Небольшие полезные коды

Сейчас на форуме: tyns777 (+4 невидимых)

. 1 . 2 . 3 . >>

Посл.ответ	Сообщение
Vol4ok Ранг: 47.1 (посетитель), 2thx Активность: 0.03↘0 Статус: Участник	Создано: 09 февраля 2010 18:42 · Поправил: Vol4ok · Личное сообщение · #1 Часто во время написания проектов возникают небольшие, но при этом довольно общие задачи, которые потом могут быть использованы в будущем, вот эта тема как раз для этого. В этой теме предлагаю размещать небольшие фрагменты кода, которые могут применятся в повседневной практике системного программирования. В этом топике можно - размещать только свои коды, а не копировать из общедоступных источников - желательно хорошо протестировать код, прежде чем разместить его. Если вы не уверены, что код работает точно будет работать так как надо на всех ОС и всех процах, то надо пометить - где и каким образом тестировался этот код, или вообще написать что код не тестирован (хорошо подумав при это, стоит ли вообще такой код размещать). - нормально его оформить, чтобы тот кому этот код пригодится смог разобраться в нем быстрее чем писать это же с нуля. Обязательно должны быть описания входных и выходных данных. Крайне приветствуются цели создания кода, основные требования которым он удовлетворяет, и описание того как работает этот код. Также приветствуются багфиксы, замечания по коду и варианты оптимизации. Итак начну с себя. Недавно столкнулся с необходимостью делать высокоточные паузы в работе кода, в моем случае необходимо было достигать точности десятых милисекунд. В итоге я написал микросекундный таймер Code: #define YIELD_LOOP 200 #define get_interval_in_us(_t1_,_t2_,_fq_) (int)((_t2_.QuadPart - _t1_.QuadPart)1000000 / _fq_.QuadPart) static int* g_sleep_error = 1000; void precision_sleep(int timeout) { int i; int sleep_time; int real_sleep_time; LARGE_INTEGER t2; LARGE_INTEGER t1; LARGE_INTEGER fq; QueryPerformanceCounter(&t1); QueryPerformanceFrequency(&fq); if (timeout > g_sleep_error) { sleep_time = timeout - g_sleep_error; Sleep(sleep_time/1000); } QueryPerformanceCounter(&t2); real_sleep_time = get_interval_in_us(t1,t2,fq); if (timeout < real_sleep_time) g_sleep_error += (real_sleep_time - timeout)/2; else if (g_sleep_error > 2000) g_sleep_error -= min((timeout - real_sleep_time)/2, g_sleep_error/2); while (get_interval_in_us(t1,t2,fq) < timeout) { for (i=0;i<YIELD_LOOP;i++) YieldProcessor(); //Sleep(0); QueryPerformanceCounter(&t2); } } - timeout - время таймаута в микросекундах код рекомендуется выполнять с повышением точности обыкновенного слипа, например так: #include <Mmsystem.h> ... timeBeginPeriod(1); precision_sleep(timeout); timeEndPeriod(1); Код делает таймауты с микросекундой точностью. Как извесно простой Sleep имеет огромную погрешность, допутим Sleep(1) - в нормальных условиях выполнется около 10-15мс (1,5-2мс при установке timeBeginPeriod(1)). Высокая точность достигается за счет использования цикла опроса высокоточного системного таймера (период <1нс - на современных компах и 300-400нс на более старых). Минимальная погрешность данной функции равна времени вызова QueryPerformanceCounter - которое на современных компах равно 200-300нс, на компах по старше может доходить до микросекунды. Ес-но в условиях нехватки процессорного времени погрешность может значительно возрастать. Конечно такой метод измерения сильно грузит проц, поэтому при ожидании более 1мс будет использоваться обыкновенный слип, но поскольку он имеет большую погрешность, то динамически в при многократном вызове, precision_sleep проводит пересчет предельной погрешности слипа, подгоняя его под оптимальное значение, при котором будет сохранена хорошая точность при минимальной нагрузке на процессор. Однако не смотря на это всегда имеется вероятность того что слип превысит предельное время и внесет дополнительную погрешность. Код тестировался на 2х ядероном компе с процом core2duo и на старом одноядерном Celeron-е При тестировании интервалов больших 3мс загрузка процессора скачет 1% до 15%, при интервалах больих 10мс в средем чтото около 2-3%. Хуже всего дело обстоит с таймаутами порядка 1мс и менее, загрузка может быть очень большой, так как слип в этом случае не работает, чуть чуть улутшить положение можно если заменить for (i=0;i<YIELD_LOOP;i++) YieldProcessor(); на Sleep(0), будет небольшая потеря точности, на моем компе Sleep(0) работает примерно за 1-2мкс (на старых компах может быть еще больше) когда YIELD_LOOP работает < 1 мкс Данный код может быть использован при написании сетевых приложений, например для того чтобы точно регуоировать скорость выходного трафика.

Vol4ok Ранг: 47.1 (посетитель), 2thx Активность: 0.03↘0 Статус: Участник	Создано: 09 февраля 2010 20:23 · Личное сообщение · #2 DaRKSiDE пишет: Если эти коды будут еще и на асме... будет еще лучше Не вижу смысла писать такие вещи на асме, т. к. гимор >> польза. Следующим полезным кодом которым бы я хотел поделится, это моя реализация спинлоков (некое отдаленное подобие ядерных, только для юзер мода). Реализации возникла в следствии моих исследований по задаче описанной в этом топике. Code: typedef u_long spin_lock_t; void initialize_spinlock(spin_lock_t* lock) { *lock = 0; } void acquire_spinlock(spin_lock_t* lock) { while (InterlockedBitTestAndSet((LONG)lock,0)) Sleep(0); } void* release_spinlock(spin_lock_t* lock) { InterlockedBitTestAndReset((LONG*)lock,0); } Как видно реализация простая как грабли, но зато тесты впечатляют. По-скольку наиболее быстрым аналогом спинлоков в версиях Windows <6 яаляется критическая секция, то сравнения производительности проводятся именно с ней. ------ итак, результаты тестирования для 64 потоков на 2х ядерном компе для обыкновенных критических секций 772.895203 с (суммарное время выполнение всех потоков) 12.076488 с (среднее время выполнения одного потока) для критических секций с оптимально подобранным значением spincount 354.903735 с 5.545371 с для моих спинлоков 110.581553 с 1.727837 с производительность на 220% выше -------- результаты тестирования для 2х потоков на 2х ядерном компе для критических секций с оптимально подобранным значением spincount 3.316628 с 1.658314 с для моих спинлоков 1.062527 с 0.531264 с производительность на 212% выше -------- результаты тестирования для 64 потоков на 1х ядерном компе для критических секций 580.160929 с 9.065015 с для моих спинлоков 494.444996 7.725703 производительность на 17% выше -------- Ес-но использование спинлоков подразумевает короткие обращения к разделяемым ресурсам, иначе их использование не будет оправданным. Я к сожалению пока поленился протестить на моих тестах SRW-локи, которые идут в винде начиная с висты, но на компах с ХП, не вижу реально ничего лучше.
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 10 февраля 2010 11:33 · Поправил: HiEndsoft · Личное сообщение · #3 Code: void WINAPI NtSleepEx(DWORD DurationMs,BOOL Alertable) { struct { DWORD Low; DWORD Hi; } MLI={{-10000DurationMs},{0xFFFFFFFF}}; NtDelayExecution(Alertable,(PLARGE_INTEGER)&MLI); } #define NtSleep(_x) NtSleepEx(_x,0) Code: BOOL WINAPI NtBeep (DWORD* dwFreq, DWORD dwDuration) { HANDLE hBeep; UNICODE_STRING BeepDevice; OBJECT_ATTRIBUTES ObjectAttributes; IO_STATUS_BLOCK IoStatusBlock; if ((dwFreq >= 0x25 && dwFreq <= 0x7FFF) \|\|(dwFreq == 0x0 && dwDuration == 0x0)) { BeepDevice.Buffer=L"\Device\Beep"; BeepDevice.Length=24; BeepDevice.MaximumLength=26; InitializeObjectAttributes(&ObjectAttributes,&BeepDevice,0,NULL,NULL ); if (NT_SUCCESS(NtCreateFile(&hBeep,FILE_READ_DATA \| FILE_WRITE_DATA,&ObjectAttributes,&IoStatusBlock,NULL,0,FILE_SHARE_REA D \| FILE_SHARE_WRITE,FILE_OPEN_IF,0,NULL,0))) { struct { ULONG Frequency; ULONG Duration; } BEEP_SET_PARAMETERS={{dwFreq},{dwDuration}}; if (NT_SUCCESS(NtDeviceIoControlFile(hBeep,NULL,NULL,NULL,&IoStatusBlock, 0x10000,&BEEP_SET_PARAMETERS,sizeof(BEEP_SET_PARAMETERS),NULL,0))) { if ((dwFreq != 0x0 \|\| dwDuration != 0x0) && dwDuration != (DWORD)-1) NtSleepEx(dwDuration,TRUE); NtClose(hBeep); return TRUE; } else return FALSE; } } return FALSE; } ----- продавец резиновых утёнков
multiarc Ранг: 58.1 (постоянный) Активность: 0.03↘0 Статус: Участник	Создано: 10 февраля 2010 14:42 · Поправил: multiarc · Личное сообщение · #4 Code: //выделить и инициализировать блок памяти под код, который будет выполнен по переходу на него из APC, //при любом удалённом вызове, либо при инжекте void * RemoteBuildCode( __in const HANDLE Process, __in_opt const PVOID Params, __in int* paramcount, __in ULONG FunctionAddr, __in_opt HANDLE Event, __in_opt ULONG * result ) { int codesize,i; BYTE *code; void codebase,codeaddr; //HMODULE ntdll; ULONG res,tmp; if (FunctionAddr == 0) return NULL; if (Params == NULL) paramcount = 0; codesize = paramcount5+(Event==NULL?17:57);//13+4(result) codebase = (BYTE* )VirtualAllocEx(Process,NULL,codesize,MEM_COMMIT \| MEM_RESERVE,PAGE_EXECUTE_READWRITE); if (codebase == NULL) return NULL; codeaddr = malloc(codesize); if (codeaddr == NULL) { VirtualFreeEx(Process,codebase,0,MEM_RELEASE); return NULL; } code* = (BYTE )codeaddr; //build params for (i=paramcount-1;i>=0;i--) { code[0] = 0x68;//push dword code* += 1; memcpy(code,&Params[i],4); code += 4; } FunctionAddr -= ((ULONG)codebase+(paramcount+1)5); //build call* function code[0] = 0xE8;//call near relative address code += 1; memcpy(code,&FunctionAddr,4); code += 4; //build store eax(result) in memory code[0] = 0xA3;//mov [mem],eax code += 1; //res = 0xCDCDCDCD; //memcpy((void )((ULONG)codeaddr+codesize - 4),&res,4); res = (ULONG)codebase+codesize - 4; memcpy(code,&res,4); code* += 4; if (Event != NULL) { if (DuplicateHandle(GetCurrentProcess(),Event,Process,&Event,0,FALSE,DUPL ICATE_SAME_ACCESS)) { if (ntdll == NULL) ntdll = GetModuleHandleW(TEXT("ntdll.dll")); if (ntdll != NULL) { //push 0 code[0] = 0x68; code += 1; tmp = 0; memcpy(code,&tmp,4); code += 4; //push Event code[0] = 0x68; code += 1; memcpy(code,&Event,4); code += 4; //call NtSetEvent code[0] = 0xE8; code += 1; FunctionAddr = (ULONG)GetProcAddress(ntdll,"ZwSetEvent"); FunctionAddr -= ((ULONG)codebase+(paramcount+5)5); //((ULONG)codebase+((ULONG)code* - (ULONG)codeaddr)+4) memcpy(code,&FunctionAddr,4); code += 4; //push Event code[0] = 0x68; code += 1; memcpy(code,&Event,4); code += 4; //call NtClose code[0] = 0xE8; code += 1; FunctionAddr = (ULONG)GetProcAddress(ntdll,"ZwClose"); FunctionAddr -= ((ULONG)codebase+(paramcount+7)5); memcpy(code,&FunctionAddr,4); code* += 4; //push 0 code[0] = 0x68; code += 1; memcpy(code,&tmp,4); code += 4; //push 0xFFFFFFFE (Current Thread) code[0] = 0x68; code += 1; tmp = 0xFFFFFFFE; memcpy(code,&tmp,4); code += 4; //call NtSuspendThread code[0] = 0xE8; code += 1; FunctionAddr = (ULONG)GetProcAddress(ntdll,"ZwSuspendThread"); FunctionAddr -= ((ULONG)codebase+(paramcount+10)5); memcpy(code, &FunctionAddr, 4); code* += 4; } } } code[0] = 0xC2;//retn 0xC0 code[1] = 0x0C; code[2] = 0x00; //write builded code WriteProcessMemory(Process,codebase,codeaddr,codesize,NULL); //free code free(codeaddr); if (result != NULL) result = res; return codebase; } Code: //инициализирует список выделенных блоков памяти чужого процесса PMEM InitMemoryList( __in const* HANDLE Process ) { PMEM MemoryList; MemoryList = (PMEM)malloc(sizeof(MEM)); if (MemoryList == NULL) return NULL; DuplicateHandle(GetCurrentProcess(),Process,GetCurrentProcess(),&Memo ryList->Process,0,FALSE,DUPLICATE_SAME_ACCESS); MemoryList->count = 0; MemoryList->mems = NULL; return MemoryList; } //добавляет к списку элемент BOOL AddMemoryList( __in PMEM MemoryList, __in void * mem ) { void *m; m = (PVOID )realloc(MemoryList->mems,(MemoryList->count+1)<<2); if (m == NULL) return FALSE; else MemoryList->mems = m; MemoryList->mems[MemoryList->count] = mem; MemoryList->count++; return TRUE; } //очищает ранее выделенную память в чужом процессе и удаляет список void FreeAllMemoryList( __inout PMEM MemoryList ) { int i; for (i = 0;i<MemoryList->count;i++) VirtualFreeEx(MemoryList->Process,MemoryList->mems[i],0,MEM_RELEASE) ; CloseHandle(MemoryList->Process); free(MemoryList->mems); free(MemoryList); } //возвращает адрес записанного буфера в чужом процессе //с выделением памяти под него void * AllocAndWriteRemoteBuffer( __in const HANDLE Process, __in void * LocalBuffer, __in ULONG size ) { void Buffer; Buffer = VirtualAllocEx(Process,NULL,size,MEM_RESERVE \| MEM_COMMIT,PAGE_READWRITE); if (Buffer == NULL) return NULL; WriteProcessMemory(Process,Buffer,LocalBuffer,size,NULL); return Buffer; } //записывает в чужой процесс структуру ANSI_STRING, используя адрес на строку, и возвращает её адрес //с выделением памяти под неё void* * AllocAndWriteRemoteAnsiString( __in const HANDLE Process, __in const char * AnsiString ) { int len; void String,String_A; len = strlen(AnsiString)+1; String_A = VirtualAllocEx(Process,NULL,sizeof(ANSI_STRING)+len,MEM_COMMIT \| MEM_RESERVE,PAGE_READWRITE); if (String_A == NULL) return NULL; String = (void )((ULONG)String_A+sizeof(ANSI_STRING)); WriteProcessMemory(Process,String,AnsiString,len,NULL); len--; WriteProcessMemory(Process,String_A,&len,2,NULL); len++; WriteProcessMemory(Process,(void* )((ULONG)String_A+2),&len,2,NULL); WriteProcessMemory(Process,(void* )((ULONG)String_A+4),&String,4,NULL); return String_A; } //записывает в чужой процесс структуру UNICODE_STRING, используя адрес на строку, и возвращает её адрес //с выделением памяти под неё void* * AllocAndWriteRemoteUnicodeString( __in const HANDLE Process, __in const wchar_t * UnicodeString ) { int len; void String,String_U; len = (wcslen(UnicodeString)+1)<<1; String_U = VirtualAllocEx(Process,NULL,sizeof(UNICODE_STRING)+len,MEM_COMMIT \| MEM_RESERVE,PAGE_READWRITE); if (String_U == NULL) return NULL; String = (void )((ULONG)String_U+sizeof(UNICODE_STRING)); WriteProcessMemory(Process,String,UnicodeString,len,NULL); len-=2; WriteProcessMemory(Process,String_U,&len,2,NULL); len+=2; WriteProcessMemory(Process,(void* )((ULONG)String_U+2),&len,2,NULL); WriteProcessMemory(Process,(void* )((ULONG)String_U+4),&String,4,NULL); return String_U; } //записывает С ANSI строку в чужой процесс //с выделением памяти под неё void* * AllocAndWriteNullTerminatedAnsiString( __in const HANDLE Process, __in const char * AnsiString ) { int len; void * String; len = strlen(AnsiString)+1; String = VirtualAllocEx(Process,NULL,len,MEM_RESERVE \| MEM_COMMIT,PAGE_READWRITE); if (String == NULL) return NULL; WriteProcessMemory(Process,String,AnsiString,len,NULL); return String; } //записывает С UNICODE строку в чужой процесс //с выделением памяти под неё void * AllocAndWriteNullTerminatedUnicodeString( __in const HANDLE Process, __in const wchar_t * UnicodeString ) { int len; void * String; len = (wcslen(UnicodeString)+1)<<1; String = VirtualAllocEx(Process,NULL,len,MEM_RESERVE \| MEM_COMMIT,PAGE_READWRITE); if (String == NULL) return NULL; WriteProcessMemory(Process,String,UnicodeString,len,NULL); return String; } //реаллоцирует ранее выделенный блок памяти (уменьшает или увеличивает размер блока, с сохранением данных) //или создаёт (выделяет) новый блок памяти void * ReVirtualAlloc( __in_opt void * Mem, __in int oldsize, __in int newsize, __in DWORD fprotect) { void * NewMem; if (oldsize == newsize && Mem != NULL) return Mem; NewMem = VirtualAlloc(NULL,newsize,MEM_COMMIT,fprotect); if (Mem == NULL) return NewMem; else { if (oldsize != 0) if (oldsize <= newsize) memcpy(NewMem,Mem,oldsize); else memcpy(NewMem,Mem,newsize); VirtualFree(Mem,0,MEM_RELEASE); return NewMem; } } Code: //включение/отключение установленной привилегии в процессе BOOL SetPrivilege( __in const wchar_t * PrivilegeName, __in BOOL Enabled ) { HANDLE token; ULONG cb; TOKEN_PRIVILEGES tkp; if (!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&token) ) return FALSE; if (!LookupPrivilegeValueW(NULL,PrivilegeName,&tkp.Privileges[0].Luid)) return FALSE; tkp.PrivilegeCount = 1; if (Enabled) tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; else tkp.Privileges[0].Attributes = 0; cb = 0; if (!AdjustTokenPrivileges(token,FALSE,&tkp,sizeof(tkp),NULL,&cb)) return FALSE; CloseHandle(token); return TRUE; } Code: //получает адрес процедуры в нужной библиотеке в чужом процессе (удалённый аналог kernel32!GetProcAddress()) FARPROC __stdcall RemoteGetProcAddress( __in const HANDLE Process, __in const HMODULE LibraryBase, __in const char * Function ) { void funcname_A, addr; PVOID * Params; FARPROC result; //get function base in process address space funcname_A = AllocAndWriteRemoteAnsiString(Process,Function); addr = VirtualAllocEx(Process,NULL,4,MEM_COMMIT \| MEM_RESERVE,PAGE_READWRITE); if (addr==NULL) { VirtualFreeEx(Process,funcname_A,0,MEM_RELEASE); return 0; } Params = (PVOID )calloc(4,4); if (Params == NULL) { VirtualFreeEx(Process,addr,0,MEM_RELEASE); VirtualFreeEx(Process,funcname_A,0,MEM_RELEASE); return 0; } Params[0] = LibraryBase; Params[1] = funcname_A; Params[2] = NULL; Params[3] = addr*; RemoteCallSystem(Process,TEXT("ntdll.dll"),"LdrGetProcedureAddress",P arams,4); free(Params); ReadProcessMemory(Process,addr,&result,4,NULL); VirtualFreeEx(Process,funcname_A,0,MEM_RELEASE); VirtualFreeEx(Process,addr,0,MEM_RELEASE); return result; }
multiarc Ранг: 58.1 (постоянный) Активность: 0.03↘0 Статус: Участник	Создано: 10 февраля 2010 15:01 · Поправил: multiarc · Личное сообщение · #5 Code: //удалённое получение базы модуля с именем (удалённый аналог kernel32!GetModuleHandleW()) HMODULE RemoteGetDllHandle( __in const HANDLE Process, __in const wchar_t DllName ) { void* libname_U, lib, libpath; PVOID params; HMODULE result; int len; wchar_t Path,FileName; if (ntdll == NULL) ntdll = GetModuleHandleW(TEXT("ntdll.dll")); if (ntdll==NULL) return 0; len = wcslen(DllName)<<1; Path = (wchar_t )malloc(len+2); if (Path == NULL) return 0; FileName = (wchar_t )malloc(len+2); if (FileName == NULL) { free(Path); return 0; } if (SplitPathFileNameW(DllName,Path,FileName)) { libpath = AllocAndWriteNullTerminatedUnicodeString(Process,Path); } else { libpath = NULL; } free(Path); libname_U = AllocAndWriteRemoteUnicodeString(Process,FileName); if (libname_U == NULL) return NULL; free(FileName); lib = VirtualAllocEx(Process,NULL,4,MEM_COMMIT \| MEM_RESERVE, PAGE_READWRITE); if (lib == NULL) { VirtualFreeEx(Process,libname_U,0,MEM_RELEASE); if (libpath != NULL) VirtualFreeEx(Process,libpath,0,MEM_RELEASE); return 0; } params = (PVOID )calloc(4,4); if (params == NULL) { VirtualFreeEx(Process,libname_U,0,MEM_RELEASE); if (libpath != NULL) VirtualFreeEx(Process,libpath,0,MEM_RELEASE); VirtualFreeEx(Process,lib,0,MEM_RELEASE); return 0; } params[0] = libpath; params[1] = NULL; params[2] = libname_U; params[3] = lib; RemoteCallSystem(Process,TEXT("ntdll.dll"),"LdrGetDllHandle",params,4 ); ReadProcessMemory(Process,lib,&result,4,NULL); VirtualFreeEx(Process,libname_U,0,MEM_RELEASE); if (libpath != NULL) VirtualFreeEx(Process,libpath,0,MEM_RELEASE); VirtualFreeEx(Process,lib,0,MEM_RELEASE); free(params); return result; } Code: ULONG InjectLibraryToProcessExRT( __in const* HANDLE Process, __in const wchar_t * Library ) { void DllHandle, PathBufPtr, NameBufPtr_U; ULONG result; PVOID Params; //HANDLE Process; size_t len,fulllen; wchar_t Path,FileName,PATH; len = wcslen(Library)<<1; Path = (wchar_t )malloc(len+2); if (Path == NULL) return 0; FileName = (wchar_t )malloc(len+2); if (FileName == NULL) { free(Path); return 0; } if (SplitPathFileNameW(Library,Path,FileName)) { //Получить переменную path и передать для подгрузки длл дополнительно с путём местанахождения //это нужно для подгрузки например ещё не подгруженой advapi.dll, kernel32.dll //используется нативный трэд для внедрения в процесс, т.е. используется только //ntdll.dll //================================================================== ================== len = GetEnvironmentVariableW(TEXT("PATH"),NULL,0)<<1; fulllen = len+((wcslen(Path)+1)<<1); PATH = (wchar_t )realloc(Path,fulllen); if (PATH != NULL) Path = PATH; PATH = (wchar_t )malloc(len); if (PATH == NULL) { free(Path); return 0; } GetEnvironmentVariableW(TEXT("PATH"),PATH,(len+1)>>1); wcscat_s(Path,fulllen>>1,TEXT(";")); wcscat_s(Path,fulllen>>1,PATH); //================================================================== ================== PathBufPtr = AllocAndWriteNullTerminatedUnicodeString(Process,Path); if (PathBufPtr == NULL) { free(Path); free(PATH); return 0; } free(PATH); } else { PathBufPtr = NULL; } free(Path); DllHandle = VirtualAllocEx(Process,NULL,4,MEM_COMMIT \| MEM_RESERVE,PAGE_READWRITE); if (DllHandle == NULL) { if (PathBufPtr != NULL) VirtualFreeEx(Process,PathBufPtr,0,MEM_RELEASE); free(FileName); return 0; } NameBufPtr_U = AllocAndWriteRemoteUnicodeString(Process,FileName); if (NameBufPtr_U == NULL) { if (PathBufPtr != NULL) VirtualFreeEx(Process,PathBufPtr,0,MEM_RELEASE); VirtualFreeEx(Process,DllHandle,0,MEM_RELEASE); return 0; } free(FileName); Params = (PVOID )calloc(4,4); if (Params == NULL) { VirtualFreeEx(Process,NameBufPtr_U,0,MEM_RELEASE); if (PathBufPtr != NULL) VirtualFreeEx(Process,PathBufPtr,0,MEM_RELEASE); VirtualFreeEx(Process,DllHandle,0,MEM_RELEASE); return 0; } Params[0] = PathBufPtr; Params[1] = NULL; Params[2] = NameBufPtr_U; Params[3] = DllHandle; RemoteCallSystem(Process,TEXT("ntdll.dll"),"LdrLoadDll",Params,4); ReadProcessMemory(Process,DllHandle,&result,4,NULL); VirtualFreeEx(Process,DllHandle,0,MEM_RELEASE); VirtualFreeEx(Process,NameBufPtr_U,0,MEM_RELEASE); if (PathBufPtr != NULL) VirtualFreeEx(Process,PathBufPtr,0,MEM_RELEASE); free(Params); return result; } Code: //так же желательно сделать все вызовы нативными, для возможности инжекта так же в графическую подсистему csrss! //Инжект себя в любой (даже привилегированный процесс), кроме csrss и тех, что защищены альтернативными методами: //неоторые антивирусы, (audiodg.exe в Win 7 и Vista) и т.д. ULONG InjectSelfToProcessExRT( __in const HANDLE Process ) { void DllHandle, PathBufPtr, NameBufPtr_U; ULONG result; PVOID Params; //HANDLE Process; size_t len,fulllen; wchar_t Path,FileName,PATH; len = wcslen(ModulePath)<<1; Path = (wchar_t )malloc(len+2); if (Path == NULL) return 0; FileName = (wchar_t )malloc(len+2); if (FileName == NULL) { free(Path); return 0; } if (SplitPathFileNameW(ModulePath,Path,FileName)) { //Получить переменную path и передать для подгрузки длл дополнительно с путём местанахождения //это нужно для подгрузки например ещё не подгруженой advapi.dll, kernel32.dll //используется нативный трэд для внедрения в процесс, т.е. используется только //ntdll.dll //================================================================== ================== len = GetEnvironmentVariableW(TEXT("PATH"),NULL,0)<<1; fulllen = len+((wcslen(Path)+1)<<1); PATH = (wchar_t )realloc(Path,fulllen); if (PATH != NULL) Path = PATH; PATH = (wchar_t )malloc(len); if (PATH == NULL) { free(Path); return 0; } GetEnvironmentVariableW(TEXT("PATH"),PATH,(len+1)>>1); wcscat_s(Path,fulllen>>1,TEXT(";")); wcscat_s(Path,fulllen>>1,PATH); //================================================================== ================== PathBufPtr = AllocAndWriteNullTerminatedUnicodeString(Process,Path); if (PathBufPtr == NULL) { free(Path); free(PATH); return 0; } free(PATH); } else { PathBufPtr = NULL; } free(Path); DllHandle = VirtualAllocEx(Process,NULL,4,MEM_COMMIT \| MEM_RESERVE,PAGE_READWRITE); if (DllHandle == NULL) { if (PathBufPtr != NULL) VirtualFreeEx(Process,PathBufPtr,0,MEM_RELEASE); free(FileName); return 0; } NameBufPtr_U = AllocAndWriteRemoteUnicodeString(Process,FileName); if (NameBufPtr_U == NULL) { if (PathBufPtr != NULL) VirtualFreeEx(Process,PathBufPtr,0,MEM_RELEASE); VirtualFreeEx(Process,DllHandle,0,MEM_RELEASE); return 0; } free(FileName); Params = (PVOID )calloc(4,4); if (Params == NULL) { VirtualFreeEx(Process,NameBufPtr_U,0,MEM_RELEASE); if (PathBufPtr != NULL) VirtualFreeEx(Process,PathBufPtr,0,MEM_RELEASE); VirtualFreeEx(Process,DllHandle,0,MEM_RELEASE); return 0; } Params[0] = PathBufPtr; Params[1] = NULL; Params[2] = NameBufPtr_U; Params[3] = DllHandle; RemoteCallSystem(Process,TEXT("ntdll.dll"),"LdrLoadDll",Params,4); ReadProcessMemory(Process,DllHandle,&result,4,NULL); VirtualFreeEx(Process,DllHandle,0,MEM_RELEASE); VirtualFreeEx(Process,NameBufPtr_U,0,MEM_RELEASE); if (PathBufPtr != NULL) VirtualFreeEx(Process,PathBufPtr,0,MEM_RELEASE); free(Params); return result; } Code: BOOL RemoteCallApcEx( __in const HANDLE Process, __in const HANDLE Thread, __in const FARPROC Function, __in_opt const PVOID * Params, __in int paramcount, __inout PMEM MemoryList, __in_opt HANDLE Event, __out_opt ULONG result ) { void codebase; //HMODULE ntdll; if (MemoryList == NULL) return FALSE; if (MemoryList == NULL) MemoryList = InitMemoryList(Process); if (MemoryList == NULL) return FALSE; if (ntdll == NULL) ntdll = GetModuleHandleW(TEXT("ntdll.dll")); if (ntdll==NULL) return FALSE; codebase = RemoteBuildCode(Process,Params,paramcount,(ULONG)Function,Event,result ); if (codebase == NULL) return FALSE; AddMemoryList(MemoryList,codebase); //=================================================================== ================================================ //Queue Asyncronous Procedure Call* in created thread ZwQueueApcThread(Thread,(PIO_APC_ROUTINE)codebase,NULL,NULL,0); //start thread (calling APC) //ResumeThread(Thread); //waiting to thread finish //apc calls -- no wait... need alternative path to wait apc to free allocated memory //WaitForSingleObject(Thread,INFINITE); //reading result //ReadProcessMemory(Process,(LPCVOID)result,&result,4,NULL); //VirtualFreeEx(Process,codebase,0,MEM_RELEASE); //CloseHandle(hthread); return TRUE; }
multiarc Ранг: 58.1 (постоянный) Активность: 0.03↘0 Статус: Участник	Создано: 10 февраля 2010 15:03 · Личное сообщение · #6 Code: //удалённый вызов, используя APC очередь уже созданного потока (например первый поток приложения) BOOL RemoteCallApc( __in const HANDLE Process, __in const HANDLE Thread, __in const wchar_t * Library, __in const char * Function, __in_opt const PVOID * Params, __in int paramcount, __inout PMEM MemoryList, __in_opt HANDLE Event, __out_opt ULONG result ) { void codebase, libaddr; //HMODULE ntdll; if (MemoryList == NULL) return FALSE; if (MemoryList == NULL) MemoryList = InitMemoryList(Process); if (MemoryList == NULL) return FALSE; if (ntdll == NULL) ntdll = GetModuleHandleW(TEXT("ntdll.dll")); if (ntdll==NULL) return FALSE; //get library* base in process address space //need TEST!!! libaddr = RemoteGetDllHandle(Process,Library); if (libaddr == NULL) return FALSE; //eval function address //need TEST!!! codebase = RemoteBuildCode(Process,Params,paramcount,(ULONG)RemoteGetProcAddress( Process,(HMODULE)libaddr,Function),Event,result); if (codebase == NULL) return FALSE; AddMemoryList(MemoryList,codebase); //=================================================================== ================================================ //Queue Asyncronous Procedure Call* in created thread ZwQueueApcThread(Thread,(PIO_APC_ROUTINE)codebase,NULL,NULL,0); //start thread (calling APC) //ResumeThread(Thread); //waiting to thread finish //apc calls -- no wait... need alternative path to wait apc to free allocated memory //WaitForSingleObject(Thread,INFINITE); //reading result //ReadProcessMemory(Process,(LPCVOID)result,&result,4,NULL); //VirtualFreeEx(Process,codebase,0,MEM_RELEASE); //CloseHandle(hthread); return TRUE; } Code: ULONG RemoteCallEx( __in const HANDLE Process, __in const FARPROC Function, __in_opt const PVOID * Params, __in int paramcount ) { void codebase; ULONG result,StackReserved,StackCommit; CLIENT_ID cid; //HMODULE ntdll; HANDLE hthread; //Process = OpenProcess(PROCESS_ALL_ACCESS,FALSE,ProcessId); //if (Process == NULL) // return 0; if (ntdll == NULL) ntdll = GetModuleHandleW(TEXT("ntdll.dll")); if (ntdll == NULL) return 0; //eval function address, build code* in process codebase = RemoteBuildCode(Process,Params,paramcount,(ULONG)Function,NULL,&result ); if (codebase == NULL) return 0; //Create Thread StackReserved = 0; StackCommit = 0; if (!NT_SUCCESS(RtlCreateUserThread(Process,NULL,TRUE,0,&StackReserved,&S tackCommit,GetProcAddress(ntdll,"RtlExitUserThread"),NULL,&hthread,&ci d))) { VirtualFreeEx(Process,codebase,0,MEM_RELEASE); return 0; } //Queue Asyncronous Procedure Call in created thread ZwQueueApcThread(hthread,(PIO_APC_ROUTINE)codebase,NULL,NULL,0); //start thread (calling APC) ResumeThread(hthread); //waiting to thread finish WaitForSingleObject(hthread,INFINITE); //reading result ReadProcessMemory(Process,(LPCVOID)result,&result,4,NULL); VirtualFreeEx(Process,codebase,0,MEM_RELEASE); CloseHandle(hthread); return result; } Code: //удалённый вызов //работает с любыми библиотеками, загруженными в адресное пространство любого процесса ULONG RemoteCall( __in const HANDLE Process, __in const wchar_t * Library, __in const char * Function, __in_opt const PVOID * Params, __in int paramcount ) { void codebase, libaddr; ULONG result,StackReserved,StackCommit; CLIENT_ID cid; //HMODULE ntdll; HANDLE hthread; //Process = OpenProcess(PROCESS_ALL_ACCESS,FALSE,ProcessId); //if (Process == NULL) // return 0; if (ntdll == NULL) ntdll = GetModuleHandleW(TEXT("ntdll.dll")); if (ntdll == NULL) return 0; //get library base in process address space libaddr = RemoteGetDllHandle(Process,Library); if (libaddr == NULL) return 0; //eval function address, build code in process codebase = RemoteBuildCode(Process,Params,paramcount,(ULONG)RemoteGetProcAddress( Process,(HMODULE)libaddr,Function),NULL,&result); if (codebase == NULL) return 0; //Create Thread StackReserved = 0; StackCommit = 0; if (!NT_SUCCESS(RtlCreateUserThread(Process,NULL,TRUE,0,&StackReserved,&S tackCommit,GetProcAddress(ntdll,"RtlExitUserThread"),NULL,&hthread,&ci d))) { VirtualFreeEx(Process,codebase,0,MEM_RELEASE); return 0; } //Queue Asyncronous Procedure Call in created thread ZwQueueApcThread(hthread,(PIO_APC_ROUTINE)codebase,NULL,NULL,0); //start thread (calling APC) ResumeThread(hthread); //waiting to thread finish WaitForSingleObject(hthread,INFINITE); //reading result ReadProcessMemory(Process,(LPCVOID)result,&result,4,NULL); VirtualFreeEx(Process,codebase,0,MEM_RELEASE); CloseHandle(hthread); return result; } Code: ULONG RemoteCallSystemEx( __in const HANDLE Process, __in const FARPROC Function, __in_opt const PVOID * Params, __in int paramcount ) { void codebase; ULONG result,StackReserved,StackCommit; CLIENT_ID cid; HANDLE hthread; ULONG state; if (ntdll == NULL) ntdll = GetModuleHandleW(TEXT("ntdll.dll")); if (ntdll == NULL) return 0; codebase = RemoteBuildCode(Process,Params,paramcount,(ULONG)Function,NULL,&result ); if (codebase == NULL) return 0; //Create Thread StackReserved = 0; StackCommit = 0; if (!NT_SUCCESS(RtlCreateUserThread(Process,NULL,TRUE,0,&StackReserved,&S tackCommit,GetProcAddress(ntdll,"RtlExitUserThread"),NULL,&hthread,&ci d))) { VirtualFreeEx(Process,codebase,0,MEM_RELEASE); return 0; } //Queue Asyncronous Procedure Call* in created thread ZwQueueApcThread(hthread,(PIO_APC_ROUTINE)codebase,NULL,NULL,0); //start thread (calling APC) ResumeThread(hthread); //waiting to thread finish WaitForSingleObjectEx(hthread,INFINITE,TRUE); GetExitCodeThread(hthread,&state); //reading result ReadProcessMemory(Process,(LPCVOID)result,&result,4,NULL); VirtualFreeEx(Process,codebase,0,MEM_RELEASE); CloseHandle(hthread); return result; } Code: //удалённый вызов //работает только с библиотеками, которые загружены по одному адресу в разных процессах //обычно так загружены все системные библиотеки ULONG RemoteCallSystem( __in const HANDLE Process, __in const wchar_t * Library, __in const char * Function, __in_opt const PVOID * Params, __in int paramcount ) { void codebase; ULONG result,StackReserved,StackCommit; CLIENT_ID cid; HMODULE lib; HANDLE hthread; ULONG state; if (ntdll == NULL) ntdll = GetModuleHandleW(TEXT("ntdll.dll")); if (ntdll == NULL) return 0; lib = GetModuleHandleW(Library); if (lib == NULL) return 0; codebase = RemoteBuildCode(Process,Params,paramcount,(ULONG)GetProcAddress(lib,Fu nction),NULL,&result); if (codebase == NULL) return 0; //Create Thread StackReserved = 0; StackCommit = 0; if (!NT_SUCCESS(RtlCreateUserThread(Process,NULL,TRUE,0,&StackReserved,&S tackCommit,GetProcAddress(ntdll,"RtlExitUserThread"),NULL,&hthread,&ci d))) { VirtualFreeEx(Process,codebase,0,MEM_RELEASE); return 0; } //Queue Asyncronous Procedure Call* in created thread ZwQueueApcThread(hthread,(PIO_APC_ROUTINE)codebase,NULL,NULL,0); //start thread (calling APC) ResumeThread(hthread); //waiting to thread finish WaitForSingleObjectEx(hthread,INFINITE,TRUE); GetExitCodeThread(hthread,&state); //reading result ReadProcessMemory(Process,(LPCVOID)result,&result,4,NULL); VirtualFreeEx(Process,codebase,0,MEM_RELEASE); CloseHandle(hthread); return result; }
multiarc Ранг: 58.1 (постоянный) Активность: 0.03↘0 Статус: Участник	Создано: 10 февраля 2010 15:05 · Личное сообщение · #7 Code: //структура хранящая указатели на выделенные куски памяти в другом процессе, для их последующего завершения typedef struct _MEM { int count; HANDLE Process; void ** mems; } MEM,PMEM; //опкоды инструкций static const* BYTE mov_esp_eax[] = {0x89,0x84,0x24};//mov dword ptr [esp-(param_c+1)4], eax static const* BYTE mov_esp_ecx[] = {0x89,0x8C,0x24};//mov dword ptr [esp-(param_c+2)4], ecx static const* BYTE mov_ecx_num[] = {0xB9};//mov ecx, 5 static const BYTE mov_eax_num[] = {0xB8};//mov eax, 10 static const BYTE jmp_[] = {0xE9};//jmp addr_rel static const BYTE call_[] = {0xE8};//call addr_rel static const BYTE jmp_far[] = {0xEA};//jmp far addr_abs static const BYTE ret_st[] = {0xC2};//ret num static const BYTE ret_[] = {0xC3};//ret static const BYTE push_[] = {0x68};//push dword static const BYTE int_3_[] = {0xCC};//int 3 static const BYTE nop_[] = {0x90};//nop static const BYTE pushad_[] = {0x60};//pushad
Ara Ранг: 1288.1 (!!!!), 273thx Активность: 1.29↘0 Статус: Участник	Создано: 10 февраля 2010 15:36 · Личное сообщение · #8 норм, готовый конструктор вирусов выложил
Vol4ok Ранг: 47.1 (посетитель), 2thx Активность: 0.03↘0 Статус: Участник	Создано: 10 февраля 2010 18:21 · Поправил: Vol4ok · Личное сообщение · #9 Реализация двусвязных списков, аналогичных ядерным, но для юзермода, написаны с использовании моих спинлоков, код которых описан выше. В качестве мануала по использованию можно читать WDK, все входные и выходные данные совпадают Code: typedef struct _list_entry_t { struct _list_entry_t flink; struct _list_entry_t blink; } list_entry_t; #define is_list_empty(list_head) ((list_head)->flink == (list_head)) void initialize_list_head(list_entry_t* list_head) { list_head->flink = list_head->blink = list_head; } bool remove_entry_list(list_entry_t* entry) { list_entry_t* blink; list_entry_t* flink; flink = entry->flink; blink = entry->blink; blink->flink = flink; flink->blink = blink; return (flink == blink); } list_entry_t* remove_head_list(list_entry_t* list_head) { list_entry_t* flink; list_entry_t* entry; entry = list_head->flink; flink = entry->flink; list_head->flink = flink; flink->blink = list_head; return entry; } list_entry_t* remove_tail_list(list_entry_t* list_head) { list_entry_t* blink; list_entry_t* entry; entry = list_head->blink; blink = entry->blink; list_head->blink = blink; blink->flink = list_head; return entry; } void insert_tail_list(list_entry_t* list_head, list_entry_t* entry) { list_entry_t* blink; blink = list_head->blink; entry->flink = list_head; entry->blink = blink; blink->flink = entry; list_head->blink = entry; } void __forceinline insert_head_list(list_entry_t* list_head, list_entry_t* entry) { list_entry_t* flink; flink = list_head->flink; entry->flink = flink; entry->blink = list_head; flink->blink = entry; list_head->flink = entry; } void interlocked_insert_head_list(list_entry_t* list_head, list_entry_t* list_entry, spin_lock_t* lock) { acquire_spinlock(lock); insert_head_list(list_head,list_entry); release_spinlock(lock); } void interlocked_insert_tail_list(list_entry_t* list_head, list_entry_t* list_entry, spin_lock_t* lock) { acquire_spinlock(lock); insert_tail_list(list_head,list_entry); release_spinlock(lock); } list_entry_t* interlocked_remove_head_list(list_entry_t* list_head, spin_lock_t* lock) { list_entry_t* entry; acquire_spinlock(lock); entry = remove_head_list(list_head); release_spinlock(lock); return entry; } list_entry_t* interlocked_remove_tail_list(list_entry_t* list_head, spin_lock_t* lock) { list_entry_t* entry; acquire_spinlock(lock); entry = remove_tail_list(list_head); release_spinlock(lock); return entry; }
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 10 февраля 2010 18:48 · Личное сообщение · #10 multiarc > так же желательно сделать все вызовы нативными, для возможности инжекта так же в графическую подсистему csrss! Нэйтив юзается изза следующих причин: o Самодостаточный код(вызов непосредственно через шлюзы). o Если не достаточно функционала более высокоуровневого кода. csrss это обычный гуи-процесс. > получает адрес процедуры в нужной библиотеке в чужом процессе Для этого есть системные апи, например RtlQueryProcessDebugInformation().
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 10 февраля 2010 23:01 · Личное сообщение · #11 Хорош оффтопить уже, ближе к теме давайте, не захламляйте потенциально полезный топик, буду удалять.
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 11 февраля 2010 10:22 · Личное сообщение · #12 Замудреный юзермодный протектор от удаленных потоков (натив) 3726_10.02.2010_CRACKLAB.rU.tgz - InjProt.7z ----- продавец резиновых утёнков
Twister Ранг: 11.1 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 11 февраля 2010 11:15 · Поправил: Twister · Личное сообщение · #13 HiEndsoft 1. GetProcAddressEx() не учитывает того, что возможен IAT-перехват искомой функции. Если это случится, все пойдет прахом. 2. Обработчик NewNtCreateThread() не учитывает того, что в PCLIENT_ID a5 может быть передан NULL. Сами знаете, чем такое закончится. 3. Внутри программы сервис NtCreateThread() может быть вызван напрямую в обход ntdll. В этом случае ваш алгоритм не распознает свой поток и прибъет его.
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 11 февраля 2010 11:19 · Поправил: HiEndsoft · Личное сообщение · #14 Clerk NtQueryVirtualMemory - тоже функция ничего для получения карты памяти процесса Twister Панацей не бывает в юзермоде (и даже практически в ядре) + Код делался для собственных целей для псевдозащиты cssrs тонкости там сами понимаете какие. Винду придумали-это хорошо, но идиоты - это плохо. ----- продавец резиновых утёнков
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 11 февраля 2010 12:32 · Поправил: Модератор · Личное сообщение · #15 давайте биже к теме и без перехода на личности ----- [nice coder and reverser]
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 11 февраля 2010 13:30 · Поправил: HiEndsoft · Личное сообщение · #16 Либа для работы с частотниками Mitsubishi по RS485. (сорцы Си 6) d31f_11.02.2010_CRACKLAB.rU.tgz - watersky.7z ----- продавец резиновых утёнков
Valemox Ранг: 116.5 (ветеран), 3thx Активность: 0.07↘0 Статус: Участник	Создано: 12 февраля 2010 00:44 · Поправил: Valemox · Личное сообщение · #17 HiEndsoft пишет: Замудреный юзермодный протектор от удаленных потоков HiEndsoft, хотел собрать либ и поюзать, но чота не нашлось ntundoc хидера, мож поделишся? ЗЫ. HiEndsoft, спс
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 12 февраля 2010 01:10 · Поправил: Clerk · Личное сообщение · #18 HiEndsoft > NtQueryVirtualMemory - тоже функция ничего для получения карты памяти процесса Согласен, но причём тут это ? > Замудреный юзермодный протектор от удаленных потоков (натив) Сложный != эффективный. Code: Запуск пользовательского потока в обход перехвата диспетчера APC(R3). o Восстанавливаем RtlpCalloutEntryList, для исключения глобальных VEH. o Создаём удалённый поток. o Формируем SEH-фрейм. o Взводим TF в контексте. Поток стартует с взведённым TF. После исполнения первой инструкции диспетчера апк(KiUserApcDispatcher()) генерируется трассировочное исключение. Управление получает диспетчер исключений(KiUserExceptionDispatch er()). Векторные обработчики не вызываются(RtlCallVectoredExceptionHandlers()). Вызывается установленный SEH. Если диспетчер APC захвачен сплайсингом, останов генерируется после исполнения джампа. Если диспетч ер APC перенаправлен на диспетчер исключений, посредством установки точки останова, прежде будет вызван SEH(если хэндлер установлен как VEH). - Тэги только у меня не робят, тогда как цитировать ?
