基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质技术方案

本发明专利技术涉及网络靶场应用程序调用技术领域，尤其涉及一种基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质；调用方法，包括以下步骤：导出ntdll原始调用接口，输出对应asm和h文件；在工程中，将得到的asm和h文件，添加到工程，并设置asm文件为“Microsoft Macro Assemble”；在工程中使用asm和h中导出的函数完成对应功能；编译、连接生成应用程序。本发明专利技术所公开的基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质，跳过Win32 API层，直接调用ntdll.dll函数，开发各种应用功能，响应速度快，无需通过安全防护软件检测；不存在误查杀和误拦截等问题。

【技术实现步骤摘要】
基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质
本专利技术涉及网络靶场应用程序调用
，尤其涉及一种基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质。
技术介绍
1什么是windows原生调用机制微软为了保护操作系统的安全性和稳定性，把系统分为内核层和用户层(内核层的代码只能在当CPU的特权级为R0状态下执行，用户层的代码在CPU特权级为R0和R3都能执行)，windows在内核层构建了一套管理和保护机制，用于维护系统的正常运行，这些机制的实现被称为系统内核。为了区别于windows的内部实现，把我们日常使用的应用程序所运行的环境称为用户层，此时CPU特权级为R3，无法调用系统的内核函数。但是，只有内核函数才能操控硬件，所以windows又提供了可在用户层调用的函数接口，即WindowsAPI，调用API最后调用的是系统的内核函数。所有基于NT内核(XP到Win10都是基于NT内核开发)的WindowsAPI都可以称为Win32，即便是64位系统，也用这个名称，因为64位系统是完全兼容32位程序的(纯32位系统不兼容16位程序)，几乎所有运行在Windows用户层的程序都调用了Win32API。一个Win32API调用的大体过程如下:Win32API(kernel32.dll、user32.dll等函数)->调用ntdll.dll函数->使CPU进入内核模式(改变CPU特权级为R0)->查表并调用ntoskrnl.exe或win32k.sys内的函数(ntoskrnl.exe即nt系统内核程序，提供内存、进程管理等服务，同时内部包含了windows的内核函数。在任务管理器中的名字为System)->执行结束返回到用户模式(改模CPU特权级为R3)Win32API大多是微软提供的给ntdll.dll函数的封装，而ntdll.dll是执行内核函数的中介层，由其内的函数进入内核(改变CPU特权级)并调用内核函数。ntdll函数像内核中的函数一样，使用API和结构体，原始调用接口是指跳过win32API接口直接调用ntdll接口函数实现与底层操作系统交互。2存在问题靶场系统通常安装安全防护软件，如个人防火墙、杀毒软件、终端代理软件等，这些防护软件通过挂钩Win32API，实现对于windows操作系统各种操作系统检测。靶场系统应用系统在分析恶意软件、与远端通信或者更改系统配置时，存在以下问题：靶场应用程序响应速度慢，由于目前各种安全防护软件在常用win32函数中设置钩子函数，应用程序响应速度较慢，用户体验较差；靶场应用程序涉及到文件访问、网络连接和权限切换，容易被杀毒软件认为是恶意软件，进行查杀，或者被主机防火墙误拦截，阻止远程访问；安全防护软件拦截靶场应用程序中的win32调用函数，弹出各种用户确认提示框，必须人工确认，才能继续，无法实现无人值守。因此，为了解决上述问题，急需专利技术一种基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质。
技术实现思路
本专利技术的目的在于：提供一种基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质，跳过Win32API层，直接调用ntdll.dll函数，开发各种应用功能，响应速度快，无需通过安全防护软件检测；不存在误查杀和误拦截等问题。本专利技术提供了下述方案：一种基于windows原始调用接口的靶场应用程序调用方法，包括以下步骤：导出ntdll原始调用接口，输出对应asm和h文件；在工程中，将得到的asm和h文件，添加到工程，并设置asm文件为“MicrosoftMacroAssemble”；在工程中使用asm和h中导出的函数完成对应功能；编译、连接生成应用程序。还包括：开发环境中，开启汇编编译选项；导出ntdll原始调用接口，输出对应asm和h文件的步骤，具体为：分析选定windows操作系统的ntoskrnl.exe文件，导出ntdll原始调用接口，输出对应asm和h文件。ntdll原始调用接口，包括函数名和函数参数。一种实现所述的基于windows原始调用接口的靶场应用程序调用方法的基于windows原始调用接口的靶场应用程序调用系统，包括：原始调用接口导出模块，用于导出ntdll原始调用接口，输出对应asm和h文件；开发模块，用于在工程中，将得到的asm和h文件，添加到工程，并设置asm文件为“MicrosoftMacroAssemble”；在工程中使用asm和h中导出的函数完成对应功能；应用程序生成模块，用于编译、连接生成应用程序。导出ntdll原始调用接口，输出对应asm和h文件的步骤，具体为：分析选定windows操作系统的ntoskrnl.exe文件，导出ntdll原始调用接口，输出对应asm和h文件。ntdll原始调用接口，包括函数名和函数参数。原始调用接口导出模块、开发模块和应用程序生成模块依次电连接。一种电子设备，包括存储器和处理器；所述存储器用于存储计算机程序；所述处理器执行所述存储器中的计算机程序，以实现所述的基于windows原始调用接口的靶场应用程序调用方法。一种计算机可读存储介质，存储有计算机程序，该计算机程序被处理器执行时，用于实现所述的基于windows原始调用接口的靶场应用程序调用方法。本专利技术产生的有益效果：本专利技术所公开的基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质，调用方法，包括以下步骤：导出ntdll原始调用接口，输出对应asm和h文件；在工程中，将得到的asm和h文件，添加到工程，并设置asm文件为“MicrosoftMacroAssemble”；在工程中使用asm和h中导出的函数完成对应功能；编译、连接生成应用程序；跳过Win32API层，直接调用ntdll.dll函数，开发各种应用功能，响应速度快，无需通过安全防护软件检测；不存在误查杀和误拦截等问题；规避安全防护软件检测，不会弹出各种确认框，实现无人值守。附图说明图1为本专利技术的基于windows原始调用接口的靶场应用程序调用方法的流程框图。图2为本专利技术的基于windows原始调用接口的靶场应用程序调用系统的结构框图。图3为本专利技术的电子设备的结构示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整地传达给本领域的技术人员。本
技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本专利技术所属领域中本文档来自技高网...

