LDT. - eXeL@B

Сейчас на форуме: UniSoft, bartolomeo (+6 невидимых)

Посл.ответ	Сообщение
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 16 января 2011 01:38 · Поправил: Clerk · Личное сообщение · #1 Здрасте. Нужно из ядра установить LDT. Возможные способы: o Вручную. Выделить пул, сформировать там дескриптор и загрузить в EPROCESS. При этом возникают некоторые проблемы. o NtSetLdtEntries. o NtSetInformationProcess(ProcessLdtInformation). o KiGetTickCount(Int 0x2A). Желательно использовать прерывание: Code: align 16 ENTER_DR_ASSIST kitx_a, kitx_t,NoAbiosAssist PUBLIC _KiGetTickCount _KiGetTickCount proc cmp [esp+4], KGDT_R3_CODE OR RPL_MASK jnz short @f Kgtc00: mov eax,dword ptr cs:[_KeTickCount] mul dword ptr cs:[_ExpTickCountMultiplier] shrd eax,edx,24 ; compute resultant tick count iretd @@: ; ; if v86 mode, we dont handle it ; .errnz (EFLAGS_V86_MASK AND 0FF00FFFFh) test byte ptr [esp+8+2], EFLAGS_V86_MASK/010000h jnz ktgc20 ; ; if kernel mode, must be get tick count ; .errnz (MODE_MASK AND 0FFFFFF00h) test byte ptr [esp+4], MODE_MASK jz short Kgtc00 ; ; else check if the caller is USER16 ; if eax = ebp = 0xf0f0f0f0 it is get-tick-count ; if eax = ebp = 0xf0f0f0f1 it is set-ldt-entry ; cmp eax, ebp ; if eax != ebp, not USER16 jne ktgc20 and eax, 0fffffff0h cmp eax, 0f0f0f0f0h jne ktgc20 cmp ebp, 0f0f0f0f0h ; Is it user16 gettickcount? je short Kgtc00 ; if z, yes cmp ebp, 0f0f0f0f1h ; If this is setldt entry jne ktgc20 ; if nz, we don't know what ; it is. ; ; The idea here is that user16 can call 32 bit api to ; update LDT entry without going through the penalty ; of DPMI. ; push 0 ; push dummy error code ENTER_TRAP kitx_a, kitx_t sti xor eax, eax mov ebx, [ebp+TsEbx] mov ecx, [ebp+TsEcx] mov edx, [ebp+TsEdx] stdCall _NtSetLdtEntries <ebx, ecx, edx, eax, eax, eax> mov [ebp+TsEax], eax and dword ptr [ebp+TsEflags], 0FFFFFFFEH ; clear carry flag cmp eax, 0 ; success? je short ktgc10 or dword ptr [ebp+TsEflags], 1 ; set carry flag ktgc10: jmp _KiExceptionExit ktgc20: ; ; We need to trap this int 2a. For exception, the eip should ; point to the int 2a instruction not the instruction after it. ; sub word ptr [esp], 2 push 0 jmp _KiTrap0D _KiGetTickCount endp 1. ISR устанавливает LDT, если вызов из UM, тоесть для VDM процессов. В ядре кодовый селектор имеет значение KGDT_R0_CODE и нулевой CPL, таким образом проверка: Code: test byte ptr [esp+4], MODE_MASK jz short Kgtc00 не пройдёт. Это проблема первая. 2. Далее сервис NtSetLdtEntries не допустит загрузку ядерного дескриптора, так как выполняются проверки DPL, адресов и пр. в следующей функции: Code: call PspIsDescriptorValid test eax,eax je Error ... Error: mov Reg32,0xC000011A ; #STATUS_INVALID_LDT_DESCRIPTOR ... Это вторая проблема. Интересуют способы решения. Условие: патчить ничего нельзя, ну в общем как обычно.

Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 16 января 2011 13:00 · Личное сообщение · #2 Clerk Эток код из \WindowsResearchKernel-WRK\WindowsResearchKernel-WRK\WRK-v1.2\base\nto s\k\i386\trap.asm? ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
Alchemistry Ранг: 145.8 (ветеран), 191thx Активность: 0.14↗0.36 Статус: Участник	Создано: 16 января 2011 13:26 · Поправил: Alchemistry · Личное сообщение · #3 Coderess Откуда еще то? Из врк и из исходников винды 2000. В общем очередной топег "светла солнышка" несущий 0 полезной нагрузки и предназначенный тешать ЧСВ ТС.
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 16 января 2011 15:01 · Личное сообщение · #4 Coderess Да, откуда же есчо. Alchemistry Какое есчо чсв, по мойму ты бредишь. LDT используется для смещения сегмента, дабы реальное положение кода не было определено. Предлагайте идеи.
sys_dev Ранг: 57.1 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 22 января 2011 14:01 · Поправил: sys_dev · Личное сообщение · #5 /offtop: Мне вот не понятно откуда у людей стоко времени? Чтобы ковыряться в задачах подобного рода. По-моему это одно лишь любопытство "как устроена венда" и только. Прошу привести реально конкретный пример где это реально надо? Оценить в человеко-часах и в деревянных тубриках
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 22 января 2011 16:01 · Поправил: Модератор · Личное сообщение · #6 sys_dev Это реально нужно чтоб авер отсосал. Есчо нужны аргументы ? HiEndsoft Пермутация элементарно эту задачу решает. От модератора: сообщение немного исправлено, заодно забанен на неделю за срач
Alchemistry Ранг: 145.8 (ветеран), 191thx Активность: 0.14↗0.36 Статус: Участник	Создано: 22 января 2011 17:55 · Поправил: Модератор · Личное сообщение · #7 Это форум где собираются и общаются крякеры если ты есчо не понял. Главные слова здесь - общаются и крякеры. Ты не умеешь общаться и ты не крякер, не ходи сюда больше. От модератора: сообщение исправлено, оставлена основная мысль, заодно забанен на неделю за срач \| Сообщение посчитали полезным: Evol, KViNTO

Для печати