Hello Native World!n");
void WriteLn(LPWSTR Message)
{
    UNICODE_STRING string;
    RtlInitUnicodeString(&string, Message);
    NtDisplayString(&string);
}

void NtProcessStartup(void* StartupArgument)
{
	// it is important to declare all variables at the beginning
	HANDLE hKeyBoard, hEvent;
	UNICODE_STRING skull, keyboard;
	OBJECT_ATTRIBUTES ObjectAttributes;
	IO_STATUS_BLOCK Iosb;
	LARGE_INTEGER ByteOffset;
	KEYBOARD_INPUT_DATA kbData;
	
	PVOID memory = NULL;
	PVOID buffer = NULL;
	ULONG bufferSize = 42;

	//use it if debugger connected to break
	//DbgBreakPoint();

	WriteLn(L"Hello Native World!n");

	// inialize variables
	RtlInitUnicodeString(&keyboard, L"DeviceKeyboardClass0");
	InitializeObjectAttributes(&ObjectAttributes, &keyboard, OBJ_CASE_INSENSITIVE, NULL, NULL);

	// open keyboard device
	NtCreateFile(&hKeyBoard,
				SYNCHRONIZE | GENERIC_READ | FILE_READ_ATTRIBUTES,
				&ObjectAttributes,
				&Iosb,
				NULL,
				FILE_ATTRIBUTE_NORMAL,
				0,
				FILE_OPEN,FILE_DIRECTORY_FILE,
				NULL, 0);

	// create event to wait on
	InitializeObjectAttributes(&ObjectAttributes, NULL, 0, NULL, NULL);
	NtCreateEvent(&hEvent, EVENT_ALL_ACCESS, &ObjectAttributes, 1, 0);
	
	WriteLn(L"Keyboard readyn");
	
	// create heap in order to allocate memory later
	memory = RtlCreateHeap(
	  HEAP_GROWABLE, 
	  NULL, 
	  1000, 
	  0, NULL, NULL
	);
	
	WriteLn(L"Heap readyn");

	// allocate buffer of size bufferSize
	buffer = RtlAllocateHeap(
	  memory, 
	  HEAP_ZERO_MEMORY, 
	  bufferSize
	);
	
	WriteLn(L"Buffer allocatedn");

	// free buffer (actually not needed because we destroy heap in next step)
	RtlFreeHeap(memory, 0, buffer);

	RtlDestroyHeap(memory);
	
	WriteLn(L"Heap destroyedn");
	
	WriteLn(L"Press ESC to continue...n");

	while (TRUE)
	{
		NtReadFile(hKeyBoard, hEvent, NULL, NULL, &Iosb, &kbData, sizeof(KEYBOARD_INPUT_DATA), &ByteOffset, NULL);
		NtWaitForSingleObject(hEvent, TRUE, NULL);

		if (kbData.MakeCode == 0x01)    // if ESC pressed
		{
				break;
		}
	}

	NtTerminateProcess(NtCurrentProcess(), 0);
}

PS: Mēs varam viegli izmantot funkciju DbgBreakPoint() savā kodā, lai apturētu to atkļūdotājs. Tiesa, jums būs jāpievieno WinDbg ar virtuālo mašīnu kodola atkļūdošanai. Norādījumus, kā to izdarīt, var atrast šeit vai vienkārši izmantot VirtualKD.

Sastādīšana un montāža

Vienkāršākais veids, kā izveidot vietējo lietojumprogrammu, ir izmantot DDK (Driver Development Kit). Mums ir nepieciešama senā septītā versija, jo jaunākajām versijām ir nedaudz atšķirīga pieeja un tās cieši sadarbojas ar Visual Studio. Ja mēs izmantojam DDK, tad mūsu projektam ir nepieciešams tikai Makefile un avoti.

Makefile

!INCLUDE $(NTMAKEENV)makefile.def

avoti:

TARGETNAME			= MyNative
TARGETTYPE			= PROGRAM
UMTYPE				= nt
BUFFER_OVERFLOW_CHECKS 		= 0
MINWIN_SDK_LIB_PATH		= $(SDK_LIB_PATH)
SOURCES 			= source.c

INCLUDES 			= $(DDK_INC_PATH); 
				  C:WinDDK7600.16385.1ndk;

TARGETLIBS 			= $(DDK_LIB_PATH)ntdll.lib	
				  $(DDK_LIB_PATH)nt.lib

USE_NTDLL			= 1

Jūsu Makefile būs tieši tāds pats, taču apskatīsim avotus nedaudz sīkāk. Šajā failā ir norādīti jūsu programmas avoti (.c faili), būvējuma opcijas un citi parametri.