【技术保护点】
1.一种基于windows原始调用接口的靶场应用程序调用方法，其特征在于：包括以下步骤：/n导出ntdll原始调用接口，输出对应asm和h文件；/n在工程中，将得到的asm和h文件，添加到工程，并设置asm文件为“Microsoft MacroAssemble”；/n在工程中使用asm和h中导出的函数完成对应功能；/n编译、连接生成应用程序。/n

【技术特征摘要】
1.一种基于windows原始调用接口的靶场应用程序调用方法，其特征在于：包括以下步骤：
导出ntdll原始调用接口，输出对应asm和h文件；
在工程中，将得到的asm和h文件，添加到工程，并设置asm文件为“MicrosoftMacroAssemble”；
在工程中使用asm和h中导出的函数完成对应功能；
编译、连接生成应用程序。


2.根据权利要求1所述的基于windows原始调用接口的靶场应用程序调用方法，其特征在于：还包括：
开发环境中，开启汇编编译选项。


3.根据权利要求2所述的基于windows原始调用接口的靶场应用程序调用方法，其特征在于：导出ntdll原始调用接口，输出对应asm和h文件的步骤，具体为：
分析选定windows操作系统的ntoskrnl.exe文件，导出ntdll原始调用接口，输出对应asm和h文件。


4.根据权利要求3所述的基于windows原始调用接口的靶场应用程序调用方法，其特征在于：ntdll原始调用接口，包括函数名和函数参数。


5.一种实现如权利要求2所述的基于windows原始调用接口的靶场应用程序调用方法的基于windows原始调用接口的靶场应用程序调用系统，其特征在于：包括：
原始调用接口导出模块，用于导出ntdll原始调用接口，输出对应asm和h文件；
开发模块，用于在工程中...

【专利技术属性】
技术研发人员：孙勇，徐勤，
申请(专利权)人：北京安码科技有限公司，
类型：发明
国别省市：北京;11