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 12 февраля 2010 08:20 · Личное сообщение · #19 Valemox пишет: хотел собрать либ и поюзать, но чота не нашлось ntundoc хидера, мож поделишся? в аттаче Clerk ты прав f3ca_11.02.2010_CRACKLAB.rU.tgz - ntundoc.h ----- продавец резиновых утёнков
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 12 февраля 2010 19:36 · Поправил: Clerk · Личное сообщение · #20 Coderess Значит я не правильно понял, пенгвинчег - Трушный хидер(avrf, [FLG_APPLICATION_VERIFIER, VerifierDlls]): Code: ; Application verifier types needed by provider dlls DLL_PROCESS_VERIFIER equ* 4 comment ' typedef VOID (NTAPI * RTL_VERIFIER_DLL_LOAD_CALLBACK) ( PWSTR DllName, PVOID DllBase, SIZE_T DllSize, PVOID Reserved ); typedef VOID (NTAPI * RTL_VERIFIER_DLL_UNLOAD_CALLBACK) ( PWSTR DllName, PVOID DllBase, SIZE_T DllSize, PVOID Reserved ); typedef VOID (NTAPI * RTL_VERIFIER_NTDLLHEAPFREE_CALLBACK) ( PVOID AllocationBase, SIZE_T AllocationSize ); ' ; AVrfpNtdllThunks ; Ноль в конце списка. ; RTL_VERIFIER_THUNK_DESCRIPTOR struct ThunkName PCHAR ? ; Имя экспорта. ThunkOldAddress PVOID ? ; Адрес экспорта. ThunkNewAddress PVOID ? ; Адрес обработчика. RTL_VERIFIER_THUNK_DESCRIPTOR ends PRTL_VERIFIER_THUNK_DESCRIPTOR typedef ptr RTL_VERIFIER_THUNK_DESCRIPTOR ; AVrfpExportDlls ; ; Ноль в конце списка. RTL_VERIFIER_DLL_DESCRIPTOR struct DllName PWCHAR ? DllFlags ULONG ? DllAddress PVOID ? DllThunks PRTL_VERIFIER_THUNK_DESCRIPTOR ? ; Указатель на массив описателей, ptr AVrfpNtdllThunks RTL_VERIFIER_DLL_DESCRIPTOR ends PRTL_VERIFIER_DLL_DESCRIPTOR typedef ptr RTL_VERIFIER_DLL_DESCRIPTOR ; В InitRoutine.Context возвращается эта структура. ; RTL_VERIFIER_PROVIDER_DESCRIPTOR struct ; Filled by verifier provider DLL _Length ULONG ? ; 0x1C ! ProviderDlls PRTL_VERIFIER_DLL_DESCRIPTOR ? ProviderDllLoadCallback PVOID ? ; RTL_VERIFIER_DLL_LOAD_CALLBACK ProviderDllUnloadCallback PVOID ? ; RTL_VERIFIER_DLL_UNLOAD_CALLBACK ; Filled by verifier engine VerifierImage PWSTR ? VerifierFlags ULONG ? VerifierDebug ULONG ? ;RtlpGetStackTraceAddress PVOID ? ;RtlpDebugPageHeapCreate PVOID ? ;RtlpDebugPageHeapDestroy PVOID ? ; Filled by verifier provider DLL ;ProviderNtdllHeapFreeCallback PVOID ? ; RTL_VERIFIER_NTDLLHEAPFREE_CALLBACK RTL_VERIFIER_PROVIDER_DESCRIPTOR ends PRTL_VERIFIER_PROVIDER_DESCRIPTOR typedef ptr RTL_VERIFIER_PROVIDER_DESCRIPTOR ; Private. ; -> [ntdll!AVrfpVerifierProvidersList] PROVIDER_ENTRY struct Link LIST_ENTRY <> DllName UNICODE_STRING <> DllBase PVOID ? EntryPoint PVOID ? ExportDlls PRTL_VERIFIER_DLL_DESCRIPTOR ? ; Указатель на массив описателей, ptr AVrfpExportDlls Undef1 DD ? Undef2 DD ? PROVIDER_ENTRY ends ; Application verifier standard flags RTL_VRF_FLG_FULL_PAGE_HEAP equ 00000001H RTL_VRF_FLG_RESERVED_DONOTUSE equ 00000002H ; old RTL_VRF_FLG_LOCK_CHECKS RTL_VRF_FLG_HANDLE_CHECKS equ 00000004H RTL_VRF_FLG_STACK_CHECKS equ 00000008H RTL_VRF_FLG_APPCOMPAT_CHECKS equ 00000010H RTL_VRF_FLG_TLS_CHECKS equ 00000020H RTL_VRF_FLG_DIRTY_STACKS equ 00000040H RTL_VRF_FLG_RPC_CHECKS equ 00000080H RTL_VRF_FLG_COM_CHECKS equ 00000100H RTL_VRF_FLG_DANGEROUS_APIS equ 00000200H RTL_VRF_FLG_RACE_CHECKS equ 00000400H RTL_VRF_FLG_DEADLOCK_CHECKS equ 00000800H RTL_VRF_FLG_FIRST_CHANCE_EXCEPTION_CHECKS equ 00001000H RTL_VRF_FLG_VIRTUAL_MEM_CHECKS equ 00002000H RTL_VRF_FLG_ENABLE_LOGGING equ 00004000H RTL_VRF_FLG_FAST_FILL_HEAP equ 00008000H RTL_VRF_FLG_VIRTUAL_SPACE_TRACKING equ 00010000H RTL_VRF_FLG_ENABLED_SYSTEM_WIDE equ 00020000H RTL_VRF_FLG_MISCELLANEOUS_CHECKS equ 00020000H RTL_VRF_FLG_LOCK_CHECKS equ 00040000H ; Application verifier standard stop codes APPLICATION_VERIFIER_INTERNAL_ERROR equ 80000000H APPLICATION_VERIFIER_INTERNAL_WARNING equ 40000000H APPLICATION_VERIFIER_NO_BREAK equ 20000000H APPLICATION_VERIFIER_CONTINUABLE_BREAK equ 10000000H APPLICATION_VERIFIER_UNKNOWN_ERROR equ 0001H APPLICATION_VERIFIER_ACCESS_VIOLATION equ 0002H APPLICATION_VERIFIER_UNSYNCHRONIZED_ACCESS equ 0003H APPLICATION_VERIFIER_EXTREME_SIZE_REQUEST equ 0004H APPLICATION_VERIFIER_BAD_HEAP_HANDLE equ 0005H APPLICATION_VERIFIER_SWITCHED_HEAP_HANDLE equ 0006H APPLICATION_VERIFIER_DOUBLE_FREE equ 0007H APPLICATION_VERIFIER_CORRUPTED_HEAP_BLOCK equ 0008H APPLICATION_VERIFIER_DESTROY_PROCESS_HEAP equ 0009H APPLICATION_VERIFIER_UNEXPECTED_EXCEPTION equ 000AH APPLICATION_VERIFIER_CORRUPTED_HEAP_BLOCK_EXCEPTION_RAISED_FOR_HEADER equ 000BH APPLICATION_VERIFIER_CORRUPTED_HEAP_BLOCK_EXCEPTION_RAISED_FOR_PROBING equ 000CH APPLICATION_VERIFIER_CORRUPTED_HEAP_BLOCK_HEADER equ 000DH APPLICATION_VERIFIER_CORRUPTED_FREED_HEAP_BLOCK equ 000EH APPLICATION_VERIFIER_CORRUPTED_HEAP_BLOCK_SUFFIX equ 000FH APPLICATION_VERIFIER_CORRUPTED_HEAP_BLOCK_START_STAMP equ 0010H APPLICATION_VERIFIER_CORRUPTED_HEAP_BLOCK_END_STAMP equ 0011H APPLICATION_VERIFIER_CORRUPTED_HEAP_BLOCK_PREFIX equ 0012H APPLICATION_VERIFIER_FIRST_CHANCE_ACCESS_VIOLATION equ 0013H APPLICATION_VERIFIER_CORRUPTED_HEAP_LIST equ 0014H APPLICATION_VERIFIER_TERMINATE_THREAD_CALL equ 0100H APPLICATION_VERIFIER_STACK_OVERFLOW equ 0101H APPLICATION_VERIFIER_INVALID_EXIT_PROCESS_CALL equ 0102H APPLICATION_VERIFIER_EXIT_THREAD_OWNS_LOCK equ 0200H APPLICATION_VERIFIER_LOCK_IN_UNLOADED_DLL equ 0201H APPLICATION_VERIFIER_LOCK_IN_FREED_HEAP equ 0202H APPLICATION_VERIFIER_LOCK_DOUBLE_INITIALIZE equ 0203H APPLICATION_VERIFIER_LOCK_IN_FREED_MEMORY equ 0204H APPLICATION_VERIFIER_LOCK_CORRUPTED equ 0205H APPLICATION_VERIFIER_LOCK_INVALID_OWNER equ 0206H APPLICATION_VERIFIER_LOCK_INVALID_RECURSION_COUNT equ 0207H APPLICATION_VERIFIER_LOCK_INVALID_LOCK_COUNT equ 0208H APPLICATION_VERIFIER_LOCK_OVER_RELEASED equ 0209H APPLICATION_VERIFIER_LOCK_NOT_INITIALIZED equ 0210H APPLICATION_VERIFIER_LOCK_ALREADY_INITIALIZED equ 0211H APPLICATION_VERIFIER_LOCK_IN_FREED_VMEM equ 0212H APPLICATION_VERIFIER_LOCK_IN_UNMAPPED_MEM equ 0213H APPLICATION_VERIFIER_THREAD_NOT_LOCK_OWNER equ 0214H APPLICATION_VERIFIER_INVALID_HANDLE equ 0300H APPLICATION_VERIFIER_INVALID_TLS_VALUE equ 0301H APPLICATION_VERIFIER_INCORRECT_WAIT_CALL equ 0302H APPLICATION_VERIFIER_NULL_HANDLE equ 0303H APPLICATION_VERIFIER_WAIT_IN_DLLMAIN equ 0304H APPLICATION_VERIFIER_COM_ERROR equ 0400H APPLICATION_VERIFIER_COM_API_IN_DLLMAIN equ 0401H APPLICATION_VERIFIER_COM_UNHANDLED_EXCEPTION equ 0402H APPLICATION_VERIFIER_COM_UNBALANCED_COINIT equ 0403H APPLICATION_VERIFIER_COM_UNBALANCED_OLEINIT equ 0404H APPLICATION_VERIFIER_COM_UNBALANCED_SWC equ 0405H APPLICATION_VERIFIER_COM_NULL_DACL equ 0406H APPLICATION_VERIFIER_COM_UNSAFE_IMPERSONATION equ 0407H APPLICATION_VERIFIER_COM_SMUGGLED_WRAPPER equ 0408H APPLICATION_VERIFIER_COM_SMUGGLED_PROXY equ 0409H APPLICATION_VERIFIER_COM_CF_SUCCESS_WITH_NULL equ 040AH APPLICATION_VERIFIER_COM_GCO_SUCCESS_WITH_NULL equ 040BH APPLICATION_VERIFIER_COM_OBJECT_IN_FREED_MEMORY equ 040CH APPLICATION_VERIFIER_COM_OBJECT_IN_UNLOADED_DLL equ 040DH APPLICATION_VERIFIER_COM_VTBL_IN_FREED_MEMORY equ 040EH APPLICATION_VERIFIER_COM_VTBL_IN_UNLOADED_DLL equ 040FH APPLICATION_VERIFIER_COM_HOLDING_LOCKS_ON_CALL equ 0410H APPLICATION_VERIFIER_RPC_ERROR equ 0500H APPLICATION_VERIFIER_INVALID_FREEMEM equ 0600H APPLICATION_VERIFIER_INVALID_ALLOCMEM equ 0601H APPLICATION_VERIFIER_INVALID_MAPVIEW equ 0602H APPLICATION_VERIFIER_PROBE_INVALID_ADDRESS equ 0603H APPLICATION_VERIFIER_PROBE_FREE_MEM equ 0604H APPLICATION_VERIFIER_PROBE_GUARD_PAGE equ 0605H APPLICATION_VERIFIER_PROBE_NULL equ 0606H APPLICATION_VERIFIER_PROBE_INVALID_START_OR_SIZE equ 0607H APPLICATION_VERIFIER_SIZE_HEAP_UNEXPECTED_EXCEPTION equ 0618H HiEndsoft > колес надо меньше жрать. Я -то по пивку. Сложно понять вас
Vol4ok Ранг: 47.1 (посетитель), 2thx Активность: 0.03↘0 Статус: Участник	Создано: 15 февраля 2010 02:33 · Личное сообщение · #21 Установка, запуск, остановка и удаление драйвера. Код полностью не тестил, возможны мелкие баги. Code: #include <windows.h> SC_HANDLE install_driver(const wchar_t name, const* wchar_t path) { SC_HANDLE h_scm; SC_HANDLE h_svc = NULL; if (!path \|\| !name) return INVALID_HANDLE_VALUE; h_scm = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS); if (h_scm) { h_svc = CreateServiceW( h_scm,name,name, SERVICE_ALL_ACCESS, SERVICE_KERNEL_DRIVER, SERVICE_DEMAND_START, SERVICE_ERROR_IGNORE, path,NULL,NULL,NULL,NULL,NULL); if (!h_svc) h_svc = OpenServiceW(h_scm, name, SERVICE_ALL_ACCESS); CloseServiceHandle(h_scm); } return h_svc; } SC_HANDLE open_driver(const* wchar_t name) { SC_HANDLE h_scm; SC_HANDLE h_svc = NULL; if (!name) return INVALID_HANDLE_VALUE; h_scm = OpenSCManagerW(NULL, NULL, SC_MANAGER_ALL_ACCESS); if (h_scm) { h_svc = OpenServiceW(h_scm, name, SERVICE_ALL_ACCESS); CloseServiceHandle(h_scm); } return h_svc; } DWORD* query_status(SC_HANDLE h_svc) { SERVICE_STATUS_PROCESS ssp; ULONG bytes; ssp.dwCurrentState = 0; QueryServiceStatusEx( h_svc, SC_STATUS_PROCESS_INFO, (LPBYTE)&ssp, sizeof(SERVICE_STATUS_PROCESS), &bytes); return ssp.dwCurrentState; } int start_driver(SC_HANDLE h_svc) { ULONG status = 0; if (!h_svc) return 0; status = query_status(h_svc); if (status != SERVICE_RUNNING) return StartServiceW(h_svc, 0, NULL); else return 1; } int stop_driver(SC_HANDLE h_svc) { ULONG status = 0; SERVICE_STATUS svc_status; if (!h_svc) return 0; status = query_status(h_svc); if (status != SERVICE_STOPPED) return ControlService(h_svc, SERVICE_CONTROL_STOP, &svc_status); else return 1; } int uninstall_driver(SC_HANDLE h_svc) { ULONG status = 0; status = query_status(h_svc); if (status == SERVICE_RUNNING \|\| status == SERVICE_PAUSED) stop_driver(h_svc); status = DeleteService(h_svc); CloseServiceHandle(h_svc); return status; }
SLV Ранг: 309.8 (мудрец), 21thx Активность: 0.17↘0 Статус: Участник	Создано: 15 февраля 2010 02:50 · Личное сообщение · #22 Макросы для памяти Code: #define malloc(Size) (Size ? (RtlAllocateHeap(GetProcessHeap(), HEAP_ZERO_MEMORY, (SIZE_T)(Size))) : NULL) #define realloc(Mem, Size) (Size ? (Mem ? RtlReAllocateHeap(GetProcessHeap(), HEAP_ZERO_MEMORY, (PVOID)(Mem), Size) : malloc(Size)) : NULL) #define free(Mem) (Mem ? (RtlValidateHeap(GetProcessHeap(), NULL, Mem) ? (RtlFreeHeap(GetProcessHeap(), NULL, (PVOID)(Mem)), Mem = NULL) : NULL) : NULL) ----- Shalom ebanats!
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 15 февраля 2010 03:02 · Поправил: Clerk · Личное сообщение · #23 Code: Редирект ApfnDispatch(KernelCallbackTable). ; ; ApfnDispatch: ; ... ; @Fn1 ; (N) ; @Fn2 ; (N + 1) ; ... ; ; [(N), P]: ; push @Fn1 ; x5 ; jmp Stub ; x5 ; [(N + 1), P + 10]: ; push @Fn2 ; jmp Stub ; ... ; ; Stub: ; ... ; ret IMAGE_MASK equ 0FF000000H assume fs:nothing ApfnQuery proc uses ebx esi edi ApfnBase:PVOID, ApfnSize:PULONG mov ebx,fs:[TEB.Peb] mov edx,ApfnBase mov ebx,PEB.KernelCallbackTable[ebx] mov eax,STATUS_UNSUCCESSFUL test ebx,ebx mov esi,ebx jz Exit mov dword ptr [edx],ebx cld and ebx,IMAGE_MASK mov edi,esi @@: lodsd and eax,IMAGE_MASK cmp eax,ebx je @b sub esi,edi ; Размер таблицы в байтах. mov eax,STATUS_UNSUCCESSFUL sub esi,4 mov edx,ApfnSize jz Exit mov dword ptr [edx],esi xor eax,eax Exit: ret ApfnQuery endp APFN_INFORMATION struct OldApfnBase PVOID ? ApfnBase PVOID ? OldApfnSize ULONG ? ApfnSize ULONG ? ; ..Page APFN_INFORMATION ends PAPFN_INFORMATION typedef ptr APFN_INFORMATION ApfnRedirect proc uses ebx esi edi Stub:PVOID, ApfnInformation:PAPFN_INFORMATION Local Apfn:APFN_INFORMATION invoke ApfnQuery, addr Apfn.OldApfnBase, addr Apfn.OldApfnSize test eax,eax mov ecx,Apfn.OldApfnSize ; s = n + n2 + n/2 ; s = (n/2)7 jnz Exit shr ecx,1 mov Apfn.ApfnBase,eax lea edx,[ecx8] push* PAGE_EXECUTE_READWRITE sub edx,ecx lea eax,Apfn.ApfnSize push MEM_COMMIT lea ecx,Apfn.ApfnBase mov Apfn.ApfnSize,edx push eax push 0 push ecx push NtCurrentProcess Call ZwAllocateVirtualMemory test eax,eax mov ecx,Apfn.OldApfnSize jnz Exit mov edx,Apfn.ApfnBase mov ebx,Stub ; Disp. mov edi,edx mov esi,Apfn.OldApfnBase add edi,ecx cld sub ebx,edi shr ecx,2 sub ebx,25 @@: lodsd mov* byte ptr [edi],68H ; Push fnXX mov byte ptr [edi + 5],0E9H ; Jmp Stub mov dword ptr [edi + 1],eax mov dword ptr [edi + 6],ebx mov dword ptr [edx],edi sub ebx,10 add edi,10 add edx,4 loop @b mov ecx,fs:[TEB.Peb] mov edx,Apfn.ApfnBase lea esi,Apfn mov edi,ApfnInformation xor eax,eax lock xchg PEB.KernelCallbackTable[ecx],edx movsd movsd movsd movsd Exit: ret ApfnRedirect endp .data CallbackCount ULONG ? .code ApfnStub proc C inc CallbackCount ret ApfnStub endp Local ApfnInformation:APFN_INFORMATION invoke ApfnRedirect, addr ApfnStub, addr ApfnInformation ... http://indy-vx.narod.ru/log.txt
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 15 марта 2010 10:08 · Поправил: HiEndsoft · Личное сообщение · #24 Т.к. пишу в основном в нативе, пригождаются след коды. Натив -аналог SleepEx и Sleep: Code: void WINAPI NtSleepEx(DWORD DurationMs,BOOL Alertable) { struct { DWORD Low; DWORD Hi; } MLI={{-10000DurationMs},{0xFFFFFFFF}}; NtDelayExecution(Alertable,(PLARGE_INTEGER)&MLI); } #define NtSleep(_x) NtSleepEx(_x,0) Натив -аналог Beep: Code: BOOL WINAPI NtBeep (DWORD* dwFreq, DWORD dwDuration) { HANDLE hBeep; UNICODE_STRING BeepDevice; OBJECT_ATTRIBUTES ObjectAttributes; IO_STATUS_BLOCK IoStatusBlock; if ((dwFreq >= 0x25 && dwFreq <= 0x7FFF) \|\|(dwFreq == 0x0 && dwDuration == 0x0)) { BeepDevice.Buffer=L"\Device\Beep"; BeepDevice.Length=24; BeepDevice.MaximumLength=26; InitializeObjectAttributes(&ObjectAttributes,&BeepDevice,0,NULL,NULL ); if (NT_SUCCESS(NtCreateFile(&hBeep,FILE_READ_DATA \| FILE_WRITE_DATA,&ObjectAttributes,&IoStatusBlock,NULL,0,FILE_SHARE_REA D \| FILE_SHARE_WRITE,FILE_OPEN_IF,0,NULL,0))) { struct { ULONG Frequency; ULONG Duration; } BEEP_SET_PARAMETERS={{dwFreq},{dwDuration}}; if (NT_SUCCESS(NtDeviceIoControlFile(hBeep,NULL,NULL,NULL,&IoStatusBlock, 0x10000,&BEEP_SET_PARAMETERS,sizeof(BEEP_SET_PARAMETERS),NULL,0))) { if ((dwFreq != 0x0 \|\| dwDuration != 0x0) && dwDuration != (DWORD)-1) NtSleepEx(dwDuration,TRUE); NtClose(hBeep); return TRUE; } else return FALSE; } } return FALSE; } И до кучи аналог MessageBox ч/з csrss(где ico - как и у MessageBox): Code: inline void PrintError(PCWSTR ws_caption,PCWSTR ws_description,ULONG ico) { UNICODE_STRING us_caption; UNICODE_STRING us_description; HARDERROR_RESPONSE he_resp; RtlInitUnicodeString(&us_error_caption,ws_caption); RtlInitUnicodeString(&us_error,ws_description); ULONG args[]={(ULONG)&us_description,(ULONG)&us_caption,MB_OK \| MB_SETFOREGROUND \| ico}; NtRaiseHardError(0x50000018,3,(PUNICODE_STRING)3,(PVOID )args,OptionOk,&he_resp); } Здесь только вида "OK",но можно переделать под OK/Cancel и т.