Руководствуясь Хоглундом и Батлером на тему перехват прерываний и исключений , написать и запустить драйвер получается но перехват не выходит, пытался перехватить как 0x04 OF так и 0x13 ошибки доступа к памяти, запускал на VB xp 32 с одним процессором, но увы, не опытность даёт знать, вот код на Си который вышел:

init.c:


IDT.c


| Сообщение посчитали полезным:

MickeyBlueEyes

Ахренеть просто, вы полезли в вады - очень сложная тема, но не можите изменить атрибуты страницы, фейк. Нет к сожалению времени на анализ. Я понял что вы нас дурите. Вам нет доверия, это сказано не для вас, а для тех, кто с вами будет связан.

| Сообщение посчитали полезным:

> но не можите изменить атрибуты страницы
С чего вы взяли? Какое отношение имеют атрибуты страницы к загрузке dll? Или вы вспомнили, о перехвате #PF и его маршрутизации? Дык вроде как за это уже давно не вспомнилось, да и с этим то какие проблемы в плане реализации.
> Я понял что вы нас дурите
Как же? И зачем мне это? Я сюда пришёл за помощью, и всё что мне подсказали и подсказывают я обязательно просматриваю и практикую, на данный момент проблема с аппаратной виртуализацией которую мне посоветовал Арчер, на хакере нашёл статьи только по AMD, а на Intel там всё отличается, а ман интела по этой теме я на данный момент вкурить не могу. Нашёл пару абстрактных статей по интелу кое-как, сижу пробую и пытаюсь найти что нить полезное в сорцах virtualbox.
Нащёт Vad я хз что вы там представляете, я её представляю как древовидную структуру описывающую регионы выделеной памяти. И планировал там и поискать информацию о dll. Как-то вы не верно провели анализ по мне, и как вообще здесь может фигурировать слово "Дурить"?

| Сообщение посчитали полезным:

MickeyBlueEyes

Смысл в том, что вы в дебри лезите не понятно зачем. Какая виртуализация, накой она нужна для скрытия длл и обхода патчей. Зачем вады трогать, если ваши задачи элементарно в юзермоде решаются сервисами. Если проекция файловая, то нет нужды ядерные структуры трогать, есть сервис для получения файла связанного с проекцией.

На счёт дурить - вы сказали про сискол, но он к апи имеет косвенное отношение.

| Сообщение посчитали полезным:

> Зачем вады трогать
Ну в вадах я хотел найти то что скрывает ХакШилд.
> Если проекция файловая, то нет нужды ядерные структуры трогать, есть сервис для получения файла связанного с проекцией.
Спасибо, тоесть они могли проецировать dll как ваш мотор? и тогда их не видно?
> На счёт дурить - вы сказали про сискол, но он к апи имеет косвенное отношение.
Ну да, я заменяю на свой обработчик и просто в нём хотел исправить нужные мне eax на другие значения чтобы смаршрутизировать на нехученое апи, но не вышло. Я просто забежал наперёд, думал траблов никаких не возникнет.

| Сообщение посчитали полезным:

MickeyBlueEyes

> в вадах я хотел найти то что скрывает ХакШилд.

Вы сами то понимаете что сказали ?

> Ну да, я заменяю на свой обработчик и просто в нём хотел исправить нужные мне eax на другие значения чтобы смаршрутизировать на нехученое апи, но не вышло. Я просто забежал наперёд, думал траблов никаких не возникнет.

Изменив rEax вы измените номер сервиса. Бред.
Маршрутизация причём к сервисам(я знаю) ?

Такое впечатление что вы термины из словаря берёте и кидаете их сюда.

| Сообщение посчитали полезным:

> Вы сами то понимаете что сказали ?
Ну вад описывает регионы выделеной памяти, память же для dll выделяется вот я и хотел там поискать )
> Изменив rEax вы измените номер сервиса. Бред.
Ну я предполагал что будет всё норм и windows дурак.
> Такое впечатление что вы термины из словаря берёте и кидаете их сюда.
Примерно так всё и происходит, но не всё.

| Сообщение посчитали полезным:

MickeyBlueEyes

> Ну вад описывает регионы выделеной памяти, память же для dll выделяется вот я и хотел там поискать )

Я же говорил что понятие длл валидно для загрузчика. Файловый образ уже не модуль, хоть имя файла можно получить - MemoryMappedFileNameInformation на скока помню, ну или ImageFileName, хотя возможно я путаю инфоклассы для разных сервисов - давно я кода не видал.

> Примерно так всё и происходит, но не всё.

Это верный путь для развития, но не верный для решения задачи. Вам для себя следует расставить приоритеты как грится.

| Сообщение посчитали полезным: MickeyBlueEyes

MickeyBlueEyes

Вышло что с загрузкой ?

| Сообщение посчитали полезным:

Если только для фроста, с хакшилдом ещё не пробывал. Копаю ядро.

| Сообщение посчитали полезным:

Хм, тут вот решил перехватить начало выполнения одной программы, а точнее поставить hw бряк на ep.
Поставил, запускаю приложение, не срабатывает, а если запускаю через ольку, то срабатывает. У меня где-то косяк или фича какаято?

| Сообщение посчитали полезным:

Ты какой ответ-то ждёшь, если не дал никаких данных? У тебя косяк. Легче стало?

| Сообщение посчитали полезным: Dr0p

Да там давать дело в том что нечего, так что косяк видимо у меня где-то.

| Сообщение посчитали полезным:

И что ты тогда хотел? Пожаловаться? Тебя пожелать?
Могу погадать, что на систем бряке нельзя ставить хв бряк, ибо он слетит. И об этом даже виндбг предупреждает.

| Сообщение посчитали полезным: MickeyBlueEyes

Да нет, не нужно жалеть ) Та и жаловаться тоже не хотел.
> что на систем бряке нельзя ставить хв бряк
на систем бряке?

| Сообщение посчитали полезным:

MickeyBlueEyes

Сколько прошло времени, вы так и не затестили мой мотор. Я уверен что вы понимаете что это не годится, ведь я приложил некоторые усилия и время на вас, но вы друг мой не посчитали нужным даже проверить, тупо заюзав дамп. Для меня не существенно, так как я знаю результат чисто теоретически, но мне интересно.

| Сообщение посчитали полезным:

MickeyBlueEyes пишет:
на систем бряке?
Это в ольке так называется ранний бряк до перехода на ЕП. Что-то вроде аналога CREATE_SUSPENDED, но чуть позже. Дык вот на нём ставить хв нельзя. И об этом даже виндбг скажет, если в нём сразу после старта процесса попытаться ткнуть хв.

| Сообщение посчитали полезным:

Объясните плиз, что _принципиально_ может помешать процу поставить hw бряк в любой момент и в любом месте кроме кривой реализации дебаггера?
PS
Понятно, что rw бряк на некоторых системных областях (IDT, GDT, ринг0 стек и пр.) может закрашит систему, но это явно не тот случай

| Сообщение посчитали полезным:

> Объясните плиз, что _принципиально_ может помешать процу поставить hw бряк в любой момент и в любом месте
Ну я предполгалал что процессор сам по себе ничего не делает, пока ему не скажешь )

> Сколько прошло времени, вы так и не затестили мой мотор.
Ваш мотор у меня лежит, я его сразу посмотрел и многое не разобрал и отложил в ящик, просто суть не в том чтобы сразу у меня всё работало, а для начала разоробратся как оно работает, мне же для себя. Если суть попробывать работоспособоный ли ваш пример на защищёных приложениях или нет, то на выходных проверю и отпишу.

| Сообщение посчитали полезным:

MickeyBlueEyes пишет:
Ну я предполгалал что процессор сам по себе ничего не делает, пока ему не скажешь
у кэпа появился достойный конкурент

| Сообщение посчитали полезным:

> у кэпа появился достойный конкурент
У какого кэпа?)

| Сообщение посчитали полезным:

MickeyBlueEyes

За это время можно было пол ядра реализовать..

| Сообщение посчитали полезным:

Слишком уж пол ядра )
А по существу, то вышло написать загрузчик. Либы грузятся, никакие античиты не помогают. С перехватом вышло как через бряк так и через копию dll. Единственное что не вышло это подрузить с диска либы kernel32/ntdll/user32 и перестроить импорт на них. Но вышло сделать копию либы которая уже в памяти, поснимать хуки с копии и перестроить свой ИАТ на копию и работает, покрайней мере с user32.

| Сообщение посчитали полезным:

MickeyBlueEyes

Ну и зачем было тратить время на написание лодера, если вы не виксер

Сурсы я так понимаю мегопривад ?

| Сообщение посчитали полезным:

Dr0p
> если вы не виксер
Виксер?
> Сурсы я так понимаю мегопривад ?
Да нет, щас тулзу одну докатываю, протестирую на разных осях, и покажу.

| Сообщение посчитали полезным:

MickeyBlueEyes

> Виксер?

Да. Предельный случай сис коденга. Особая идеалогия, стремление к знаниям.

> Да нет, щас тулзу одну докатываю, протестирую на разных осях, и покажу.

Одного не пойму. Зачем пилить велосипед.

| Сообщение посчитали полезным:

> Одного не пойму. Зачем пилить велосипед.
Руку набить, так как область новая.
ps: в процессе тестирования, не вышло форму запустить, но всё остальное апи работает вроде как пока стабильно.
Подумал мож из-за отсутствия запсей в пебе, но нет. Если загрузить легально либу и позатирасть весь пеб, то работает всё, затирал как давал пример когда-то NightShade в этой теме --> Link <--, но если затирать хедер, даже достаточно затереть MZ чтобы уже форма не открывалась. Скорее всего когда регистрируется окно проиходят какие-то проверки или же что скорее всего поиск ресурсов, и винда начинает искать либу, но не находит, и можна предположить что пеб не единственное место где хранятся записи о загруженых dll, или же я не всё в пебе позатирал и вывод ошибочен. Вообщем че гадать, пойду за отладчик.

| Сообщение посчитали полезным:

MickeyBlueEyes

Механизм исключений не будет работать в таком случае.

| Сообщение посчитали полезным:

> Механизм исключений не будет работать в таком случае.
Ну если добавить записи куда надо? Или загрузчики везде по разному себя ведут, и надо под каждую версию винды подстраиваться? Хотелось бы загрузчик довести до ума так сказать, без форм и исключений можно и обойтись, ну а если сильно надо, то можна и легально загрузить либу просто положив все потоки таргет процесса, снять перехваты, выполнить инжект и затереть пеб, не пробывал ещё, но думаю будет работать в 99% случаев, если только античит не работает в отдельном процессе, но тогда можна и его положить Весь сербор в универсальном загрузчике который бы работал всегда, ну как-то так А то смотреть каждый раз что за античит в таргет процессе и подстраиватся, зато без проблем с загрузкой. Вообщем нашел статью по PE --> Link <--, много кода который устроен как-то сложно или это с первого взгляда, ну наверное это код жесткий системщиков и им он понятен). Есть ли там то что решало бы проблему с формами и експешенами? Смысл есть копатся с формами и исключениями или там всё тонко, что лучше использовать загрузчик виндовса? Спасибо.

| Сообщение посчитали полезным:

MickeyBlueEyes

Говорю же, вы велосипед изобретаете. Ищите решение сами, мне лень эти основы описывать

| Сообщение посчитали полезным:

Говорю же, вы велосипед изобретаете. Ищите решение сами, мне лень эти основы описывать.
Ничего се основы ;) Ну это гуд если уже есть решения. Открыл в какой раз исходники LWE, в нём должно это работать?
Признаю что бот, и не смог запустить lwe.

| Сообщение посчитали полезным: