基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质技术方案

技术编号:25184868 阅读:37 留言:0更新日期:2020-08-07 21:12
本发明专利技术涉及网络靶场应用程序调用技术领域,尤其涉及一种基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质;调用方法,包括以下步骤:导出ntdll原始调用接口,输出对应asm和h文件;在工程中,将得到的asm和h文件,添加到工程,并设置asm文件为“Microsoft Macro Assemble”;在工程中使用asm和h中导出的函数完成对应功能;编译、连接生成应用程序。本发明专利技术所公开的基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质,跳过Win32 API层,直接调用ntdll.dll函数,开发各种应用功能,响应速度快,无需通过安全防护软件检测;不存在误查杀和误拦截等问题。

【技术实现步骤摘要】
基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质
本专利技术涉及网络靶场应用程序调用
,尤其涉及一种基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质。
技术介绍
1什么是windows原生调用机制微软为了保护操作系统的安全性和稳定性,把系统分为内核层和用户层(内核层的代码只能在当CPU的特权级为R0状态下执行,用户层的代码在CPU特权级为R0和R3都能执行),windows在内核层构建了一套管理和保护机制,用于维护系统的正常运行,这些机制的实现被称为系统内核。为了区别于windows的内部实现,把我们日常使用的应用程序所运行的环境称为用户层,此时CPU特权级为R3,无法调用系统的内核函数。但是,只有内核函数才能操控硬件,所以windows又提供了可在用户层调用的函数接口,即WindowsAPI,调用API最后调用的是系统的内核函数。所有基于NT内核(XP到Win10都是基于NT内核开发)的WindowsAPI都可以称为Win32,即便是64位系统,也用这个名称,因为64位系统是完全兼容32位程序的(纯32位系统不兼容16位程序),几乎所有运行在Windows用户层的程序都调用了Win32API。一个Win32API调用的大体过程如下:Win32API(kernel32.dll、user32.dll等函数)->调用ntdll.dll函数->使CPU进入内核模式(改变CPU特权级为R0)->查表并调用ntoskrnl.exe或win32k.sys内的函数(ntoskrnl.exe即nt系统内核程序,提供内存、进程管理等服务,同时内部包含了windows的内核函数。在任务管理器中的名字为System)->执行结束返回到用户模式(改模CPU特权级为R3)Win32API大多是微软提供的给ntdll.dll函数的封装,而ntdll.dll是执行内核函数的中介层,由其内的函数进入内核(改变CPU特权级)并调用内核函数。ntdll函数像内核中的函数一样,使用API和结构体,原始调用接口是指跳过win32API接口直接调用ntdll接口函数实现与底层操作系统交互。2存在问题靶场系统通常安装安全防护软件,如个人防火墙、杀毒软件、终端代理软件等,这些防护软件通过挂钩Win32API,实现对于windows操作系统各种操作系统检测。靶场系统应用系统在分析恶意软件、与远端通信或者更改系统配置时,存在以下问题:靶场应用程序响应速度慢,由于目前各种安全防护软件在常用win32函数中设置钩子函数,应用程序响应速度较慢,用户体验较差;靶场应用程序涉及到文件访问、网络连接和权限切换,容易被杀毒软件认为是恶意软件,进行查杀,或者被主机防火墙误拦截,阻止远程访问;安全防护软件拦截靶场应用程序中的win32调用函数,弹出各种用户确认提示框,必须人工确认,才能继续,无法实现无人值守。因此,为了解决上述问题,急需专利技术一种基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质。
技术实现思路
本专利技术的目的在于:提供一种基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质,跳过Win32API层,直接调用ntdll.dll函数,开发各种应用功能,响应速度快,无需通过安全防护软件检测;不存在误查杀和误拦截等问题。本专利技术提供了下述方案:一种基于windows原始调用接口的靶场应用程序调用方法,包括以下步骤:导出ntdll原始调用接口,输出对应asm和h文件;在工程中,将得到的asm和h文件,添加到工程,并设置asm文件为“MicrosoftMacroAssemble”;在工程中使用asm和h中导出的函数完成对应功能;编译、连接生成应用程序。还包括:开发环境中,开启汇编编译选项;导出ntdll原始调用接口,输出对应asm和h文件的步骤,具体为:分析选定windows操作系统的ntoskrnl.exe文件,导出ntdll原始调用接口,输出对应asm和h文件。ntdll原始调用接口,包括函数名和函数参数。一种实现所述的基于windows原始调用接口的靶场应用程序调用方法的基于windows原始调用接口的靶场应用程序调用系统,包括:原始调用接口导出模块,用于导出ntdll原始调用接口,输出对应asm和h文件;开发模块,用于在工程中,将得到的asm和h文件,添加到工程,并设置asm文件为“MicrosoftMacroAssemble”;在工程中使用asm和h中导出的函数完成对应功能;应用程序生成模块,用于编译、连接生成应用程序。导出ntdll原始调用接口,输出对应asm和h文件的步骤,具体为:分析选定windows操作系统的ntoskrnl.exe文件,导出ntdll原始调用接口,输出对应asm和h文件。ntdll原始调用接口,包括函数名和函数参数。原始调用接口导出模块、开发模块和应用程序生成模块依次电连接。一种电子设备,包括存储器和处理器;所述存储器用于存储计算机程序;所述处理器执行所述存储器中的计算机程序,以实现所述的基于windows原始调用接口的靶场应用程序调用方法。一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时,用于实现所述的基于windows原始调用接口的靶场应用程序调用方法。本专利技术产生的有益效果:本专利技术所公开的基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质,调用方法,包括以下步骤:导出ntdll原始调用接口,输出对应asm和h文件;在工程中,将得到的asm和h文件,添加到工程,并设置asm文件为“MicrosoftMacroAssemble”;在工程中使用asm和h中导出的函数完成对应功能;编译、连接生成应用程序;跳过Win32API层,直接调用ntdll.dll函数,开发各种应用功能,响应速度快,无需通过安全防护软件检测;不存在误查杀和误拦截等问题;规避安全防护软件检测,不会弹出各种确认框,实现无人值守。附图说明图1为本专利技术的基于windows原始调用接口的靶场应用程序调用方法的流程框图。图2为本专利技术的基于windows原始调用接口的靶场应用程序调用系统的结构框图。图3为本专利技术的电子设备的结构示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整地传达给本领域的技术人员。本
技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本专利技术所属领域中本文档来自技高网
...

