关于XP SP3 系统下NtUserCreateWindowEx 原型分析_修正.pdf

《关于XP SP3 系统下NtUserCreateWindowEx 原型分析_修正.pdf》由会员分享，可在线阅读，更多相关《关于XP SP3 系统下NtUserCreateWindowEx 原型分析_修正.pdf（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版)第 1 页 共 7 页 关于关于 XP SP3 系统下系统下 NtUserCreateWindowEx 原型分析原型分析 修正版修正版 By HSQ 说明：其实以前就因为需要用到这个函数来处理一些特定窗口，苦于没有该说明：其实以前就因为需要用到这个函数来处理一些特定窗口，苦于没有该 API 原型，最后自己也是草草的原型，最后自己也是草草的 DBG了一下，可弄错来的结果还是有偏差。最近再次用那些东西试试效果，居然发现用起来完全形同虚设。可能是系了一下，可弄错来的结果还是有偏差。最近再次用那些东西试试效果，居然

2、发现用起来完全形同虚设。可能是系统升级后，原来蒙的偏移量改变了。乘着闲来无事，干脆下统升级后，原来蒙的偏移量改变了。乘着闲来无事，干脆下决心给彻底决心给彻底弄弄清楚清楚其原型。其原型。顺便将顺便将分析分析过程记录存档过程记录存档，以以便共享便共享后来后来者和遗忘者和遗忘是是查阅查阅。1.其最其最终由终由 WIN32K.SYS 实现实现 2.调调用用流程流程 关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版)第 2 页 共 7 页 3.参参数数传递经过传递经过 3.1 CreateWindowEx（CreateWindowExW/A）先从先从 2k 源码看参

3、数传递过程开始分析源码看参数传递过程开始分析 注意：在注意：在 2K 中没有中没有 CreateWindowExW/A 之分之分,这也正是需要对这也正是需要对 NtUserCreateWindowEx 进行重新分析的原因进行重新分析的原因 CreateWindowEx 没有对参数进行任何处理，而是追加一个参数后直接调用没有对参数进行任何处理，而是追加一个参数后直接调用_CreateWindowEx 3.2 _CreateWindowEx 可见，在可见，在 2k 时，是通过是否定义了时，是通过是否定义了这个标志来调用相应版本的这个标志来调用相应版本的 API，及，及来确定是来确定是W/A 之分的

4、。而在之分的。而在 XP 中，已经存中，已经存 CreateWindowExW/A 之分了，在通过之分了，在通过 IDA 分析可知分析可知 对于对于的调用：的调用：关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版)第 3 页 共 7 页 对于对于的调用：的调用：即即 A 版本的版本的=，W 版本为版本为，其他参数都沿袭，其他参数都沿袭 2K。_CreateWindowEx 进行一些处理后接着开始进入下一层调用，这里进行一些处理后接着开始进入下一层调用，这里 XP 与与 2K 处理有些差异。处理有些差异。3.3 NtUserCreateWindowEx（Ve

5、rNtUserCreateWindowEx）A.在在 2K 中，到次就直接进入了中，到次就直接进入了 NtUserCreateWindowEx 流程流程 NtUserCreateWindowEx 的原型：的原型：关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版)第 4 页 共 7 页 至此，用户层的处理已经结束。至此，用户层的处理已经结束。B.而在而在 XP 中，却还得经过一个中，却还得经过一个 VerNtUserCreateWindowEx 调用才会进入调用才会进入 NtUserCreateWindowEx 流程。结合流程。结合2K 的源码，拿的源码，拿

6、 IDA 的的 F5 初步分析，猜测初步分析，猜测 VerNtUserCreateWindowEx 应该就是以前应该就是以前 NtUserCreateWindowEx的伪函数的伪函数 再看看该处使用到的一些字符结构再看看该处使用到的一些字符结构 由此可见由此可见 PLARGE_STRING 是是 PLARGE_ANSI_STRING 与与 PLARGE_UNICODE_STRING 的通用结构，的通用结构，而而 VerNtUserCreateWindowEx 内代码片无非是根据上层函数传入的内代码片无非是根据上层函数传入的进行做进行做 A/W 的配对吻合而已，故的配对吻合而已，故最终确定其原型

7、应该为最终确定其原型应该为 关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版)第 5 页 共 7 页 在此基础上，用在此基础上，用 IDA 进行分析看得出进行分析看得出 NtUserCreateWindowEx 的最终原型基本为，的最终原型基本为，4.最最终终整整理理 XP SP3 下下得得到到真真正的正的 NtUserCreateWindowEx 由于昨晚马虎，依据以前的经验，直接认为传到内核后所有的字符参数应该均为宽字节类型，于是直接将由于昨晚马虎，依据以前的经验，直接认为传到内核后所有的字符参数应该均为宽字节类型，于是直接将和和参数类型设为参数类型设

8、为 PLARGE_UNICODE_STRING。后来在自己写个创建窗口。后来在自己写个创建窗口的例子时，发现用的例子时，发现用 A 版版创建了一个自定义的类窗口，到内核层却只能把窗口类名称给解析出创建了一个自定义的类窗口，到内核层却只能把窗口类名称给解析出关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版)第 6 页 共 7 页 来。再看看以前的分析过程，于是猜测也可能存在传到内核还是单字节的情况，随即在自己的代码内加了来。再看看以前的分析过程，于是猜测也可能存在传到内核还是单字节的情况，随即在自己的代码内加了 W/A之分后，发现窗口的类好名都能很好的解析出

9、来。于是它们的参数类型应该为的之分后，发现窗口的类好名都能很好的解析出来。于是它们的参数类型应该为的 PLARGE_STRING，自己在内，自己在内核里还得具体区别对待。修正后的原型如下：核里还得具体区别对待。修正后的原型如下：5.验证验证分析结果正分析结果正确确性性 测试例子的代码片：测试例子的代码片：测试驱动的解析代码片：测试驱动的解析代码片：关于 XP SP3 系统下 NtUserCreateWindowEx 原型分析(修正版)第 7 页 共 7 页 最后测试了一下，证明这次分析的是完全对的最后测试了一下，证明这次分析的是完全对的_.参参考资料考资料：1.部部分分源码源码 2.部部分分源码源码 2009 年年 3 月月 13 日星期五日星期五(北京北京)