п. Вывод отладочного сообщения с форматированием, например в Dbgview (не натив, позаимствовано у мелкософта): Code: #ifdef DBG void* dbgprint( char format, ... ) { static DWORD* pid=0; va_list vl; char dbgbuf1[2048], dbgbuf2[2048]; // Prepend the process ID to the message if ( 0 == pid ) { pid = GetCurrentProcessId(); } EnterCriticalSection(&gDebugCritSec); va_start(vl, format); _vsnprintf(dbgbuf1,sizeof(dbgbuf1)-1, format, vl); sprintf(dbgbuf2, "%lu: %s\r\n", pid, dbgbuf1); va_end(vl); OutputDebugString(dbgbuf2); LeaveCriticalSection(&gDebugCritSec); } #endif ----- продавец резиновых утёнков
SLV Ранг: 309.8 (мудрец), 21thx Активность: 0.17↘0 Статус: Участник	Создано: 15 марта 2010 10:22 · Поправил: SLV · Личное сообщение · #25 Code: BOOL IsThreadActive( IN ULONG ThreadId ) { HANDLE hThread; THREAD_BASIC_INFORMATION ThreadInfo; NTSTATUS Status; ULONG Temp; BOOL Result = FALSE; hThread = OpenThread(THREAD_QUERY_INFORMATION, FALSE, ThreadId); if (hThread) { Status = ZwQueryInformationThread(hThread, ThreadBasicInformation, &ThreadInfo, sizeof(THREAD_BASIC_INFORMATION), &Temp); if (NT_SUCCESS(Status)) { Result = (ThreadInfo.ExitStatus == STATUS_PENDING); } CloseHandle(hThread); } return Result; } ----- Shalom ebanats!
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 15 марта 2010 18:42 · Поправил: HiEndsoft · Личное сообщение · #26 Выделение по-возможности непрерывного участка памяти в куче (натив) Code: RTL_HEAP_DEFINITION heapParams; memset( &heapParams, 0, sizeof( RTL_HEAP_DEFINITION )); heapParams.Length = sizeof( RTL_HEAP_DEFINITION ); ULONG Sz=0x4000; //Максимально гарантированный непрерывный участок //(размер минимального фрагмента) HANDLE h_heap = RtlCreateHeap(HEAP_ZERO_MEMORY, 0,Sz*2,Sz, 0, &heapParams ); if(h_heap==NULL) {dbgprint("Error RtlCreateHeap");} ULONG nofrag=2; //указывает, что нужно выделять нефрагментированную область RtlSetHeapInformation(h_heap,HeapCompatibilityInformation,&nofrag,size of(ULONG)); ----- продавец резиновых утёнков
ntldr Ранг: 369.8 (мудрец), 400thx Активность: 0.39↘0 Статус: Участник	Создано: 15 марта 2010 20:45 · Личное сообщение · #27 HiEndsoft пишет: Выделение по-возможности непрерывного участка памяти в куче (натив) Вообще-то любое выделение из кучи всегда возвращает непрерывный участок виртуальной памяти. Иначе и быть не может, т.к. мы получаем 1 указатель. Приведенный тобой код включает использование Low-fragmentation Heap аллокатора, что имеет совсем другой смысл. ----- PGP key <0x1B6A24550F33E44A>
Rockphorr Ранг: 62.8 (постоянный), 11thx Активность: 0.06↘0 Статус: Участник	Создано: 15 марта 2010 22:47 · Поправил: Rockphorr · Личное сообщение · #28 у меня предложение собирать все выложенное в инклуд файл и поставить сыль на него в первом посте имхо для версии 1.0 собрано уже достаточно все что выложено выше Clerk Ранг: 140.2 (ветеран) Статус: Участник Создано: 10 февраля 2010 18:48:00 Цитата Личное сообщение #10 multiarc > так же желательно сделать все вызовы нативными, для возможности инжекта так же в графическую подсистему csrss! Нэйтив юзается изза следующих причин: o Самодостаточный код(вызов непосредственно через шлюзы). o Если не достаточно функционала более высокоуровневого кода. csrss это обычный гуи-процесс. > получает адрес процедуры в нужной библиотеке в чужом процессе Для этого есть системные апи, например RtlQueryProcessDebugInformation(). скопипастил в атач зы: копипаститься неахти - то номера то решетки вылезают adc3_20.03.2010_CRACKLAB.rU.tgz - codekit.c.txt
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 16 марта 2010 11:00 · Поправил: HiEndsoft · Личное сообщение · #29 ntldr Извечная тема для споров. Rockphorr к модераторам обратись, идея не плохая. Обнаружение изменения в составе устройств на самом высоком уровне (в оконном обработчике очереди сообщений) (здесь - добавление устройства, например вставка флешки): Code: LRESULT CALLBACK WinProc(HWND hwnd,UINT uMsg, WPARAM wParam, LPARAM lParam) { //Произошло изменение в составе устройств if(uMsg==WM_DEVICECHANGE) { //Флешка вставлена if (wParam==DBT_DEVICEARRIVAL) { //Проверка на накопитель if (((DEV_BROADCAST_HDR)lParam)->dbch_devicetype==DBT_DEVTYP_VOLUME) { if (((DEV_BROADCAST_VOLUME)lParam)->dbcv_flags!=DBTF_MEDIA && ((DEV_BROADCAST_VOLUME)lParam)->dbcv_flags!=DBTF_NET) { //Извлечение имени char* DriveName[4]={'?',':','','\0'}; DriveName[0]=FirstDriveFromMask(((DEV_BROADCAST_VOLUME*)lParam)- >dbcv_unitmask); if (GetDriveType(DriveName)==2) { DriveName[2]='\0'; //Наши действия, например копирование CreateThread(NULL,0,LPTHREAD_START_ROUTINE)COPY,(LPVOID)DriveNa me,0,NULL); } } } } } return CallWindowProcA((WNDPROC)ResultSWL,hwnd, uMsg, wParam, lParam); } ----- продавец резиновых утёнков
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 17 марта 2010 10:19 · Личное сообщение · #30 Native-код, создающий на FAT - FAT32 томе "неудаляемую" папку. Code: bool MkNoremoveDir(LPWSTR lpDirPathName) { UNICODE_STRING NameU; HANDLE DirectoryHandle; IO_STATUS_BLOCK ioSB; bool flag=false; OBJECT_ATTRIBUTES ObjAttr; RtlInitUnicodeString(&NameU,lpDirPathName); RtlDosPathNameToNtPathName_U(lpDirPathName,&NameU,NULL,NULL); _R: InitializeObjectAttributes(&ObjAttr,&NameU,OBJ_CASE_INSENSITIVE,NU LL,NULL); if(NT_SUCCESS(NtCreateFile (&DirectoryHandle,FILE_LIST_DIRECTORY \| SYNCHRONIZE \| FILE_OPEN_FOR_BACKUP_INTENT, &ObjAttr,&ioSB,NULL,FILE_ATTRIBUTE_SYSTEM \| FILE_ATTRIBUTE_HIDDEN \| FILE_ATTRIBUTE_READONLY,FILE_SHARE_READ, FILE_CREATE,FILE_DIRECTORY_FILE \| FILE_SYNCHRONOUS_IO_NONALERT,NULL,0))) { NtClose(DirectoryHandle); if (flag) {NtBeep(9000,500);return flag;} flag=true; wcscat(NameU.Buffer,L"\..\"); NameU.Length+=4*sizeof(WCHAR); goto _R; } return flag; } В аттаче консольная прожка - создает "неудаляемую" папку "autorun.inf" на указанном FAT- диске (может быть полезно для защиты от автозагрузки флешек) . f507_17.03.2010_CRACKLAB.rU.tgz - NODIR.zip ----- продавец резиновых утёнков

. 1 . 2 . 3 . >>

Для печати