 |
eXeL@B —› Основной форум —› отладка в syser |
| Посл.ответ | Сообщение |
|
|
Создано: 17 сентября 2009 12:14 · Личное сообщение · #1 Никогда не юзал сисер, а тем более не отлаживал дровины... Дровина эта создает файл на диске. Вопрос: можно остановить выполнение кода дровины, когда она создала файл, дабы этот файл скопировать себе, т.к. дровина эта впоследствии этот файл удаляет ... ----- Пиво, сиськи, транс  |
|
|
Создано: 17 сентября 2009 12:24 · Личное сообщение · #2 bp ZwDeleteFile ? ----- все багрепорты - в личные сообщения |
|
|
Создано: 17 сентября 2009 12:55 · Поправил: -= ALEX =- · Личное сообщение · #3 она его еще запускает... а вообще чисто технически такое проделать можно? ЗЫ если дровину отпустить она вызывает бсод... ----- Пиво, сиськи, транс |
|
|
Создано: 17 сентября 2009 14:41 · Поправил: HandMill · Личное сообщение · #4 Технически то оно конечно проделать можно. 1. Добавить bp ZwCreateFile после того как брякнулись на ZwDeleteFile что бы противостоять поиску файла. 2. Самому вписать код, когда брякнулись на ZwDeleteFile копирующий файл в ринг0, у меня готового решения таким путём нет. и ещё момент - дровина случайно не чекает CRC своего кода? Патчить можно? add: после бряка на ZwDeleteFile можно попробовать подменить путь к файлу/заменить его имя и так его драйвер уже не найдёт. ----- все багрепорты - в личные сообщения |
|
|
Создано: 17 сентября 2009 18:00 · Поправил: Vitek · Личное сообщение · #5 а если зациклить и скопировать ? например WinHEX через открытие непосредственно диска |
|
|
Создано: 17 сентября 2009 18:38 · Личное сообщение · #6 Дровина сама по себе шифрована, многослойна, свой код она декриптует, запускает... тот еще гимор, так что патчить файл не выйдет... Попробую чегонить придумать... ----- Пиво, сиськи, транс |
|
|
Создано: 17 сентября 2009 19:43 · Личное сообщение · #7 Ты малварь что ли решил всковырнуть? Волка пни, он должен знать. |
|
|
Создано: 17 сентября 2009 20:41 · Личное сообщение · #8 progopis угу. оно самое... ----- Пиво, сиськи, транс |
|
|
Создано: 17 сентября 2009 22:38 · Личное сообщение · #9 -= ALEX =- пишет: Дровина сама по себе шифрована, многослойна, свой код она декриптует, запускает... тот еще гимор, так что патчить файл не выйдет... Попробую чегонить придумать... Ну бряки то срабатывают? |
|
|
Создано: 18 сентября 2009 08:50 · Личное сообщение · #10 срабатывают..... я бы отпустил дровину на волю, убрал бы удаление файла, если бы не бсод... а почему он там происходит. я так и не понял, кривые руки видать писателя... вот и надо до продолжения работы дровины, скопировать файлик ----- Пиво, сиськи, транс |
|
|
Создано: 18 сентября 2009 18:19 · Поправил: __ · Личное сообщение · #11 -= ALEX =- Тогда что мешает вернуть драйверу успешность удаления, но не дать выполнится функции удаления? Или дописать любой код, например сохранения файла, выполнить пошагово, потом все вернуть как было, и пусть бсодит, если будет, файл то уже сохранен. Или вариант написать свой драйвер который захучит функцию и скопирует файл в правильный момент. |
|
|
Создано: 18 сентября 2009 19:04 · Личное сообщение · #12 Я понимаю что можно сделать что угодно) просто хотелось узнать, бывает ли такое) остановить выполнение драйвера, чтобы переключится на винду... ----- Пиво, сиськи, транс |
|
|
Создано: 18 сентября 2009 19:49 · Личное сообщение · #13 -= ALEX =- пишет: остановить выполнение драйвера, чтобы переключится на винду можно: // sleep for 20 milliseconds __int64 x = -200000; ZwDelayExecution(FALSE, &x); или ----- все багрепорты - в личные сообщения |
|
|
Создано: 18 сентября 2009 19:56 · Личное сообщение · #14 А что мешает вписать код jmp eip и скопировать? Проц конечно перегрузит... Но если файл не открыт, то скопируешь. Или уходи в ребут, грузись как-нибудь без дрова и смотри файл. |
|
|
Создано: 18 сентября 2009 20:55 · Личное сообщение · #15 Все зависит от драйвера. Далеко не в любом месте любого драйвера можно делать спячку или вечный цикл. Это может привести как к бсоду, так и к полному зависанию системы. Поэтому лучше бы не пытался ногу за ухо закинуть, а честно после ребута собрал файлы. |
|
|
Создано: 07 февраля 2010 13:15 · Поправил: Модератор · Личное сообщение · #16 Правильно ли я понимаю что для перехода по коду (то что в ольке делается через Ctrl+G и в IDA через просто G) используется команда g ? Если нет - то какой командой я могу открыть код по нужному мне адресу (не hex дамп, что довольно просто, а именно код) БЕЗ изменения EIP? Если всё же я правильно понимаю, то есть ли шанс использовать эту команду без синих экранов? Ultras Благодарю, как-то не успел изучить до конца весь список в help. |
|
|
Создано: 07 февраля 2010 13:55 · Поправил: Ultras · Личное сообщение · #17 progopis: u addr See Command reference help. Если работал с SoftICE - много схожего в командах. ----- .[ rE! p0w4 ]. |
|
|
Создано: 07 февраля 2010 15:57 · Поправил: vptrlx · Личное сообщение · #18 //сорри 
|
|
|
Создано: 07 февраля 2010 16:11 · Личное сообщение · #19 vptrlx На дату топика хыть бы глянул. Уже другое обсуждение ведётся. |
|
|
Создано: 20 февраля 2010 15:43 · Личное сообщение · #20 progopis сидит без инета, поэтому задам его вопрос я: как заставить Syser ставить hardware бряк на мой процесс (который выделен в списке proc как текущий), а не на System? |
|
|
Создано: 20 февраля 2010 15:48 · Поправил: ARCHANGEL · Личное сообщение · #21 Archer Тю блин, также, как и в Айсе. bpm xxxxxxxx if pid == yyy ----- Stuck to the plan, always think that we would stand up, never ran. |
|
eXeL@B —› Основной форум —› отладка в syser |
Для печати