Syser и SPTD - eXeL@B

Сейчас на форуме: tyns777, cppasm (+7 невидимых)

Посл.ответ	Сообщение
PASAf Ранг: 12.6 (новичок), 5thx Активность: 0.01↘0 Статус: Участник	Создано: 12 мая 2017 20:50 · Поправил: PASAf · Личное сообщение · #1 ARCHANGEL пишет: Как известно, производители Duplex Secure позиционируют свой драйвер как несовместимый с ринг0 дебаггерами. Но "совместить" это дело можно, если удалить ядерные CALLBACK - обработчики, устанавливаемые драйвером sptd.sys (может именовать себя по-другому). Обработчики эти устанавливаются с помощью ядерных PsSetCreateProcessNotifyRoutine, PsSetLoadImageNotifyRoutine и т.д. Делается это легко с помощью Rootkit Unhooker (RkU), удаляем три колбэка, явно принадлежащих области памяти, занимаемой драйвером Duplex Secure, и четвёртый - расположенный в выделенной памяти и распознаваемый как расположенный в unknown code page. Собственно вопрос про то, как именно снять колбеки? RkU запустил (может не тот? 3.20.130 версия), вкладка SSDT Hooks Detector/Restorer, только две функции отмечены как Hooked - NtLoadDriver и NtSetSystemInformation

reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 13 мая 2017 00:45 · Личное сообщение · #2 лучше напиши автору вконтакте, он здесь редко бывает
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 13 мая 2017 01:26 · Личное сообщение · #3 Как снять кернел фильтр и при этом не покодить ----- vx
PASAf Ранг: 12.6 (новичок), 5thx Активность: 0.01↘0 Статус: Участник	Создано: 13 мая 2017 03:30 · Личное сообщение · #4 В Kernel Detective нашёл ровно 4 коллбека Удалил, при запуске Syser - синь.
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 13 мая 2017 06:33 · Личное сообщение · #5 какая цель вобще ? если сисер запустить то у него есть опции в его утилите для удаления этих конфликтных драйверов
PASAf Ранг: 12.6 (новичок), 5thx Активность: 0.01↘0 Статус: Участник	Создано: 13 мая 2017 13:17 · Личное сообщение · #6 Цель - узнать Appkey старфорса для SFFS, диска настоящего у меня нет, так что SPTD (Daemon Tools) нужен.
kampaster Ранг: 42.3 (посетитель), 19thx Активность: 0.04↘0 Статус: Участник	Создано: 13 мая 2017 13:46 · Личное сообщение · #7 Так вот же набор для отлова appkey https://exelab.ru/f/action=vthread&forum=3&topic=22923&page=0#24 https://exelab.ru/f/action=vthread&forum=13&topic=8681&page=1#21 \| Сообщение посчитали полезным: PASAf
PASAf Ранг: 12.6 (новичок), 5thx Активность: 0.01↘0 Статус: Участник	Создано: 13 мая 2017 16:15 · Поправил: PASAf · Личное сообщение · #8 kampaster в данный момент поддерживает версии стара > 5.5 А у меня 3.7.12 Добавлено спустя 7 часов 3 минуты В общем не ловит ничего драйвер ни один, ни второй, пишут StarForce driver not found. Вопрос как сдружить syser и sptd актуален. BSOD 0x000000F7 UNEXPECTED_KERNEL_MODE_TRAP 0x00000008 (double-fault), дампа не делает, никакого Добавлено спустя 7 часов 34 минуты Попробовал драйвер antisptd.sys - тот же результат \| Сообщение посчитали полезным: kampaster
Nightshade Ранг: 241.9 (наставник), 107thx Активность: 0.14↘0.01 Статус: Участник	Создано: 14 мая 2017 14:27 · Личное сообщение · #9 насколько я помню в старом старфорсе драйвер sffs назывался по-другому. Сравни названия драйверов и перебей в сниффере имя на старое. Поправишь контрольную сумму и должно сработать. Ну и есть еще способ спрятать sptd через виртуалку \| Сообщение посчитали полезным: kampaster, PASAf
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 14 мая 2017 23:25 · Личное сообщение · #10 PASAf > (double-fault) Это очень не хорошая ошибка, так просто это не зафиксить - двойной фолт возникает когда бьются таблицы, через которые происходит обработка экцепшена. Так что скорее всего дело совсем не в хуках вашего дрова. ----- vx
Klerk Ранг: 1.4 (гость), 2thx Активность: 0.01↘0 Статус: Участник	Создано: 15 мая 2017 23:57 · Личное сообщение · #11 difexacaw пишет: Это очень не хорошая ошибка, так просто это не зафиксить - двойной фолт возникает когда бьются таблицы, через которые происходит обработка экцепшена. Так что скорее всего дело совсем не в хуках вашего дрова. надо допиливоть моторы, чтоб они умели откатывать даблфолт, чтоб не словить типлфолт, после которого гарантированный ребут случается, ну а для этого надо хукать идт, чтоб и патчвард не палил
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 16 мая 2017 00:32 · Поправил: difexacaw · Личное сообщение · #12 Klerk Матчасть нужно знать, что бы быть способным разобрать подобную ошибку. А тебя выпилить положено, тайминг ты свой исчерпал. Я могу посмотреть, но автор не предоставил никакой инфы. ----- vx
PASAf Ранг: 12.6 (новичок), 5thx Активность: 0.01↘0 Статус: Участник	Создано: 16 мая 2017 03:31 · Личное сообщение · #13 Nightshade Исправил имя (appdrv01.fs на sfvfs02.sys), что-то поймало, но по всей видимости - не то. Забил пойманный Appkey в распаковщик vden и получил 16923856940940... (расшифрованное из заголовка кол-во файлов) VMWare прятать не получится, т.к. в VMWare игра не запускается совсем (из-за видеокарты), до открывания файлов дело не доходит. difexacaw Если не запускать Syser вместе с загруженным драйвером SPTD - всё нормально, образы монтируются, всё эмулируется. Если отключить или удалить SPTD - Syser спокойно запускается. Т.ч. может дело и не в хуках, но точно в несовместимости SPTD и Syser. difexacaw А что предоставлять? Windows дамп не хочет делать, ни полный, ни мини, вообще.
spinz Ранг: 50.0 (постоянный), 31thx Активность: 0.09↗0.1 Статус: Участник	Создано: 16 мая 2017 07:48 · Личное сообщение · #14 Klerk пишет: типлфолт, после которого гарантированный ребут случается Не ребут, а shutdown проца. А дальше уже зависит от реакции чипсета на сигнал о шатдауне. Во всех известных чипсетах эта реакция сводится либо к INIT#, либо к PLTRST#, хотя в теории может быть, например, и NMI#, либо SMI#.

Для печати