.386
.model flat, stdcall
option casemap:none
include w2k\ntstatus.inc
include w2k\ntddk.inc
include w2k\ntoskrnl.inc
include w2k\w2kundoc.inc
includelib w2k\ntoskrnl.lib
include Strings.mac
.data?
DeviceName dd ?
BaseAddress dd ?
.data
CreateProcess db "NtCreateProcess",0
SourceString dw 5ch
.const
CCOUNTED_UNICODE_STRING "\Device\ring0code", g_usDeviceName, 4
CCOUNTED_UNICODE_STRING "\??\ring0code", g_usSymbolicLinkName, 4

.code

_Shell proc Source:DWORD,ea
local ObjectAttributes:OBJECT_ATTRIBUTES
local hFile,hSection,ViewSize
local IoStatusBlock:IO_STATUS_BLOCK
push esi
xor esi,esi
;OBJECT_ATTRIBUTES
mov [ebp+ObjectAttributes.ObjectName],ea
mov [ebp+ObjectAttributes.Length], 18h
mov [ebp+ObjectAttributes.RootDirectory], esi
mov [ebp+ObjectAttributes.Attributes], 40h
lea edi, [ebp+ObjectAttributes.SecurityDescriptor]
InitializeObjectAttributes addr ObjectAttributes, addr g_usDirName,
OBJ_CASE_INSENSITIVE + OBJ_KERNEL_HANDLE, NULL, NULL
invoke ZwOpenFile,100020h,addr ObjectAttributes,addr IoStatusBlock,FILE_SHARE_READ
mov hFile,eax
invoke ZwCreateSection,hSection,SECTION_ALL_ACCESS,addr ObjectAttributes,
0,PAGE_EXECUTE, SEC_IMAGE, hFile
invoke ZwMapViewOfSection,hSection,0FFFFFFFFh,BaseAddress,0,3E8h,0,addr ViewSize,1,100000h,4
ret
_Shell endp

_Ring proc RingApi:DWORD
invoke RtlInitUnicodeString,RingApi,addr SourceString
lea eax,RingApi
invoke _shell,offset SourceString,eax
ret
_Ring endp

_CachedMemory proc pDeviceObject:PDEVICE_OBJECT
local FastMutex:FAST_MUTEX

pushad
invoke MmAllocateNonCachedMemory,0FA0h
if eax!=NULL
mov BaseAddress,eax
.elseif
jmp close
.endif
push esi
xor esi, esi
push edi ; State
inc esi
push esi ; Type
push offset FastMutex.Event ; Event
mov FastMutex.Count, esi
mov FastMutex.Owner, edi
mov FastMutex.Contention, edi
call ds:KeInitializeEvent ; APC
mov edi, BaseAddress
mov ecx, 3E8h
mov edi, BaseAddress
mov ecx, 3E8h
xor eax, eax
rep stosd

close:
mov ebx, 0C0000001h
popad
ret
_CachedMemory endp

_DispatchControlIo proc pDeviceObject:PDEVICE_OBJECT, pIrp:PIRP
mov eax,pIrp
assume eax:ptr _IRP
mov [eax].IoStatus.Status,STATUS_SUCCESS
;IoCompleteRequest
and [eax].IoStatus.Information,0
assume eax:nothing
invoke IoCompleteRequest,pIrp,IO_NO_INCREMENT;
xor eax,eax
mov eax, STATUS_SUCCESS
ret
_DispatchControlIo endp

DriverEntry proc uses ebx edi esi, pDriverObject:PDRIVER_OBJECT, pusRegistryPath:PUNICODE_STRING
local status:NTSTATUS
local pDeviceObject:PDEVICE_OBJECT
local DriverObject

invoke RtlInitUnicodeString,addr DeviceName,addr g_usDeviceName
mov esi,DriverObject
mov status,STATUS_DEVICE_CONFIGURATION_ERROR
invoke IoCreateDevice,DriverObject,0,addr g_usDeviceName,FILE_DEVICE_UNKNOWN,100,FALSE,addr pDeviceObject
.if eax!=STATUS_SUCCESS
jmp exit
.endif
mov eax,offset _DispatchControlIo
mov [esi+38h],eax
mov [esi+40h],eax
push offset g_usDeviceName
lea eax,offset g_usSymbolicLinkName
push eax
mov [esi+70h],offset _DispatchControlIo
mov [esi+34h],offset _DispatchControlIo
call RtlInitUnicodeString
invoke IoCreateSymbolicLink,addr g_usSymbolicLinkName,addr g_usDeviceName
.if eax == STATUS_SUCCESS
mov eax,pDriverObject
.elseif
invoke IoDeleteDevice, pDeviceObject
.endif
jmp GetHookApi

GetHookApi:
mov eax,offset pDeviceObject
add [eax+1Ch],7FH
invoke _CachedMemory
invoke _Ring,addr CreateProcess

exit: mov eax,STATUS_DEVICE_CONFIGURATION_ERROR
ret
DriverEntry endp
end DriverEntry

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

[СТЕР]

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Помоему, если я не ошибаюсь, это какой-то инфектор... mak поправь если ошибаюсь.

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

=) Я долго думал какую тематику выбрать , но потом решил просто постить различные дровины ,, чтобы было на чем практиковаться в написании драйверов. Основной функционал описан в кмдтут от Фоур Ф , но иногда границы фантазии у некоторых на этом иссекают , чтобы нарушить этот баланс и будет вестись этот блог =). Выйти из повседневности рутинных программистских задач.

Конечно хотелось бы посветить этот блог какой то основной задаче типо проекта на асм. Но мои идеи чаще не воспринимаются серьезно многими людьми. Что лично я считаю просто сложившейся ситуацией и причинами , вызывающими непонимание проблематики или желания. Поэтому освящением своих идей здесь я заниматься не буду. Ибо буду кодить в тихоря

coderess =) юзать этот драйвер можешь как хочешь , переписывать дописывать , а особой ценности он не представляет , попал просто под руку , типо ТЕСТ провел.

На ВАСМ ру обсуждалась тема про коолбэк с ринг0 в ринг 3 =) , вот тут дровина как раз осуществляющая эту идею , в дополнените можно найти статью на ВАСМ. Как говориться в статье идея эта бесполезна и почему с ней все носятся не понятно.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

=) не прикрепилась

45dd_10.08.2008_CRACKLAB.rU.tgz - r0r3.asm

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

=) Вообщем такая проблема , скомпилил дллку , это плагин для OllzDBG , но без начинки. Ольга его почему то не видит.

Есть вот эти проки
LIBRARY
EXPORTS
_ODBG_Plugininit
_ODBG_Plugindata
_ODBG_Pluginmenu
_ODBG_Pluginaction
_ODBG_Plugindestroy
;_ODBG_Pluginreset
_ODBG_Pluginclose

сам длл.

96bc_12.08.2008_CRACKLAB.rU.tgz - mak.dll

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

А ты на таблицу экспорта посмотри откомпиленного варианта

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

дело не в экспорте. В DLL_Main эксепшн, система сама выгружает твою длл, оля ее видит

| Сообщение посчитали полезным:

Olenevod =) спсб ..какой код экзепшн не помнишь ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

код 0хC0000005.
но что то не ясно, толи длл кривая, толи еще что, в общем олька только одну секцию видит

| Сообщение посчитали полезным:

ну тогда HandMill прав , это код ошибки знакомый всем. У меня скачанная длл показывает 5 секций , и сразу скомпилинная тоже , но ошибка явно присутсвует. Может просто есть особенности использования АПИ адресов в библиотеках оли ? .. может динамически поиском искать ? .. и забивать таблицу адресов. Млин ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

АПИ тут ни при чем. ошибка скорее всего в другом.
У меня написано несколько плагинов, нигде подобного не возникало.
если выложишь полные сорцы, тогда разберемся, а так... хз что там.

| Сообщение посчитали полезным:

посмотри внимательно импорт в своей dll
из OllyDbg.exe импортируется только 2 функции, и инита там нету =)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Точно , вижу , там 2 функции только импортируются. Причина тогда в компилировании , видимо не правильно собираю

@echo on

c:\MASM32\BIN\Rc.exe clicker.rc
if errorlevel 1 goto errRC
c:\MASM32\BIN\Ml.exe /c /coff clicker.asm
if errorlevel 1 goto errasm
c:\MASM32\BIN\Link.exe /SUBSYSTEM:WINDOWS /RELEASE /DLL /align:16 /DEF:clicker.def /section:.text,ERW clicker.obj clicker.res
if errorlevel 1 goto errlink

dir dialogs
goto TheEnd

:errlink
echo _
echo Link error
goto TheEnd

:errasm
echo _
echo Assembly Error
goto TheEnd

:errRC
echo _
echo RC Error
goto TheEnd
:TheEnd

pause
и вот это в дэф ..
LIBRARY
EXPORTS
_ODBG_Plugininit
_ODBG_Plugindata
_ODBG_Pluginmenu
_ODBG_Pluginaction
_ODBG_Plugindestroy
;_ODBG_Pluginreset
_ODBG_Pluginclose


DllEntryPoint proc hi:HINSTANCE, reason:dword, res:dword
.IF reason == DLL_PROCESS_ATTACH
m2m hinst, hi
.ENDIF
return 1
DllEntryPoint endp

ODBG_Plugindata proc C shortname:ptr byte
invoke lstrcpy, shortname, offset sPluginTitle
mov eax,PLUGIN_VERSION
ret
ODBG_Plugindata endp