【技术保护点】
1.一种基于windows原始调用接口的靶场应用程序调用方法,其特征在于:包括以下步骤:/n导出ntdll原始调用接口,输出对应asm和h文件;/n在工程中,将得到的asm和h文件,添加到工程,并设置asm文件为“Microsoft MacroAssemble”;/n在工程中使用asm和h中导出的函数完成对应功能;/n编译、连接生成应用程序。/n

【技术特征摘要】
1.一种基于windows原始调用接口的靶场应用程序调用方法,其特征在于:包括以下步骤:
导出ntdll原始调用接口,输出对应asm和h文件;
在工程中,将得到的asm和h文件,添加到工程,并设置asm文件为“MicrosoftMacroAssemble”;
在工程中使用asm和h中导出的函数完成对应功能;
编译、连接生成应用程序。


2.根据权利要求1所述的基于windows原始调用接口的靶场应用程序调用方法,其特征在于:还包括:
开发环境中,开启汇编编译选项。


3.根据权利要求2所述的基于windows原始调用接口的靶场应用程序调用方法,其特征在于:导出ntdll原始调用接口,输出对应asm和h文件的步骤,具体为:
分析选定windows操作系统的ntoskrnl.exe文件,导出ntdll原始调用接口,输出对应asm和h文件。


4.根据权利要求3所述的基于windows原始调用接口的靶场应用程序调用方法,其特征在于:ntdll原始调用接口,包括函数名和函数参数。


5.一种实现如权利要求2所述的基于windows原始调用接口的靶场应用程序调用方法的基于windows原始调用接口的靶场应用程序调用系统,其特征在于:包括:
原始调用接口导出模块,用于导出ntdll原始调用接口,输出对应asm和h文件;
开发模块,用于在工程中...

【专利技术属性】
技术研发人员:孙勇徐勤
申请(专利权)人:北京安码科技有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1