Windows native что это

Время на прочтение9 мин

Количество просмотров5K

Сегодня продолжаем рассказ о том, как мы вместе с ребятами из Университета Иннополис разрабатываем технологию Active Restore, чтобы позволить пользователю как можно раньше начать работу на своей машине после сбоя. Речь пойдет о нативных приложениях Windows, включая особенности их создания и запуска. Под катом – немного о нашем проекте, а также практическое руководство как писать нативные приложения.

Картинка с сайта: habr.com

В прошлых постах мы уже рассказывали о том, что такое Active Restore, и как студенты из Иннополиса разрабатывают сервис. Сегодня я хочу остановиться на нативных приложениях, до уровня которых мы хотим “закопать” наш сервис активного восстановления. Если все получится, то мы сможем:

• Намного раньше запустить сам сервис
• Намного раньше связаться с облаком, в котором лежит бэкап
• Намного раньше понять, в каком режиме находится система – нормальной загрузки или восстановления
• Намного меньше файлов восстанавливать заранее
• Позволить пользователю приступить к работе еще быстрее.

Что вообще такое нативное приложение?

Чтобы ответить на этот вопрос, давайте взглянем на последовательность вызовов, которые совершает система, например, если программист в своем приложении пытается создать файл.

Картинка с сайта: habr.com

Pavel Yosifovich — Windows Kernel Programming (2019)

Программист использует функцию CreateFile, которая объявлена в заголовочном файле fileapi.h и реализована в Kernel32.dll. Однако сама эта функция не занимается созданием файла, она лишь проверяет аргументы на входе и вызывает функцию NtCreateFile (приставка Nt как раз свидетельствует о том, что функция нативная). Данная функция объявлена в заголовочном файле winternl.h и реализована в ntdll.dll. Она производит подготовку к прыжку в ядерное пространство, после чего совершает системный вызов для создания файла. В данном случае получается, что Kernel32 – всего лишь обертка для Ntdll. Одна из причин для чего это сделано, Microsoft таким образом имеет возможность изменять функции нативного мира, но при этом не трогать стандартные интерфейсы. Microsoft не рекомендует напрямую вызывать нативные функции и не документирует большую часть из них. Кстати, недокументированные функции можно найти тут.

Основное преимущество нативных приложений заключается в том, что ntdll загружается в систему значительно раньше kernel32. Это логично, ведь kernel32 требует наличия ntdll для работы. Как следствие, приложения, использующие нативные функции, могут начать работу значительно раньше.

Таким образом, Windows Native Applications – это программы, способные запускаться на раннем этапе загрузки Windows. Они используют ТОЛЬКО функции из ntdll. Пример такого приложения: autochk который исполняет chkdisk utility для проверки диска на ошибки еще до запуска основных сервисов. Именно на таком уровне мы и хотим видеть наш Active Restore.

Что нам понадобится?

• DDK (Driver Development Kit), ныне также известный под названием WDK 7 (Windows Driver Kit).
• Виртуальная машина (например, Windows 7 x64)
• Не обязательно, но могут помочь заголовочные файлы которые можно скачать тут

Что же в коде?

Давайте немного потренируемся и для примера напишем небольшое приложение которое:

1. Выводит сообщение на экран
2. Аллоцирует немного памяти
3. Ждет ввода с клавиатуры
4. Освобождает занятую память

В нативных приложениях точкой входа является не main или winmain, а функция NtProcessStartup, так как мы фактически напрямую запускаем новые процесс в системе.

Начнем с вывода сообщения на экран. Для этого у нас есть нативная функция NtDisplayString, которая в качестве аргумента принимает указатель на объект структуры UNICODE_STRING. Инициализировать его нам поможет RtlInitUnicodeString. В результате, для вывода текста на экран мы можем написать вот такую небольшую функцию:

//usage: WriteLn(L"Here is my text\n");
void WriteLn(LPWSTR Message)
{
    UNICODE_STRING string;
    RtlInitUnicodeString(&string, Message);
    NtDisplayString(&string);
}

Так как нам доступны только функции из ntdll, и других библиотек в памяти просто еще нет, у нас обязательно возникнут проблемы с тем как аллоцировать память. Оператора new ещё не существует (потому что он родом из слишком высокоуровнего мира C++), также нет функции malloc (для нее нужны библиотеки runtime C). Можно конечно пользоваться лишь стэком. Но если нам нужно динамически аллоцировать память, делать это придется в куче (т.е. heap). Поэтому давайте создадим для себя кучу и будем брать из нее память когда нам потребуется.

Для этой задачи подойдет функция RtlCreateHeap. Далее, используя RtlAllocateHeap и RtlFreeHeap, мы будем занимать и освобождать память когда нам это будет нужно.

PVOID memory = NULL;
PVOID buffer = NULL;
ULONG bufferSize = 42;

// create heap in order to allocate memory later
memory = RtlCreateHeap(
  HEAP_GROWABLE, 
  NULL, 
  1000, 
  0, NULL, NULL
);

// allocate buffer of size bufferSize
buffer = RtlAllocateHeap(
  memory, 
  HEAP_ZERO_MEMORY, 
  bufferSize
);

// free buffer (actually not needed because we destroy heap in next step)
RtlFreeHeap(memory, 0, buffer);

RtlDestroyHeap(memory);

Перейдем к ожиданию ввода с клавиатуры.

// https://docs.microsoft.com/en-us/windows/win32/api/ntddkbd/ns-ntddkbd-keyboard_input_data
typedef struct _KEYBOARD_INPUT_DATA {
  USHORT UnitId;
  USHORT MakeCode;
  USHORT Flags;
  USHORT Reserved;
  ULONG  ExtraInformation;
} KEYBOARD_INPUT_DATA, *PKEYBOARD_INPUT_DATA;

//...

HANDLE hKeyBoard, hEvent;
UNICODE_STRING skull, keyboard;
OBJECT_ATTRIBUTES ObjectAttributes;
IO_STATUS_BLOCK Iosb;
LARGE_INTEGER ByteOffset;
KEYBOARD_INPUT_DATA kbData;

// inialize variables
RtlInitUnicodeString(&keyboard, L"\\Device\\KeyboardClass0");
InitializeObjectAttributes(&ObjectAttributes, &keyboard, OBJ_CASE_INSENSITIVE, NULL, NULL);

// open keyboard device
NtCreateFile(&hKeyBoard,
			SYNCHRONIZE | GENERIC_READ | FILE_READ_ATTRIBUTES,
			&ObjectAttributes,
			&Iosb,
			NULL,
			FILE_ATTRIBUTE_NORMAL,
			0,
			FILE_OPEN,FILE_DIRECTORY_FILE,
			NULL, 0);

// create event to wait on
InitializeObjectAttributes(&ObjectAttributes, NULL, 0, NULL, NULL);
NtCreateEvent(&hEvent, EVENT_ALL_ACCESS, &ObjectAttributes, 1, 0);

while (TRUE)
{
	NtReadFile(hKeyBoard, hEvent, NULL, NULL, &Iosb, &kbData, sizeof(KEYBOARD_INPUT_DATA), &ByteOffset, NULL);
	NtWaitForSingleObject(hEvent, TRUE, NULL);

	if (kbData.MakeCode == 0x01)    // if ESC pressed
	{
			break;
	}
}

Все что нам нужно – это использовать NtReadFile на открытом устройстве, и ждать, пока клавиатура не вернет нам какое либо нажатие. В случае, если нажата клавиша ESC, мы продолжим работу. Чтобы открыть устройство, нам потребуется вызвать функцию NtCreateFile (открыть нужно будет \Device\KeyboardClass0). Также мы вызовем NtCreateEvent, чтобы инициализировать объект для ожидания. Мы самостоятельно объявим структуру KEYBOARD_INPUT_DATA, которая представляет данные клавиатуры. Это облегчит нам работу.

Работа нативного приложения завершается вызовом функции NtTerminateProcess, потому что мы просто убиваем свой собственный процесс.

Весь код нашего небольшого приложения:

#include "ntifs.h" // \WinDDK\7600.16385.1\inc\ddk
#include "ntdef.h"

//------------------------------------
// Following function definitions can be found in native development kit
// but I am too lazy to include `em so I declare it here
//------------------------------------

NTSYSAPI
NTSTATUS
NTAPI
NtTerminateProcess(
  IN HANDLE               ProcessHandle OPTIONAL,
  IN NTSTATUS             ExitStatus
);

NTSYSAPI 
NTSTATUS
NTAPI
NtDisplayString(
	IN PUNICODE_STRING String
);

NTSTATUS 
NtWaitForSingleObject(
  IN HANDLE         Handle,
  IN BOOLEAN        Alertable,
  IN PLARGE_INTEGER Timeout
);

NTSYSAPI 
NTSTATUS
NTAPI
NtCreateEvent(
    OUT PHANDLE             EventHandle,
    IN ACCESS_MASK          DesiredAccess,
    IN POBJECT_ATTRIBUTES   ObjectAttributes OPTIONAL,
    IN EVENT_TYPE           EventType,
    IN BOOLEAN              InitialState
);



// https://docs.microsoft.com/en-us/windows/win32/api/ntddkbd/ns-ntddkbd-keyboard_input_data
typedef struct _KEYBOARD_INPUT_DATA {
  USHORT UnitId;
  USHORT MakeCode;
  USHORT Flags;
  USHORT Reserved;
  ULONG  ExtraInformation;
} KEYBOARD_INPUT_DATA, *PKEYBOARD_INPUT_DATA;

//----------------------------------------------------------
// Our code goes here
//----------------------------------------------------------

// usage: WriteLn(L"Hello Native World!\n");
void WriteLn(LPWSTR Message)
{
    UNICODE_STRING string;
    RtlInitUnicodeString(&string, Message);
    NtDisplayString(&string);
}

void NtProcessStartup(void* StartupArgument)
{
	// it is important to declare all variables at the beginning
	HANDLE hKeyBoard, hEvent;
	UNICODE_STRING skull, keyboard;
	OBJECT_ATTRIBUTES ObjectAttributes;
	IO_STATUS_BLOCK Iosb;
	LARGE_INTEGER ByteOffset;
	KEYBOARD_INPUT_DATA kbData;
	
	PVOID memory = NULL;
	PVOID buffer = NULL;
	ULONG bufferSize = 42;

	//use it if debugger connected to break
	//DbgBreakPoint();

	WriteLn(L"Hello Native World!\n");

	// inialize variables
	RtlInitUnicodeString(&keyboard, L"\\Device\\KeyboardClass0");
	InitializeObjectAttributes(&ObjectAttributes, &keyboard, OBJ_CASE_INSENSITIVE, NULL, NULL);

	// open keyboard device
	NtCreateFile(&hKeyBoard,
				SYNCHRONIZE | GENERIC_READ | FILE_READ_ATTRIBUTES,
				&ObjectAttributes,
				&Iosb,
				NULL,
				FILE_ATTRIBUTE_NORMAL,
				0,
				FILE_OPEN,FILE_DIRECTORY_FILE,
				NULL, 0);

	// create event to wait on
	InitializeObjectAttributes(&ObjectAttributes, NULL, 0, NULL, NULL);
	NtCreateEvent(&hEvent, EVENT_ALL_ACCESS, &ObjectAttributes, 1, 0);
	
	WriteLn(L"Keyboard ready\n");
	
	// create heap in order to allocate memory later
	memory = RtlCreateHeap(
	  HEAP_GROWABLE, 
	  NULL, 
	  1000, 
	  0, NULL, NULL
	);
	
	WriteLn(L"Heap ready\n");

	// allocate buffer of size bufferSize
	buffer = RtlAllocateHeap(
	  memory, 
	  HEAP_ZERO_MEMORY, 
	  bufferSize
	);
	
	WriteLn(L"Buffer allocated\n");

	// free buffer (actually not needed because we destroy heap in next step)
	RtlFreeHeap(memory, 0, buffer);

	RtlDestroyHeap(memory);
	
	WriteLn(L"Heap destroyed\n");
	
	WriteLn(L"Press ESC to continue...\n");

	while (TRUE)
	{
		NtReadFile(hKeyBoard, hEvent, NULL, NULL, &Iosb, &kbData, sizeof(KEYBOARD_INPUT_DATA), &ByteOffset, NULL);
		NtWaitForSingleObject(hEvent, TRUE, NULL);

		if (kbData.MakeCode == 0x01)    // if ESC pressed
		{
				break;
		}
	}

	NtTerminateProcess(NtCurrentProcess(), 0);
}

PS: Мы можем запросто использовать в коде функцию DbgBreakPoint() для остановки в дебаггере. Правда нужно будет подключить WinDbg к виртуальной машине для кернельной отладки. Инструкцию как это сделать можно найти тут или просто использовать VirtualKD.

Компиляция и сборка

Самый простой способ собрать нативное приложение – это использовать DDK (Driver Development Kit). Нам нужна именно древняя седьмая версия, так как более поздние версии имеют несколько иной подход и тесно работают с Visual Studio. Если же использовать DDK, то нашему проекту нужны всего лишь Makefile и sources.

Makefile

!INCLUDE $(NTMAKEENV)\makefile.def

sources:

TARGETNAME			= MyNative
TARGETTYPE			= PROGRAM
UMTYPE				= nt
BUFFER_OVERFLOW_CHECKS 		= 0
MINWIN_SDK_LIB_PATH		= $(SDK_LIB_PATH)
SOURCES 			= source.c

INCLUDES 			= $(DDK_INC_PATH); \
				  C:\WinDDK\7600.16385.1\ndk;

TARGETLIBS 			= $(DDK_LIB_PATH)\ntdll.lib	\
				  $(DDK_LIB_PATH)\nt.lib

USE_NTDLL			= 1

Ваш Makefile будет точно таким же, на sources же давайте остановимся чуть подробнее. В данном файле указываются исходники вашей программы (файлы .c), опции сборки и другие параметры.

• TARGETNAME – имя исполняемого файла, который должен получиться в итоге.
• TARGETTYPE – тип исполняемого файла, это может быть драйвер (.sys), тогда значение поля должно быть DRIVER, если библиотека (.lib), то значение LIBRARY. В нашем случае нужен исполняемый файл (.exe), поэтому мы устанавливаем значение PROGRAM.
• UMTYPE – возможные значения этого поля: console для консольного приложения, windows для работы в оконном режиме. Но нам необходимо указать nt, чтобы получить нативное приложение.
• BUFFER_OVERFLOW_CHECKS – проверка стэка на переполнение буфера, к сожалению не наш случай, выключаем.
• MINWIN_SDK_LIB_PATH – данное значение ссылается на переменную SDK_LIB_PATH, не стоит переживать что у вас не объявлена подобная системная переменная, в момент когда мы запустим checked build из DDK, данная переменная будет объявлена и будет указывать на необходимые библиотеки.
• SOURCES – список исходников вашей программы.
• INCLUDES – заголовочные файлы, которые необходимы для сборки. Тут обычно указывают путь к файлам, которые идут в комплекте с DDK, но вы можете указать дополнительно любые другие.
• TARGETLIBS – список библиотек, которые необходимо линковать.
• USE_NTDLL – обязательное поле, которое необходимо установить в положение 1. По вполне очевидным причинам.
• USER_C_FLAGS – любые флаги, которые вы сможете использовать в препроцессорных директивах при подготовке кода приложения.

Итак для сборки нам необходимо запустить x86 (или x64) Checked Build, сменить рабочий каталог на папку с проектом и выполнить команду Build. Результат на скриншоте показывает что у нас собрался один исполняемый файл.

Картинка с сайта: habr.com

Данный файл не получится так просто запустить, система ругается и отправляет нас думать о своем поведении со следующей ошибкой:

Картинка с сайта: habr.com

Как запустить нативное приложение?

В момент старта autochk последовательность запуска программ определяется значением ключа реестра:

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

Менеджер сессии поочередно исполняет программы из этого списка. Сами же исполняемые файлы менеджер сессии ищет в директории system32. Формат значения ключа реестра следующий:

autocheck autochk *MyNative

Значение должно быть в шестнадцатеричном формате, а не в привычном ASCII, следовательно ключ, представленный выше, будет иметь формат:

61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,00,4d,79,4e,61,74,69,76,65,00,00

Чтобы конвертировать название, можно использовать онлайн-сервис, например, этот.

Картинка с сайта: habr.com

Получается, чтобы запустить нативное приложение, нам необходимо:

1. Скопировать исполняемый файл в папку system32
2. Добавить в реестр ключ
3. Перезагрузить машину

Для удобства вот вам готовый скрипт для установки нативного приложения:

install.bat

@echo off
copy MyNative.exe %systemroot%\system32\.
regedit /s add.reg
echo Native Example Installed
pause

add.reg

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,00,4d,79,4e,61,74,69,76,65,00,00

После установки и перезагрузки еще до появления экрана выбора пользователей мы получим следующую картину:

Картинка с сайта: habr.com

Итог

На примере вот такого маленького приложения мы убедились, что запустить приложение на уровне Windows Native вполне возможно. Дальше мы с ребятами из Университета Иннополис продолжим строить сервис, который будет инициировать процесс взаимодействия с драйвером намного раньше, чем в предыдущей версии нашего проекта. А с появлением оболочки win32 логично будет передать управление полноценному сервису, который уже был разработан (об этом подробнее здесь).

