Скачал сорцы win2k,смотрю в ldrinit.c ,и меня терзает смутное ощущение что чего то нехватает...
1.Я правильно понимаю что весь апи системного загрузчика находится в ntdll ?
2.Функция LdrpInitializeProcess готовит только адресное пространство для процесса?Или еще настраивает образ экзешника этого самого будущего процесса?
3.Функции LdrpInitializeTls(для длл) и LdrpAllocateTls(для потоков процесса) выделяют память под TLS переменные в ап процесса,и копируют туда содержимое этих переменных?
4.А для чего тогда LdrpCallTlsInitializers ?
5.И мне совсе непонятно какой код приводит изначальные "адреса" TLS переменных в коде образа экзешника,к VA которые были выделенны LdrpInitializeTls и LdrpAllocateTls

ЗЫ:надеюсь найдется добрый человек который хоть частично в направлении истины направит )

| Сообщение посчитали полезным:

Yotsi пишет:
А для чего тогда LdrpCallTlsInitializers
Это по моему для дерганья TLS Callbacks.

Yotsi пишет:
И мне совсе непонятно какой код приводит изначальные "адреса" TLS переменных в коде образа экзешника,к VA которые были выделенны
Плохо смотришь. Я когда эмулировал TLS полностью весь механизм смотрел в сорсах win2k. Только там с потоками настоящая жопа, мне в итоге проще стало TLS отдать загрузчику, чем эмулировать весь процесс самому. Если приложение однопоточное, то вот такого кода будет вполне достаточно:


-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
мне в итоге проще стало TLS отдать загрузчику
Ты это сделал путем копирования TLS секции и структур содержащих инфу о инициализации тлс перменных,в образ своего загрузчика?Или манипуляциями через ntdll ?

| Сообщение посчитали полезным:

Просто перенес в PE заголовок конечного файла. Ты хочешь грузить образ полностью сам? Или есть минимальный образ, который грузит винда, как в пакерах/протекторах?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

"минимальный образ" грузится по нужной базе,загружает дллку и вызывает из неё ф-цию.Которая настраивает образ нужного экзе ,пишет его поверх "минимального" и соотвественно передает управление на точку входа перезаписанного образа.

| Сообщение посчитали полезным:

Ну у меня было так же. К сожалению сорсов не сохранилось. Про TLS только помню, что на тот момент вариант был только хукать создание и убиение потоков. Можно конечно легко перенести TLS в новый PE заголовок минимального образа, но тебя наверное так не устроит.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

http://www.wasm.ru/forum/viewtopic.php?pid=438705#p438705

Есть семпл, но требует большого движка, посему скажу ищите по референсу на строки:

"LDR: Tls Found in %wZ at %p",LF
LdrpInitializeTls

"LDR: TlsVector %x Index %d = %x copied from %x to %x",LF
LdrpAllocateTls

"LDR: Tls Callbacks Found. Imagebase %p Tls %p CallBacks %p",LF,""
"LDR: Calling Tls Callback Imagebase %p Function %p",LF,""
LdrpCallTlsInitializers

| Сообщение посчитали полезным:

А разве от этих ф-ций может быть толк,если они выполняються не загрузчиком?

| Сообщение посчитали полезным:

Yotsi
А есть разница кем они исполняются ?

| Сообщение посчитали полезным:

Есть. Менеджер потоков свой будете писать?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Для чего ?

| Сообщение посчитали полезным:

Для подготовки TLS при создании нового потока и удаление при убиении потока. Или ты знаешь как переложить это на загрузчик винды?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Нет никаких проблем использовать нотифи, да хоть дллмейн какогонить модуля в простейшем случае, нтдлл подойдёт. После инициализации нотификаторы будут не нужны.

| Сообщение посчитали полезным:

DLL main в смысле хукать битхаком? Такой вариант не подходит, ибо проблемы с AV и похожим софтом.

PS По мне так проще при заполнении IAT нового образа вписать вместо потоковых API и GetProcAddress свои обертки, но это не будет 100% работоспособность, особенно с засранчегами.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

В юзер моде нельзя ловить обращения к определенным VA в своем ап?

| Сообщение посчитали полезным:

Yotsi внутри одного процесса можно.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

PE_Kill
> DLL main в смысле хукать битхаком? Такой вариант не подходит, ибо проблемы с AV и похожим софтом.
Не вижу проблем переписать ссылку в лдр на ентрипоинт нтдлл. Вообще в ... вас, бред какойто пишите. От модератора: вас тоже, пока на сутки, ведите себя прилично

Yotsi
Можно конечно, но это более сложно чем вбить в скрипт одно имя виньапи.)

| Сообщение посчитали полезным:

bowrouco пишет:
Не вижу проблем переписать ссылку в лдр на ентрипоинт нтдлл
Ага, про это я как то подзабыл, спасибо что напомнил.

bowrouco пишет:
бред какойто пишите
Почему бред? Вроде всё логично.

Yotsi пишет:
В юзер моде нельзя ловить обращения к определенным VA в своем ап?
Механизмы: KiUserExcaptionDispatcher, Vectored Exception Handling
Методы: Hardware Breakpoints, Page Guard, Page Access

Но это дерьмовое решение.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

bowrouco пишет:
Не вижу проблем переписать ссылку в лдр на ентрипоинт нтдлл.
Менять нада в ПЕ заголовке образа нтдлл ?Я правильно понял?
Или же в своей длл на ЕП нтдлл?

| Сообщение посчитали полезным:

ldr

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
ldr
Что имеется ввиду под этим словом??PEB_LDR_DATA ?Или нечто иное?

| Сообщение посчитали полезным:

Yotsi извини писал на экранной клавиатуре. Вот код, о котором идет речь:


-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
LdrLockLoaderLock() + LdrFindEntryForAddress(), пишем ссылку и чистим LDR_DONT_CALL_FOR_THREADS для статически прилинкованных модулей.

| Сообщение посчитали полезным:

Это нормально когда на 7ке у ntdll точка входа 0 ?

| Сообщение посчитали полезным:

Yotsi
Нет, это проблемы у вас в коде.

| Сообщение посчитали полезным:

bowrouco пишет:
LdrLockLoaderLock
ИМХО если мы не инжектимся, а получаем управление от загрузчика, то зачем лочить?

bowrouco пишет:
чистим LDR_DONT_CALL_FOR_THREADS для статически прилинкованных модулей
Это для чего, есть теория?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
> ИМХО если мы не инжектимся, а получаем управление от загрузчика, то зачем лочить?
Всякая операция с загрузчиком должна быть атомарной, иначе пока один тред там чтото изменяет, другой тоже изменяет или читает, что в конце концов приведёт к не определённым последствиям.

> Это для чего, есть теория?
Для динамически подключаемых модулей может быть запрещена нотификация(LdrDisableThreadsLibraryCalls(), тоесть взведён этот флаг). Так как линк переписывается(у вас в семпле произвольны адрес), то следует разрешить её доставку.

Хотите узнать больше - rootkits.su

| Сообщение посчитали полезным:

bowrouco пишет:
Хотите узнать больше - rootkits.su
Да не, мне так по скольку по скольку, по мере надобности. Кстати что то там как то тухло, твой что ли? Домен 3 августа пореган.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Ага

| Сообщение посчитали полезным:

bowrouco пишет:
Нет, это проблемы у вас в коде.
Открывал в LordPE,там то же 0 =/ Мог ли RemoveWAT пропатчить дллку???

| Сообщение посчитали полезным: