| Сейчас на форуме: bartolomeo (+6 невидимых) |
 |
eXeL@B —› Программирование —› Отлов создания COM объекта в ядре |
| Посл.ответ | Сообщение |
|
|
Создано: 10 апреля 2010 15:34 · Личное сообщение · #1 Ловить запуск процесса в ProcessNotifyRoutine хорошо, но есть такая подлая вещь как запуск COM объектов. Имею в виду те, которые как отдельный процесс живут. То есть через LPC каким-то макаром месага идет от одного процесса, в svchost.exe, который потом создаст процесс COM объекта. Хочется иметь инфу о том, кто же этот процесс COM объекта реально создал. Какой процесс сделал CoCreateInstance и в результате svchost.exe запустил новый процесс. Я подозреваю что надо ловить Lpc месаги и как-то по ним ловить создание. На сколько это реально? ----- Реверсивная инженерия - написание кода идентичного натуральному  |
|
|
Создано: 10 апреля 2010 20:02 · Личное сообщение · #2  не легче качнуть чё-нить для расстановки ловушек(API шпионы...) и брякаться на этой функе, а дальше смотреть чё за процесс вызвал... или не катит ? Тем более делается это в ядре... конечно систему будет тормозить, но если ненадолго, то потерпеть можно.
|
|
|
Создано: 10 апреля 2010 20:06 · Личное сообщение · #3 |
|
|
Создано: 10 апреля 2010 20:13 · Личное сообщение · #4 Слова "в ядре", в названии темы никто не заметил? ----- Реверсивная инженерия - написание кода идентичного натуральному |
|
|
Создано: 11 апреля 2010 20:17 · Личное сообщение · #5 можно написать мини ядерный отладчик и ловить всё что надо, или наставить бряков в этом svchost.exe и ловить их... А воабще для чего это? |
|
|
Создано: 11 апреля 2010 21:50 · Личное сообщение · #6 Dart Sergius пишет: А воабще для чего это? Для того чтобы полноценно определять, кто кого родил. Но не плодить чуть-чуть хуков там, чуть-чуть здесь, и еще вот там. А делать в одном месте все. ----- Реверсивная инженерия - написание кода идентичного натуральному |
|
|
Создано: 12 апреля 2010 12:36 · Поправил: DenCoder · Личное сообщение · #7 Ну я бы пошел таким путем: немного реверса rpcrt4.dll, выход на таблицы Nt-функций в ntoskrnl.exe, нахождение нужных Nt-функций... Не знаю пока этого точно, но предполагаю с большой степенью вероятности, что для COM ntoskrnl направляет в соответствующий отдельный драйвер ядра, так что и CoCreateInstance в концов концов ведет к коду в этом драйвере. В нем должно быть спрятано много раз недокументированное API, в числе которых более интересный механизм уведомлений о действиях над COM-объектами, чем предлагает нам юзермод. Вопрос исследований... ----- IZ.RU |
|
|
Создано: 12 апреля 2010 18:35 · Личное сообщение · #8 DenCoder Ядро ничего про это не знает. Hexxx Посмотрел, вобщем запрос на порт "\RPC Control\epmapper". Процесс создаёт rpcss!_LaunchActivatorServer() в контексте svchost. Самое простое что приходит на ум, это как вы и сказали ловить Lpc-сообщения. Только нужно вкрыть их формат. |
|
|
Создано: 13 апреля 2010 16:25 · Личное сообщение · #9 Придется хучить создание объектов порта и делать снифер сообщений... ----- Реверсивная инженерия - написание кода идентичного натуральному |
|
|
Создано: 01 февраля 2011 15:31 · Личное сообщение · #10 Ответ есть в сорцах KAV 
----- Реверсивная инженерия - написание кода идентичного натуральному |
|
|
Создано: 01 февраля 2011 15:45 · Личное сообщение · #11 Hexxx Подскажите имя файла в сорцах, интересно же
|
|
|
Создано: 01 февраля 2011 15:53 · Личное сообщение · #12 Еман, сорцы каспера появились  проснулся...Присоединяюсь к Alchemistry интересно) ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 01 февраля 2011 19:43 · Личное сообщение · #13 Coderess кста, на екзетуле говорят что есть 100-мегабайтнай и 300 мегабайтная версии сорцов есть у кого больший пекедж? |
|
|
Создано: 01 февраля 2011 19:54 · Личное сообщение · #14 Эти сурсы старые и там ничего интересного нет(у меня года два валяются). sendersu 979МБ |
|
|
Создано: 02 февраля 2011 02:43 · Поправил: Hexxx · Личное сообщение · #15 я вот эти смотрел Clerk пишет: ничего интересного нет Ну нет так нет
----- Реверсивная инженерия - написание кода идентичного натуральному |
|
|
Создано: 04 февраля 2011 03:03 · Личное сообщение · #16 Может . ----- Don_t hate the cracker - hate the code. |
|
|
Создано: 04 февраля 2011 11:47 · Личное сообщение · #17 Clerk Ага жопа, поделится не варик был?! Hexxx Они помоему везде одинаковые КАВ8 |
|
|
Создано: 12 февраля 2011 08:48 · Личное сообщение · #18 > 979МБ Огромная просьба поделиться. Выложи куда-нибудь, лучше торрент на TPB. |
|
|
Создано: 12 февраля 2011 09:04 · Личное сообщение · #19 kannabis это одно и то же, проверено: http://exelab.ru/f/action=vthread&forum=7&topic=17682 ----- Yann Tiersen best and do not fuck |
|
|
Создано: 21 февраля 2011 04:44 · Личное сообщение · #20 Пара старых статей мож... www.drdobbs.com/article/printableArticle.jhtml?articleId=184416546&dept_url=/ www.drdobbs.com/article/printableArticle.jhtml?articleId=184416246&dept_url=/ |
|
|
Создано: 21 февраля 2011 15:54 · Личное сообщение · #21 Ratinsh пишет: Пара старых статей мож...http://www.drdobbs.com/article/printableArticle.jhtml?articleId= 184416 546&dept_url=/http://www.drdobbs.com/article/printableArticle.jhtml?ar ticleId=184416 246&dept_url=/ Это про ring-3. А мы про ядро. ----- Реверсивная инженерия - написание кода идентичного натуральному |
|
eXeL@B —› Программирование —› Отлов создания COM объекта в ядре |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати