Aller au contenu

WinAPI

Introduction à l'API Windows (WinAPI)

1. Qu'est-ce que l'API Windows ?

L'API Windows (Application Programming Interface) est un ensemble de fonctions, de structures de données, de messages et d'interfaces exposées par le système d'exploitation Microsoft Windows. Son but principal est de permettre aux applications développées par Microsoft ou des tiers d'interagir avec le système d'exploitation et ses ressources de manière contrôlée et standardisée.

En substance, c'est la couche d'abstraction logicielle qui se situe entre les applications (qui s'exécutent généralement en mode utilisateur) et les composants internes du système d'exploitation (dont une grande partie s'exécute en mode noyau). Quand une application veut créer un fichier, afficher une fenêtre, allouer de la mémoire ou, comme dans notre exemple précédent (lsass_c_interaction_code), interagir avec un autre processus, elle utilise les fonctions fournies par l'API Windows.

Elle est principalement conçue autour du langage C, mais elle est accessible depuis de nombreux autres langages de programmation (C++, C#, Python, Delphi, etc.) via des mécanismes spécifiques (wrappers, P/Invoke, ctypes...).

2. Structure et Composants Clés

L'API n'est pas monolithique. Elle est organisée en plusieurs bibliothèques de liens dynamiques (DLLs) qui regroupent les fonctions par domaine. Les plus fondamentales sont :

  • kernel32.dll: Fournit les fonctions de base du système d'exploitation.
    • Gestion de la mémoire (ex: VirtualAlloc, HeapAlloc)
    • Gestion des processus et des threads (ex: CreateProcess, OpenProcess, TerminateProcess, CreateToolhelp32Snapshot)
    • Gestion des fichiers et des entrées/sorties (E/S) (ex: CreateFile, ReadFile, WriteFile)
    • Synchronisation (ex: CreateMutex, WaitForSingleObject)
    • Exemples du code précédent : CreateToolhelp32Snapshot, Process32First, Process32Next, OpenProcess, CloseHandle, GetLastError.
  • advapi32.dll (Advanced API): Contient des fonctions liées à la sécurité et au registre.
    • Gestion du Registre Windows (ex: RegOpenKeyEx, RegQueryValueEx)
    • Sécurité : Contrôle d'accès, privilèges, audit, chiffrement (ex: OpenProcessToken, LookupPrivilegeValue, AdjustTokenPrivileges, fonctions LSA, CryptoAPI)
    • Gestion des services Windows (ex: OpenSCManager, CreateService)
    • Exemples du code précédent : OpenProcessToken, LookupPrivilegeValue, AdjustTokenPrivileges.
  • user32.dll: Gère tout ce qui concerne l'interface utilisateur graphique (GUI).
    • Création et gestion des fenêtres (ex: CreateWindowEx, DefWindowProc)
    • Traitement des messages Windows (ex: GetMessage, DispatchMessage)
    • Gestion des contrôles (boutons, boîtes de dialogue...)
  • gdi32.dll (Graphics Device Interface): Responsable du dessin, de l'affichage graphique, des polices de caractères.
  • ntdll.dll (NT Layer DLL): C'est une DLL de plus bas niveau, qui sert d'interface principale entre les DLLs du mode utilisateur (comme kernel32, advapi32) et les appels système réels vers le mode noyau. Une partie de ntdll.dll constitue l'API Native. Elle est moins documentée officiellement par Microsoft et son utilisation directe est plus complexe, mais elle est souvent utilisée par des outils système avancés, des logiciels de sécurité, et malheureusement aussi par des malwares pour tenter de contourner les détections basées sur les API de plus haut niveau.

