windows - 在 Windows Crypto API 中跟踪 CSP 调用

Question

我正在使用 Windows Server 2008 R2 证书颁发机构处理私钥存档。在客户端，我有兴趣了解当客户端请求启用存档的证书时 Windows 进程进行了哪些 Crypto API 函数调用。特别是，我的重点是跟踪此处列出的函数调用， http: //msdn.microsoft.com/en-us/library/aa922849.aspx，存在于 Advapi32.dll 中。

我在这里尝试了 windbg/cdb 脚本（http://blogs.msdn.com/b/alejacma/archive/2007/10/31/cryptoapi-tracer.aspx）。我在提出证书请求时将其附加到 mmc.exe，但在此过程中我无法检测到任何 CSP 调用。我还尝试通过 certreq.exe 请求证书，但 windbg 无法跟踪任何 CSP 调用。我还尝试了其他形式的跟踪，如标题为“监控应用程序对 DLL 的调用”的 stackoverflow 线程中所述

请告诉我需要附加到哪个 Windows 进程/服务，以便了解这些调用是如何进行的。是否可以在进行函数调用时进行跟踪，而不管是哪个进程调用的？

非常欢迎任何有关如何跟踪这些 CSP 调用的建议！

Answer 1

advapi32.dll 过去曾包含加密实现，但现在此功能已移至 cryptsp.dll。Windows 团队有时会将公共方法的实现从一个 DLL 转移到另一个 DLL。在The Old New Thing 博客中查看更多示例。Advapi32.dll 只是调用 cryptsp.dll 中的相应函数。

显然，您尝试调试的 mmc 中的证书 API 正在直接调用 cryptsp.dll。来自 Windows 8 上的调用堆栈的示例：

0:000> k
Child-SP          RetAddr           Call Site
00000000`0059c278 000007fd`6c1b7d8b CRYPTSP!CryptAcquireContextA
00000000`0059c280 000007fd`6c1ace66 CRYPT32!I_CryptGetDefaultCryptProv+0xbc
00000000`0059c2d0 000007fd`6c1ae1b3 CRYPT32!FastCreateCtlElement+0x4a6
00000000`0059c4e0 000007fd`6c1a248a CRYPT32!CreateCtlElement+0x23
00000000`0059c530 000007fd`6c1a2297 CRYPT32!CreateStoreElement+0x139
00000000`0059c610 000007fd`6c1abaa4 CRYPT32!LoadStoreElement+0x244
00000000`0059c6f0 000007fd`6c1a2c76 CRYPT32!OpenFromRegistry+0x39e
00000000`0059c950 000007fd`6c1a2e7c CRYPT32!OpenAllFromRegistryEx+0x96
00000000`0059c9d0 000007fd`6c1a394b CRYPT32!I_CertDllOpenRegStoreProv+0xfc
00000000`0059ca20 000007fd`6c196926 CRYPT32!I_CertDllOpenSystemRegistryStoreProvW+0x28b
00000000`0059cb20 000007fd`6c1a3b72 CRYPT32!CertOpenStore+0x296
00000000`0059cba0 000007fd`6c1a3dc2 CRYPT32!OpenPhysicalStoreCallback+0xc2
00000000`0059cc70 000007fd`6c1a4512 CRYPT32!EnumPhysicalStore+0x648
00000000`0059ce00 000007fd`6c196926 CRYPT32!I_CertDllOpenSystemStoreProvW+0x162
00000000`0059cee0 000007fd`6c1a3b72 CRYPT32!CertOpenStore+0x296
00000000`0059cf60 000007fd`6c1a3dc2 CRYPT32!OpenPhysicalStoreCallback+0xc2
00000000`0059d030 000007fd`6c1a4512 CRYPT32!EnumPhysicalStore+0x648
00000000`0059d1c0 000007fd`6c196926 CRYPT32!I_CertDllOpenSystemStoreProvW+0x162
00000000`0059d2a0 000007fd`47371a27 CRYPT32!CertOpenStore+0x296
00000000`0059d320 000007fd`47363611 certmgr!CCertStore::GetStoreHandle+0xc7

请注意，调用堆栈中甚至不存在 advapi32.dll。

因此，您的解决方案是直接在 cryptsp.dll 中的函数上放置断点。例如：

> bu CRYPTSP!CryptAcquireContextW
> bu CRYPTSP!CryptAcquireContextA
> bu CRYPTSP!CryptDecrypt
> ... and so on ...
> g