TARGETNAME – izpildāmā faila nosaukums, kas beigās jāizveido.
TARGETTYPE – izpildāmā faila tips, tas var būt draiveris (.sys), tad lauka vērtībai jābūt DRIVER, ja bibliotēka (.lib), tad vērtība ir LIBRARY. Mūsu gadījumā mums ir nepieciešams izpildāmais fails (.exe), tāpēc mēs iestatām vērtību uz PROGRAMMA.
UMTYPE – šī lauka iespējamās vērtības: konsole konsoles lietojumprogrammai, logi darbam logu režīmā. Bet mums ir jānorāda nt, lai iegūtu vietējo lietojumprogrammu.
BUFFER_OVERFLOW_CHECKS – pārbaudot steku, vai nav pārpildīts buferis, diemžēl ne mūsu gadījumā, mēs to izslēdzam.
MINWIN_SDK_LIB_PATH – šī vērtība attiecas uz mainīgo SDK_LIB_PATH, neuztraucieties, ka jums nav deklarēts šāds sistēmas mainīgais, kad mēs izpildīsim pārbaudīto būvējumu no DDK, šis mainīgais tiks deklarēts un norādīs uz nepieciešamajām bibliotēkām.
AVOTI — jūsu programmas avotu saraksts.
IEKĻAUJ – galvenes faili, kas nepieciešami montāžai. Šeit tie parasti norāda ceļu uz failiem, kas tiek piegādāti kopā ar DDK, bet jūs varat papildus norādīt citus.
TARGETLIBS – to bibliotēku saraksts, kuras ir jāsaista.
USE_NTDLL ir obligāts lauks, kas acīmredzamu iemeslu dēļ jāiestata uz 1.
USER_C_FLAGS – visi karodziņi, kurus varat izmantot priekšapstrādātāja direktīvās, sagatavojot lietojumprogrammas kodu.

Tātad, lai izveidotu, mums ir jāpalaiž x86 (vai x64) Checked Build, jāmaina darba direktorijs uz projekta mapi un jāpalaiž komanda Build. Ekrānuzņēmuma rezultāts parāda, ka mums ir viens izpildāms fails.

Šo failu nevar tik vienkārši palaist, sistēma nolādē un sūta mums domāt par tā uzvedību ar šādu kļūdu:

Kā palaist vietējo lietojumprogrammu?

Kad autochk startē, programmu startēšanas secību nosaka reģistra atslēgas vērtība:

HKLMSystemCurrentControlSetControlSession ManagerBootExecute

Sesiju pārvaldnieks pa vienam izpilda programmas no šī saraksta. Sesiju pārvaldnieks paši meklē izpildāmos failus system32 direktorijā. Reģistra atslēgas vērtības formāts ir šāds:

autocheck autochk *MyNative

Vērtībai ir jābūt heksadecimālā formātā, nevis parastajā ASCII formātā, tāpēc iepriekš redzamā atslēga būs šādā formātā:

61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,00,4d,79,4e,61,74,69,76,65,00,00

Lai pārvērstu nosaukumu, varat izmantot tiešsaistes pakalpojumu, piemēram, šis.

Izrādās, ka, lai palaistu vietējo lietojumprogrammu, mums ir nepieciešams:

Kopējiet izpildāmo failu mapē system32
Pievienojiet reģistram atslēgu
Pārstartējiet mašīnu

Ērtības labad šeit ir gatavs skripts vietējās lietojumprogrammas instalēšanai:

install.bat

@echo off
copy MyNative.exe %systemroot%system32.
regedit /s add.reg
echo Native Example Installed
pause

add.reg

REGEDIT4

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager]
"BootExecute"=hex(7):61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,00,4d,79,4e,61,74,69,76,65,00,00

Pēc instalēšanas un atsāknēšanas, pat pirms tiek parādīts lietotāja atlases ekrāns, mēs iegūsim šādu attēlu:

Kopsavilkums

Izmantojot šādas nelielas lietojumprogrammas piemēru, mēs pārliecinājāmies, ka ir pilnīgi iespējams palaist lietojumprogrammu Windows Native līmenī. Tālāk mēs ar Innopolis Universitātes puišiem turpināsim veidot servisu, kas uzsāks mijiedarbības procesu ar vadītāju daudz agrāk nekā mūsu projekta iepriekšējā versijā. Un līdz ar win32 apvalka parādīšanos būtu loģiski pārcelt vadību uz pilnvērtīgu pakalpojumu, kas jau ir izstrādāts (vairāk par to šeit).

Nākamajā rakstā mēs pieskarsimies citai aktīvās atjaunošanas pakalpojuma sastāvdaļai, proti, UEFI draiverim. Abonējiet mūsu emuāru, lai nepalaistu garām nākamo ierakstu.

Avots: www.habr.com

Windows vietējās lietojumprogrammas un Acronis Active Restore pakalpojums