Concepts importants :

  • Fonctions API : Les routines spécifiques que l'on appelle (ex: OpenProcess). Elles suivent souvent des conventions de nommage (ex: VerbeNom). Beaucoup existent en deux versions : A (ANSI, pour les anciennes chaînes de caractères) et W (Wide/Unicode, la version moderne et recommandée).
  • Handles : Des valeurs opaques (souvent des pointeurs ou des index) retournées par de nombreuses fonctions API pour représenter un objet géré par le noyau (fichier, processus, thread, jeton d'accès, clé de registre...). Ces handles doivent être gérés correctement et fermés (CloseHandle, RegCloseKey, etc.) lorsque l'on n'en a plus besoin pour éviter les fuites de ressources. Exemples du code précédent : hToken, hProcessSnap, hLsassProcess.
  • Messages : Pour les applications graphiques, un mécanisme central basé sur des messages envoyés aux fenêtres pour notifier des événements (clic de souris, touche clavier, redimensionnement...).

3. Comment l'utiliser ?

En C/C++, on inclut l'en-tête principal windows.h (ou des en-têtes plus spécifiques) et on lie le programme avec les bibliothèques d'importation (.lib) correspondantes (ex: kernel32.lib, advapi32.lib). Dans d'autres langages, on utilise les mécanismes d'interopérabilité fournis par le langage (ex: DllImport en C#, ctypes en Python).

4. Domaines Fonctionnels Clés (pertinents pour la cybersécurité)

L'API Windows couvre énormément de domaines, mais voici ceux qui sont particulièrement pertinents en cybersécurité :

  • Gestion des Processus et Threads : Essentiel pour l'analyse de comportement (quels processus sont lancés ?), l'injection de code, la manipulation de processus (CreateProcess, OpenProcess, ReadProcessMemory, WriteProcessMemory, CreateRemoteThread).
  • Gestion de la Mémoire : Allocation de mémoire pour du shellcode, lecture/écriture dans d'autres processus (VirtualAllocEx, ReadProcessMemory, WriteProcessMemory).
  • Sécurité : Manipulation des jetons d'accès (OpenProcessToken, DuplicateTokenEx), gestion des privilèges (AdjustTokenPrivileges), interaction avec LSA (LsaEnumerateLogonSessions), chiffrement/déchiffrement (CryptoAPI, DPAPI), gestion des ACLs.
  • Accès aux Fichiers et Répertoires : Lecture/écriture/suppression de fichiers, surveillance de répertoires (CreateFile, ReadFile, WriteFile, FindFirstFile, ReadDirectoryChangesW).
  • Registre : Lecture/écriture de clés pour la configuration, mais surtout pour les techniques de persistance (RegCreateKeyEx, RegSetValueEx).
  • Réseau (Winsock, WinHTTP, WinINet) : Communication réseau, téléchargement de charges utiles, exfiltration de données (socket, connect, send, recv, HttpOpenRequest).
  • Services Windows : Création/modification de services pour la persistance (CreateService, ChangeServiceConfig).

5. Importance en Cybersécurité

  • Blue Team : Comprendre les appels API est fondamental pour :
    • Analyser le comportement des malwares (statique et dynamique).
    • Développer des règles de détection (ex: Sysmon, EDR) basées sur des séquences suspectes d'appels API (ex: OpenProcess sur lsass.exe suivi de ReadProcessMemory).
    • Comprendre comment les outils de sécurité interagissent avec le système (hooking d'API, etc.).
    • Réaliser des investigations numériques (forensics).
  • Red Team / Développement de Malware : La connaissance de l'API Windows est indispensable pour :
    • Développer des outils personnalisés (exploits, implants, C2).
    • Mettre en œuvre des techniques d'attaque (injection, évasion, persistance, mouvement latéral).
    • Interagir avec le système à bas niveau, parfois en utilisant des fonctions non documentées (ntdll.dll) pour échapper à la détection.

Conclusion

L'API Windows est vaste et complexe, mais elle constitue la pierre angulaire de toute interaction programmatique avec le système d'exploitation Windows. En comprendre les principes de base, les composants majeurs et les domaines fonctionnels clés est essentiel pour quiconque travaille dans le développement logiciel ou la cybersécurité sous Windows. L'exemple de code précédent n'était qu'un minuscule aperçu de ce qu'elle permet de faire.