ODBG_Plugininit proc C ollydbgversion:dword, hwnd:HWND, features:ptr dword
.if ollydbgversion < PLUGIN_VERSION
mov eax,TRUE
.else
m2m hWin,hwnd
invoke Addtolist,0,0,offset sPluginTitle
invoke Addtolist,0,-1,offset sPluginInfo
mov eax,FALSE

.endif
ret
ODBG_Plugininit endp

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

я масм32 всегда в RadASM собираю, никогда проблем не было

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

mak там не в импорте дело. У тебя директория экспорта пустая, а там должны быть
mak пишет:
LIBRARY
EXPORTS
_ODBG_Plugininit
_ODBG_Plugindata
_ODBG_Pluginmenu
_ODBG_Pluginaction
_ODBG_Plugindestroy
;_ODBG_Pluginreset
_ODBG_Pluginclose

У тебя экспорт не создается, что оля должны вызывать из библы?

Я свой плуг вот так собирал
@echo off
if exist AntiDRxFucker.obj del AntiDRxFucker.obj
if exist AntiDRxFucker.dll del AntiDRxFucker.dll
@echo "--> Compiling..."
@\masm32\bin\ml /c /coff /Cp /Fl AntiDRxFucker.asm
@echo "--> Building resources..."
@\masm32\bin\rc resources.rc
@echo "--> Linking..."
@\masm32\bin\Link /SUBSYSTEM:WINDOWS /DLL /DEF:AntiDRxFucker.def /SECTION:.text,EWR /IGNORE:407 AntiDRxFucker.obj resources.res
if not exist AntiDRxFucker.dll goto error
@echo "--> OK, Finish!"
goto end
:error
@echo "--> !! ERROR !!"
:end
pause

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

мля протупил, имел ввиду экспорт, написал импорт ппц)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn да неважно , я тебя понял

PE_Kill спсб =) я так тоже пробовал , щас скомпилю выложу , да я заметил что нет экспорта. Просто вновь склмпиленный вариант вновь не сработал.

9840_13.08.2008_CRACKLAB.rU.tgz - OllydbgPlugin.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

чтож ты кодишь то))

int __cdecl ODBG_Plugininit(unsigned int a1, int a2)
{
int result; // eax@2

if ( a1 >= 0x6C )
{
dword_100007F4 = a2;
OllyDbg_2(0, 0, "clicker");
OllyDbg_2(0, -1, "CR@CKLAB");
result = MessageBoxA(0, "About", "About", 0);
}
else
{
result = 1;
}
return result;
}

надо 0 вернуть, чтобы плаг появился, и кто в инит пихает messagebox??

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

А чо вообще данный плаг делоет?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Hellspawn млин , там он случайно появился , Честное слово ! Все работает =) Спасибо

Spirit Пока ничего =) , кодит Isaev и я , плагин упрощающий поиск событий функций в прогах на делфе. Посмотрим что получится

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

ктонить знает , есть ли сборники IDA signature многих в одном флаконе ? И еще чтонить полезное для разбора ВМ , в виде плага для иды?

Встречал плагин с исходниками для анализа и разбора VM и востановления обфусцированного кода , но сейчас найти не могу. Кто знает ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

=) Биос и дос справочник прерываний , делал для себя , вот думаю выложить , есть вторая часть но ее надо разложить по полкам и добавить в этот файл. Поэтому это чуть позже. Инфа для востановления добавлена на всякий.

1382_16.09.2008_CRACKLAB.rU.tgz - s036h.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak
Спасибо, а по АПИ ф-циям так не напишешь ?

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

ПО АПИ ))))) по апи же есть хоть и не полная. От борланда справка по апи кажется. Кстати ! Они должны были ее обновить , для висты же нужно знать новые АПИ у кого есть новая справка по апи ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Может, я не шарю, но чем мсдн не рулит?

| Сообщение посчитали полезным:

mak У мя метроф на 15 есть, вообще не удобная например, нужно триал кильнуть, стандартные ф-ции для этого не используются, а вот справка такая б помогла.

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

mak пишет:
Биос и дос справочник прерываний , делал для себя
красавчег
вот бы мне такой справочник лет 10-15 назад пригодился...

| Сообщение посчитали полезным:

Archer пишет:
Может, я не шарю, но чем мсдн не рулит?
Дело вкуса , у меня стоит МСДН на винте , но честно чем то он меня отталкивает по функциям поиска и разложенности информации. Чем тогда не проще сделать справку всех апи в одном ?

Legal Information
Microsoft® Win32® Programmer's Reference вот это у меня от борланда. А новее кажется не выпускали.

SergX пишет:
mak пишет:
Биос и дос справочник прерываний , делал для себя
красавчег
вот бы мне такой справочник лет 10-15 назад пригодился...
щас тоже пригодится думаю ,нужно вторую часть добить там 99 процентов всего.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

=) Для перевода на Си

24dc_01.10.2008_CRACKLAB.rU.tgz - javaС++.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: