Перехват DeviceIoControl с подменой значения дескриптора

Сейчас на форуме: zds, UniSoft (+5 невидимых)

Посл.ответ	Сообщение
ECROFONIVS_REBMEM Ранг: 1.3 (гость) Активность: 0=0 Статус: Участник	Создано: 25 декабря 2012 22:35 · Личное сообщение · #1 Подскажите,будет ли работать метод сплайсинга по исходникам MS-REM для этой функции? Или реально получить синий экран? В Гугле ещё прочитал про т.н. фаззинг (атаку) драйвера - может есть какая статья на эту тему,как лучше осуществить сабж

ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 25 декабря 2012 22:49 · Личное сообщение · #2 Тьфу, закрой этот позорный топик. Ведь всё равно его закроют. Все ж догадались, кто это пишет по исходникам MS-REM. ----- Stuck to the plan, always think that we would stand up, never ran.
ECROFONIVS_REBMEM Ранг: 1.3 (гость) Активность: 0=0 Статус: Участник	Создано: 25 декабря 2012 23:03 · Личное сообщение · #3 А MS-REM бывает на этом форуме? Как можно с ним связаться? Хорошие статьи пишет,но очень всё древнее
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 25 декабря 2012 23:08 · Личное сообщение · #4 армия слонопотамов атакует екзе лаб, клерка еле изгнали, другие *** появились
OnLyOnE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 25 декабря 2012 23:09 · Личное сообщение · #5 ECROFONIVS_REBMEM пишет: А MS-REM бывает на этом форуме? Как можно с ним связаться? Хорошие статьи пишет,но очень всё древнее Хороший вопрос... Нам бы с ним связаться тоже было б полезно ----- aLL rIGHTS rEVERSED!
OnLyOnE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 25 декабря 2012 23:11 · Поправил: OnLyOnE · Личное сообщение · #6 reversecode пишет: армия слонопотамов атакует екзе лаб, клерка еле изгнали, другие *** появились клерк был самодур... НО умный самодур... эт факт Опыта у него.. дай Бог каждому... ----- aLL rIGHTS rEVERSED!
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 25 декабря 2012 23:20 · Поправил: reversecode · Личное сообщение · #7 человек ограничей GPE, который непротив убивать кошек и собак, считающий людей которые хотят завести семью и детей - маглами, - самодур? вы видимо его поклонник и тоже йогой занимаетесь?)) у кого опыта? у этого идиота?))
ECROFONIVS_REBMEM Ранг: 1.3 (гость) Активность: 0=0 Статус: Участник	Создано: 25 декабря 2012 23:23 · Поправил: ECROFONIVS_REBMEM · Личное сообщение · #8 Что за Клерк,админ nodvd.net? Знаем такого,говорят он голову сильно ударил в школе и поэтому стал чокнутый. У меня вопрос,при чем здесь DeviceIoControl? Суть вопроса то в чем: я пишу перехватчик этой функции и не знаю с чего мне начать. С CreateFile вроде всё просто,на каждом форуме по Делфи полно кодов,а тут весь гугл перерыл и никак не соображу.
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 25 декабря 2012 23:28 · Личное сообщение · #9 OnLyOnE Клерк идиот не знающий элементарных вещей, даже о своих любимых графах, только о Гари Поттере и можно что то узнать от него. ECROFONIVS_REBMEM У нормальных людей работает. Фаззинг дров.. у Краша была статья и исходники фазера, гугл ждет тебя свинофорце мембер, поржал.
ECROFONIVS_REBMEM Ранг: 1.3 (гость) Активность: 0=0 Статус: Участник	Создано: 25 декабря 2012 23:40 · Личное сообщение · #10 А я не знаю,мне фаззинг наверно и не нужен. Я буду открывать драйвер через CreateFile,считывать его дескриптор и потом подсовывать его в распакованной проге там где будет вызов DeviceIoControl. http://vsokovikov.narod.ru/New_MSDN_API/Device_io/fn_deviceiocontrol.htm Code: Замечания Чтобы извлечь данные о дескрипторе устройства, Вы должны вызвать функцию CreateFile или с именем устройства или с именем драйвера, связанного с устройством. Чтобы определить имя устройства, используйте ниже перечисленный формат: \.\DeviceName Функция DeviceIoControl может принять дескриптор конкретного устройства. Например, чтобы открыть дескриптор логического диска A: при помощи функции CreateFile, задайте \.\a:. Альтернативно, Вы можете использовать имена \.\PhysicalDrive0, \.\PhysicalDrive1 и так далее, чтобы открывать дескрипторы на физические диски в системе.
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 25 декабря 2012 23:43 · Личное сообщение · #11 Ну раз пошла такая пьянка, то задам внятный вопрос по старфорсу. Установил я на варю Daemon Tools, потом установил Syser, вручную включил службу sptd (в реестре параметр запуска на 0 поменял), потом через RKU снимаю ядерные колбэк-обработчики этой прекрасной sptd, и дебаггер у меня запускается, работает. Даемон тулз тож диски эмулит, и всё в шоколаде, но Syser работает только с установленными на виртуалке VMware tools, а для этого строку isolation.tools.getVersion.disable = "TRUE" из конфига виртуалки мне приходится стирать, что приводит к тому, что хитрожопый старфорс детектит виртуалку через i/o backdoor механизм, т.е как-то так: Code: mov eax, 0x564D5868 mov ecx, 10 xor ebx, ebx mov dx, 0x5658 in eax, dx bpio в Syser ничего не дают, т.е. где-то эта грёбаная инструкция есть, а где - непонятно. Трассировал с условием ехе, защищённый старфорсом, трассировал в лог и делал поиск по логу - болт. В Syser вписал tss, и в ответ увидел, что I/O Map size = 0, а по инфе --> Отсюда <-- я понял, что если размер нулевой, то все биты битовой карты считаются взведенными, а значит вызов иснтрукции типа in xxx,xx будет делать исключение. Внимание, вопрос - как бы так оставить VMware tools, но убрать этот грёбаный бэкдор? ----- Stuck to the plan, always think that we would stand up, never ran.
OnLyOnE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 25 декабря 2012 23:49 · Личное сообщение · #12 F_a_u_s_t пишет: Клерк идиот не знающий элементарных вещей, даже о своих любимых графах, только о Гари Поттере и можно что то узнать от него. reversecode пишет: человек ограничей GPE, который непротив убивать кошек и собак, считающий людей которые хотят завести семью и детей - маглами, - самодур? вы видимо его поклонник и тоже йогой занимаетесь?)) у кого опыта? у этого идиота?)) Пусть так.. НО у меня о нем не было негативного восприятия.. да самодур, да экстравагантен ... но мозг есть.. кстати MS-REM тоже не был "пенькой" НО был умницей... Это факт! ----- aLL rIGHTS rEVERSED!
ECROFONIVS_REBMEM Ранг: 1.3 (гость) Активность: 0=0 Статус: Участник	Создано: 25 декабря 2012 23:56 · Личное сообщение · #13 Так что,MS-REM не заходит сюда? Мы хотели ему предложить писать статьи в нашем журнале. Если кто 31 декабря будет свободен,то вот тут мероприятие намечается: Обращение отца нации к реверсерам
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 25 декабря 2012 23:58 · Личное сообщение · #14 ECROFONIVS_REBMEM Чувак, он, типа, умер. ----- Stuck to the plan, always think that we would stand up, never ran.
ECROFONIVS_REBMEM Ранг: 1.3 (гость) Активность: 0=0 Статус: Участник	Создано: 26 декабря 2012 00:02 · Личное сообщение · #15 Ну ладно,не смешная шутка получилась.Сегодня я буду Архаром: Умрите,Свиноводы! Тема закрыта

Для печати