В очередной статье мы коснемся еще одного компонента сервиса Active Restore, а именно UEFI драйвера. Подписывайтесь на наш блог, чтобы не пропустить следующий пост.

Программирование с использованием Native API функций ntdll.dll

Командная строка Windows Native Mode

Native shell — командная строка для экспериментов с native режимом Windows

Коммандный интерпретатор NCMD, утилиты XCOPY REG n7z nMount nCab nDrv nList

Комманды поддерживаемые коммандным интерпретатором NCMD
[more]List of all available commands (+ description)

command /? For more information on a specific command

? List all available commands (without description).
ATTRIB Displays or changes file attributes.
CALL Calls one batch program from another.
CD Displays the name of or changes the current directory.
NCMD Starts a new instance of the Native command interpreter.
COPY Copies one or more files to another location.
DATE Displays or sets the date.
DELETE Deletes one or more files.
DIR Displays a list of files and subdirectories in a directory.
ECHO Displays messages, or turns command echoing on or off.
ERASE Deletes one or more files.
EXIT Quits the CMD.EXE program (command interpreter).
FOR Runs a specified command for each file in a set of files.
FREE (free) disc space.
GOTO Directs the Native command interpreter to a labeled line in
a batch program.
HELP Provides Help information for Native commands.
IF Performs conditional processing in batch programs.
LABEL Creates, changes, or deletes the volume label of a disk.
MD Creates a directory.
MKDIR Creates a directory.
MKLINK Creates a filesystem link object.
MOVE Moves one or more files from one directory to another
directory.
PATH Displays or sets a search path for executable files.
PAUSE Suspends processing of a batch file and displays a message.
POPD Restores the previous value of the current directory saved by
PUSHD.
PROMPT Changes the command prompt.
PUSHD Saves the current directory then changes it.
RD Removes a directory.
REM Records comments (remarks) in batch files.
REN Renames a file or files.
RENAME Renames a file or files.
REPLACE Replaces files.
RMDIR Removes a directory.
SET Displays, sets, or removes Native environment variables.
SHIFT Shifts the position of replaceable parameters in batch files.
TIME Displays or sets the system time.
TIMER Allow the use of ten stopwatches.
TYPE Displays the contents of a text file.
VER Displays the system version.
VERIFY Tells Native Cmd whether to verify that your files are written
correctly to a disk.
VOL Displays a disk volume label and serial number.
Displays or changes file attributes.

ATTRIB [+R | -R] [+A | -A] [+S | -S] [+H | -H] file …
[/S [/D]]

+ Sets an attribute
— Clears an attribute
R Read-only file attribute
A Archive file attribute
S System file attribute
H Hidden file attribute
/S Processes matching files in the current directory
and all subdirectories
/D Processes directories as well

Type ATTRIB without a parameter to display the attributes of all files.
Calls one batch program from another.

CALL [drive:][path]filename [batch-parameter]

batch-parameter Specifies any command-line information required by the
batch program.Changes the current directory or displays it’s name

CHDIR [/D][drive:][path]
CHDIR[..|.]
CD [/D][drive:][path]
CD[..|.]

.. parent directory
. current directory
/D Will change current drive and current directory.

Type CD drive: to display the current directory on the specified drive.
Type CD without a parameter to display the current drive and directory.
Copies one or more files to another location.

COPY [/V][/Y|/-Y][/A|/B] source [/A|/B]
[+ source [/A|/B] [+ …]] [destination [/A|/B]]

source Specifies the file or files to be copied.
/A Indicates an ASCII text file.
/B Indicates a binary file.
destination Specifies the directory and/or filename for the new file(s).
/V Verifies that new files are written correctly.
/Y Suppresses prompting to confirm you want to overwrite an
existing destination file.
/-Y Causes prompting to confirm you want to overwrite an
existing destination file.

The switch /Y may be present in the COPYCMD environment variable.
…
Displays or sets the date.

DATE [/T][date]

/T display only

Type DATE without parameters to display the current date setting and
a prompt for a new one. Press ENTER to keep the same date.
Deletes one or more files.

DEL [/N /P /T /Q /S /W /Y /Z /A[[:]attributes]] file …
DELETE [/N /P /T /Q /S /W /Y /Z /A[[:]attributes]] file …
ERASE [/N /P /T /Q /S /W /Y /Z /A[[:]attributes]] file …

file Specifies the file(s) to delete.

/N Nothing.
/P Prompt. Ask before deleting each file.
/T Total. Display total number of deleted files and freed disk space.
/Q Quiet.
/W Wipe. Overwrite the file with random numbers before deleting it.
/Y Yes. Kill even *.* without asking.
/F Force Delete hidden, read-only and system files.
/S Delete file from all sub directory
/A Select files to be deleted based on attributes.
attributes
R Read Only files
S System files
A Archiveable files
H Hidden Files
— prefix meaning not
DIR [drive:][path][filename] [/A[[:]attributes]] [/B] [/C] [/D] [/L] [/N]
[/O[[:]sortorder]] [/P] [/Q] [/S] [/T[[:]timefield]] [/W] [/X] [/4]

[drive:][path][filename]
Specifies drive, directory, and/or files to list.

/A Displays files with specified attributes.
attributes D Directories R Read-only files
H Hidden files A Files ready for archiving
S System files — Prefix meaning not
/B Uses bare format (no heading information or summary).
/C Display the thousand separator in file sizes. This is the
default. Use /-C to disable display of separator.
/D Same as wide but files are list sorted by column.
/L Uses lowercase.
/N New long list format where filenames are on the far right.
/O List by files in sorted order.
sortorder N By name (alphabetic) S By size (smallest first)
E By extension (alphabetic) D By date/time (oldest first)
G Group directories first — Prefix to reverse order
/P Pauses after each screenful of information.
/Q Display the owner of the file.
/S Displays files in specified directory and all subdirectories.
/T Controls which time field displayed or used for sorting
timefield C Creation
A Last Access
W Last Written
/W Uses wide list format.
/X This displays the short names generated for non-8dot3 file
names. The format is that of /N with the short name inserted
before the long name. If no short name is present, blanks are
displayed in its place.
/4 Displays four-digit years

Switches may be preset in the DIRCMD environment variable. Override
preset switches by prefixing any switch with — (hyphen)—for example, /-W.
Displays a message or switches command echoing on or off.

ECHO [ON | OFF]
ECHO [message]
ECHO. prints an empty line

Type ECHO without a parameter to display the current ECHO setting.Deletes one or more files.

DEL [/N /P /T /Q /S /W /Y /Z /A[[:]attributes]] file …
DELETE [/N /P /T /Q /S /W /Y /Z /A[[:]attributes]] file …
ERASE [/N /P /T /Q /S /W /Y /Z /A[[:]attributes]] file …

file Specifies the file(s) to delete.

/N Nothing.
/P Prompt. Ask before deleting each file.
/T Total. Display total number of deleted files and freed disk space.
/Q Quiet.
/W Wipe. Overwrite the file with random numbers before deleting it.
/Y Yes. Kill even *.* without asking.
/F Force Delete hidden, read-only and system files.
/S Delete file from all sub directory
/A Select files to be deleted based on attributes.
attributes
R Read Only files
S System files
A Archiveable files
H Hidden Files
— prefix meaning not
Exits the command line interpreter.

EXIT [/b] [ExitCode]

/B Exits a batch file only.
If run outside of a batch file it will exit cmd.exe
ExitCode This value will be assigned to ERRORLEVEL on exit
Runs a specified command for each file in a set of files

FOR variable IN (set) DO command [parameters]

variable Specifies a replaceable parameter.
(set) Specifies a set of one or more files. Wildcards may be used.
command Specifies the command to carry out for each file.
parameters Specifies parameters or switches for the specified command.

To use the FOR command in a batch program, specify %variable instead of
variable.
Displays drive information.

FREE [drive: …]
Directs CMD to a labeled line in a batch script.

GOTO label

label Specifies a text string used in a batch script as a label.

You type a label on a line by itself, beginning with a colon.Performs conditional processing in batch programs.

IF [NOT] ERRORLEVEL number command
IF [NOT] string1==string2 command
IF [NOT] EXIST filename command
IF [NOT] DEFINED variable command

NOT Specifies that CMD should carry out the command only if
the condition is false
ERRORLEVEL number Specifies a true condition if the last program run returned
an exit code equal or greater than the number specified.
command Specifies the command to carry out if the condition is met.
string1==string2 Specifies a true condition if the specified text strings
match.
EXIST filename Specifies a true condition if the specified filename exists.
DEFINED variable Specifies a true condition if the specified variable is
defined.
Displays or changes drive label.

LABEL [drive:][label]
Creates a directory.

MKDIR [drive:]path
MD [drive:]pathCreates a directory.

MKDIR [drive:]path
MD [drive:]pathCreates a filesystem link object.

MKLINK [/D | /H | /J] linkname target

/D Indicates that the symbolic link target is a directory.
/H Create a hard link.
/J Create a directory junction.

If neither /H or /J is specified, a symbolic link is created.
Moves files and renames files and directories.

To move one or more files:
MOVE [/N][drive:][path]filename1[,…] destination

To rename a directory:
MOVE [/N][drive:][path]dirname1 dirname2

[drive:][path]filename1 Specifies the location and name of the file
or files you want to move.
/N Nothing. Do everything but move files or directories.

Current limitations:
— You can’t move a file or directory from one drive to another.
Displays or sets a search path for executable files.

PATH [[drive:]path[;…]]
PATH ;

Type PATH ; to clear all search-path settings and direct the command shell
to search only in the current directory.
Type PATH without parameters to display the current path.
Stops the execution of a batch file and shows the following message:
‘Press any key to continue…’ or a user defined message.

PAUSE [message]Changes to the directory stored by the PUSHD command.

POPD
Stores the current directory for use by the POPD command, then
changes to the specified directory.

PUSHD [path | ..]

path Specifies the directory to make the current directory

Changes the command prompt.

PROMPT [text]

text Specifies a new command prompt.

Prompt can be made up of normal characters and the following special codes:

$A & (Ampersand)
$B | (pipe)
$C ( (Left parenthesis)
$D Current date
$E Escape code (ASCII code 27)
$F ) (Right parenthesis)
$G > (greater-than sign)
$H Backspace (erases previous character)
$L < (less-than sign)
$N Current drive
$P Current drive and path
$Q = (equal sign)
$T Current time
$V OS version number
$_ Carriage return and linefeed
$$ $ (dollar sign)
$+ Displays the current depth of the directory stack
Type PROMPT without parameters to reset the prompt to the default setting.Stores the current directory for use by the POPD command, then
changes to the specified directory.

PUSHD [path | ..]

path Specifies the directory to make the current directory

Removes a directory.

RMDIR [drive:]path
RD [drive:]path
/S            Deletes all files and folders within target
/Q            Doesnt prompt for user
Starts a comment line in a batch file.

REM [Comment]Renames a file/directory or files/directories.

RENAME [/E /N /P /Q /S /T] old_name … new_name
REN [/E /N /P /Q /S /T] old_name … new_name

/E No error messages.
/N Nothing.
/P Prompts for confirmation before renaming each file.
(Not implemented yet!)
/Q Quiet.
/S Rename subdirectories.
/T Display total number of renamed files.

Note that you cannot specify a new drive or path for your destination. Use
the MOVE command for that purpose.
Renames a file/directory or files/directories.

RENAME [/E /N /P /Q /S /T] old_name … new_name
REN [/E /N /P /Q /S /T] old_name … new_name

/E No error messages.
/N Nothing.
/P Prompts for confirmation before renaming each file.
(Not implemented yet!)
/Q Quiet.
/S Rename subdirectories.
/T Display total number of renamed files.

Note that you cannot specify a new drive or path for your destination. Use
the MOVE command for that purpose.
Replaces files.

REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W] [/U]

[drive1:][path1]filename Specifies the source file or files.
[drive2:][path2] Specifies the directory where files are to be
replaced.
/A Adds new files to destination directory. Cannot
use with /S or /U switches.
/P Prompts for confirmation before replacing a file or
adding a source file.
/R Replaces read-only files as well as unprotected
files.
/S Replaces files in all subdirectories of the
destination directory. Cannot use with the /A
switch.
/W Waits for you to insert a disk before beginning.
/U Replaces (updates) only files that are older than
source files. Cannot use with the /A switch.
Removes a directory.

RMDIR [drive:]path
RD [drive:]path
/S            Deletes all files and folders within target
/Q            Doesnt prompt for user
Displays, sets, or removes environment variables.

SET [variable[=][string]]

variable Specifies the environment-variable name.
string Specifies a series of characters to assign to the variable.

Type SET without parameters to display the current environment variables.
Changes the position of replaceable parameters in a batch file.

SHIFT [DOWN]Displays or sets the system time.

TIME [/T][time]

/T display only

Type TIME with no parameters to display the current time setting and a prompt
for a new one. Press ENTER to keep the same time.
allow the use of ten stopwatches.

TIMER [ON|OFF] [/S] [/n] [/Fn]

ON set stopwatch ON
OFF set stopwatch OFF
/S Split time. Return stopwatch split
time without changing its value
/n Specifiy the stopwatch number.
Stopwatches available are 0 to 9
If it is not specified default is 1
/Fn Format for output
n can be:
0 milliseconds
1 hhђmmђssђdd

if none of ON, OFF or /S is specified the command
will toggle stopwatch state

Displays the contents of text files.

TYPE [drive:][path]filename
/P          Shows one screen of output at a time.
Displays shell version information
This command is just a dummy!!
Sets whether to verify that your files are written correctly to a
disk.

VERIFY [ON | OFF]

Type VERIFY without a parameter to display the current VERIFY setting.
Displays the disk volume label and serial number, if they exist.

VOL [drive:]
————— пример——————

Цитата:

@echo off
for %%i in (C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) do if exist %%i:\SVPE\winpe.wim set LETTER=%%i
if defined %LETTER% (
ECHO FileSystem not found
NCMD
) ELSE (
ECHO %LETTER%:\ copy…
FOR /F %%I IN (‘DIR /S /B /A:-D %LETTER%:\I386’) DO copy %%I X:%%~pnxI>nul
FOR /F %%I IN (‘DIR /S /B %LETTER%:\Programs’) DO copy %%I X:%%~pnxI>nul
)

[/more]
прим. вместо CMD NCMD, комманда DEFINED работает как UNDEFINED, SETLOCAL ENDLOCAL, SETLOCAL ENABLEDELAYEDEXPANSION и вывод части строки поддерживается. на ELSE ошибка не выдается но команда не работает. не работает NOT DEFINED вместо нее можно использовать if [NOT] «%VALUE%»==»»

Коммандный интепретатор Native Shell (дописан открытый код)
cd,md,copy,poweroff,dir,del,reboot,devtree,shutdown,exit,sysinfo,lm,vid,lp,move,if,load,expand, mount

Утилита нативного режима для установки драйверов Nloadsys
Nloadsys.exe default vmscsi.sys
Nloadsys.exe default vmscsi.sys system32\drivers

Ultra Defrag дефрагментатор нативного режима

Srdelayed.exe утилита копирования файлов для ядра Windows 7

компоненты Windows нативного режима AUTOCHK, AUTOFMT, AUTOCONV

Программы PendMoves и MoveFile. Интерфейс перемещения системных и занятых процессом файлов

Операционная система нативного режима OO Bluecon XXL Enu *таблетки нет

Установка и использование консоли восстановления в Windows XP
Пропатченная консоль восстановления

native.zip 35,2 КБ (36 110 байт)
NativeCmd.zip 199 КБ (204 484 байт)
NativeApps.zip 66,4 КБ (68 034 байт)
Nloadsys.zip 4,86 КБ (4 983 байт)
defrag_native.zip 58,1 КБ (59 592 байт)
AUTO.zip 653 КБ (669 595 байт)

Автор: ashumov
Дата сообщения: 25.04.2012 23:31

Автор: bomzzz
Дата сообщения: 25.04.2012 23:37

Автор: ashumov
Дата сообщения: 26.04.2012 00:05

Попробую из шапки что запускается в моей сборке windows native
Собрал 1.44 win32 для ntfs
DOS для NTFS

Автор: bomzzz
Дата сообщения: 26.04.2012 00:09

дос с нтфс у меня в процесе доработки.
может подрежешь чего полезного
http://rghost.ru/37772152
здесь последняя версия парагоновского нтфс драйвера, выдрана из тотал дефрага 2010

Автор: ashumov
Дата сообщения: 26.04.2012 00:13

Автор: bomzzz
Дата сообщения: 26.04.2012 00:19

Автор: bomzzz
Дата сообщения: 26.04.2012 08:19

Автор: ashumov
Дата сообщения: 26.04.2012 15:27

Автор: bomzzz
Дата сообщения: 26.04.2012 17:03

BOOTPERF так как его использовать этот параметр?

Автор: ashumov
Дата сообщения: 26.04.2012 18:55

Автор: bomzzz
Дата сообщения: 26.04.2012 19:10

я тоже hiew люблю

Автор: ashumov
Дата сообщения: 26.04.2012 20:18

Автор: LEX1
Дата сообщения: 26.04.2012 22:11

Автор: ashumov
Дата сообщения: 26.04.2012 22:23

Автор: ashumov
Дата сообщения: 27.04.2012 23:16

Автор: bomzzz
Дата сообщения: 27.04.2012 23:22

Автор: ashumov
Дата сообщения: 27.04.2012 23:51

Автор: ashumov
Дата сообщения: 29.04.2012 21:39

Автор: bomzzz
Дата сообщения: 29.04.2012 21:52

Автор: ashumov
Дата сообщения: 29.04.2012 22:16

Автор: bomzzz
Дата сообщения: 29.04.2012 23:47

Автор: ashumov
Дата сообщения: 30.04.2012 00:43

Автор: bomzzz
Дата сообщения: 30.04.2012 01:21

Автор: bomzzz
Дата сообщения: 30.04.2012 08:14

Автор: ashumov
Дата сообщения: 30.04.2012 08:25

всегда использую ntldr и setupldr.bin от 2003
ntldr работает даже без boot.ini загружая XP с первого активного раздела
оба файла это склейка из двух бинарных первый из которых DPMI сервер
на бутленде был пост в котором предлагалось замена в xp ntldr этим stub-ом пост назывался стань хозяином своего компьютера , без никаких обьяснений
второй бинарный в ntldr osloader.exe отрезал ресурсхакером данные о версии и названии , все равно после copy /b stub+osloader.exe ntldr
по аналогии всегда использую setupldr.bin от 2003
stub можно получить hex-editor-ом отрезав от первого MZ до конца

Автор: bomzzz
Дата сообщения: 30.04.2012 08:31

Автор: ashumov
Дата сообщения: 30.04.2012 08:38

Автор: bomzzz
Дата сообщения: 30.04.2012 08:42

чтоб прочитать что пишет груб. нужно запустить сборку на виртуальной машине микрософта, когда на окно виртуальной машины нажимаешь мышкой (на синюю полоску окна наверху) она замирает и можно спокойно рассмотреть всю загрузку чего угодно, и поправить сектора согласно предупреждению

Автор: ashumov
Дата сообщения: 30.04.2012 08:42

Привет, друзья. Это статья из серии «Выживаем на слабом ПК» — серии публикаций, посвящённых оптимизации производительности и подборке ПО на слабых и старых компьютерах. Если у вас древняя сборка ПК, но вы пока ещё по каким-то причинам не готовы отправить её на свалку истории, юзайте тег «Выживание на слабом ПК». В этой тематической подборке статей вы найдёте рекомендации, какую операционную систему лучше установить на старое слабое устройство, какой браузер лучше использовать, как оптимизировать работу с системой за счёт RAM-диска и т.п. В этой небольшой публикации рассмотрим ещё один способ выживания на старом ПК – при устранении на нём неполадок с помощью аварийного LiveDisk’а от Sergei Strelec.

Выживаем на слабом ПК: режим Native на LiveDisk’е от Sergei Strelec

LiveDisk от Сергея Стрельца – это среда WinPE с огромнейшей подборкой годного софта для работы с Windows вне её среды, в частности, с целью её реанимации. Более детально об этом LiveDisk’е, о том, какие с его помощью операции можно производить с компьютером, смотрите в отдельной публикации «LiveDisk by Sergei Strelec и прочие «живые» диски». Примечательной особенностью этого реанимационного инструмента является то, что он оптимизирован для работы со старыми слабыми устройствами. Загрузившись с LiveDisk’а, в его меню загрузки в числе вариантов увидим «Boot USB Sergei Strelec Win8.0 (x86) Native (Old PC)».

Картинка с сайта: remontcompa.ru

Это и есть реализация особенности LiveDisk’а — режим Native, специальный режим WinPE, заточенный под работу со старым слабым железом. Он базируется на 32-разрядном WinPE 8, и чтобы мы его не путали с обычным режимом запуска среды WinPE 8, запуск режима Native отмечен не голубым привычным логотипом Windows, а жёлтым.

В режиме Native сначала происходит загрузка системного ядра без графической оболочки, а потом отрабатывается скрипт поиска DVD-диска или флешки с LiveDisk’ом для запуска полноценного ядра WinPE. Это сделано с целью ускорения запуска LiveDisk’а на компьютерах с портами USB 1.0/1.1, на которых обычная среда WinPE может запускаться минут 10. Режим Native потребляет меньше оперативной памяти, чем обычный режим WinPE 8. У Native пониженные требования к процессору: допускаются процессоры, начиная с Intel Pentium 4 и AMD Athlon, не поддерживаются NX-инструкции (отключена проверка NX-бита). Для совместимости со старыми процессорами отключена поддержка мультиядерности и режима РАЕ.

Режим Native – это решение для старых компьютеров, но не слабых современных устройств. Этот режим, как упоминалось, базируется на 32-битном WinPE 8, следовательно, доступен только при загрузке с Legacy-носителей. При загрузке с флешек UEFI мы его не обнаружим. На слабых современных устройствах лучше использовать обычные режимы запуска LiveDisk’а, базирующиеся на WinPE 8 и WinPE 10.

Помимо самого режима Native, в среде WinPE 8 можно использовать хорошо знакомый владельцам слабых ПК способ оптимизации Windows – отключение визуальных эффектов. На рабочем столе запускаем ярлык «Параметры быстродействия». Отмечаем галочкой пункт «Обеспечить наилучшее быстродействие» и жмём «Применить».

Картинка с сайта: remontcompa.ru

С чего начать программирование native приложений для Windows

Native приложения — это программы, предназначенные для выполнения на операционных системах Windows семейства NT (NT/2000/XP/2003/Vista/7),
способные запускаться на раннем этапе загрузки Windows, до окна входа в систему и даже до запуска каких-либо подсистем Windows.
Синий экран при загрузке Windows XP, в котором, например, происходит проверка диска и есть тот самый режим.
Native приложения используют только Native API, они могут использовать только функции, экспортируемые из библиотеки ntdll.dll.
Для них недоступны функции WinAPI.

Native приложения запускаются на экране, который возникает до появления окна входа в систему. Примером native приложения
является приложение chkdsk, которое запускается перед входом в Windows, если предварительно была запущена проверка системного раздела на ошибки
и отложена до перезагрузки. Приложение работает, выводя сообщения экран, а затем происходит обычный запуск Windows.

Преимущества использования этого режима: большая часть компонентов Windows ещё не запущена, отсутствуют многие ограничения. Этот режим, например,
используется в приложениях, которые хотят что-то сделать с системным разделом Windows, но не могут, пока запущена операционная система: дефрагментаторы,
конверторы файловой системы, и тому подобные утилиты.

Моя программа Native shell запускается до экрана входа в систему
и предоставляет интерфейс командной строки с возможностью перемещаться по файловой системе Windows, копировать и удалять файлы,
просматривать некоторую информацию об операционной системе и запускать другие процессы, способные выполняться в native-режиме, такие
как autochk.exe и autoconv.exe. Доступны исходные коды программы на языке Си.

Что нужно знать:

Native приложения компилируются с помощью WDK — Windows Driver Kit (также известный, как DDK).
Есть возможность делать их и в какой-то другой среде разработки, но в WDK проще всего.

Native приложения используют Native API.
Оно частично документировано в MSDN для использования при написании драйверов. Но документированы не все функции.
Информацию по остальным нужно брать из неофициальных источников. Например, на сайте http://undocumented.ntinternals.net/

Функции в ntdll.dll имеют префиксы Zw и Nt, а также некоторые другие.
Видно, что у Zw и Nt функции дублируются названия. На самом деле это одни и те
же функции. Если искать в сети пример использования какой-либо функции, стоит поискать сначала с одним
префиксом, потом с другим, иначе можно что-то упустить. Почему у них разные префиксы — отдельная история,
для программирования native приложений существенной роли не играет.

Для программирования нужны прототипы функций Native API, но в заголовочных файлах WDK присутствуют не все определения.
Нужно использовать альтернативные заголовочные файлы, содержащие в том числе и определения недокументированных функций и типов данных.
Например, можно воспользоваться заголовочными файлами Native Development Kit (NDK), которые доступны здесь.

Программировать на чистом Native API неудобно. Не обойтись без библиотеки, в которой уже реализованы некоторые рутинные действия.
Существует библиотека с открытым кодом — ZenWINX, можно пользоваться ей.
Ещё на страничке NDK анонсирована некая библиотека NDL, но на сайте её нет.

Чтобы native приложение запустилось при запуске Windows, надо положить его в каталог system32, а в ключ реестра
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute прописать его имя файла,
и аргументы, если они есть. Ключ имеет тип MULTI_SZ, может содержать несколько строк. Первой строкой там идёт
Autocheck Autochk *. После неё можно прописывать свою программу.
Программа, прописанная в этом ключе, имеет свойство запускаться даже в безопасном режиме Windows (safe mode),
так что нужно быть осторожным. Ошибка в программе — и система не запустится. Но можно внутри приложения
отслеживать факт запуска в safe mode и обрабатывать этот режим отдельно, например сделать завершение программы, если
она обнаружила себя запущенной в safe mode. Кроме того, несмотря на то, что программа запускается и может выполнять
какие-то действия, в этом режиме не работает вывод на консоль. Невозможно взаимодействие с пользователем. Это следует учитывать.

При необходимости, native-приложение можно запустить и не перезагружая компьютер. Для этого следует воспользоваться
утилитой nrun.exe. Но загрузочный экран от этого не появится, и вам следует придумать,
как ещё взаимодействовать с вашим приложением, если нужна интерактивность. В исходном коде nrun можно посмотреть,
как реализован запуск native-процессов с использованием недокументированных функций Native API.

У native приложений точка входа не main и не wmain, а NtProcessStartup. В PE-заголовке EXE-файла есть специальное поле,
означающее подсистему, в которой выполняется приложение. У native приложений в это поле установлено специальное значение, означающее,
что EXE не требует подсистемы. У обычных приложений ставится значение, соответствующее подсистемам «Windows GUI» или «Windows console».
Native приложения не запускаются в обычном режиме работы Windows. При попытке запустить программу Windows выдаёт сообщение
«Приложение нельзя запустить в режиме Win32».

Вывод кириллицы на экран по-умолчанию в этом режиме не поддерживается. Есть способ обойти это ограничение, впрочем,
способ сложный и пока работает только на Windows XP.

Картинка с сайта: oktava-studio.ru

Приложение нельзя запустить в режиме Win32

Заготовка проекта Native приложения

Я создал заготовку проекта Native приложения — набор файлов, который можно использовать в качестве базы для разработки собственного
Native приложения. Заготовка содержит файл native.c, содержащий точку входа в приложение. Остальные файлы — это файлы библиотеки
ZenWINX, которые модифицированы так, что используют определения функций из NDK, а не из своего файла с определениями. Это позволяет
использовать как функции самой библиотеки, так и функции Native API, которые разработчики ZenWINX забыли включить в собственный
заголовочный файл. Фактически, NDK — более полный каталог Native API функций, чем файл, поставляемый с ZenWINX.
Компилировать заготовку нужно утилитой build из состава WinDDK (я использую версию WinDDK 1.1.6001.000). Следует подключать заголовочные
файлы NDK, прописав пути к каталогу с ними.

Возможно также разрабатывать и собирать Native-приложения прямо в Visual Studio, без использования компилятора WDK.
О том, как это сделать, написано в статье Сборка Native API-приложения в Visual Studio 2010.

Программы режима Native API

• Скачать заготовку Native приложения Windows (RAR-архив, 46 Кб)
• Перейти на страницу программы Native shell