|
|||||||
| Программинг Форум для тем связанных с программированием |
 |
|
|
Опции темы | Опции просмотра |
03.05.2011, 10:20
|
#12 |
|
Местный
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
 |
Вощем тут возникла задачка заменить хвид. Промониторил клиент - читаютса хвиды ряда железок и имя машины из реестра. Перехватил RegQueryValueEx и о горе, в перехваченых вызовах нет этих запросов RegQueryValue в итоге всеравно вызывает RegQueryValueEx
Добавлено через 7 минут Драйвера там нет. Какже они читают в обход этой апи? Юзать какоенить zwQueryKey с их стороны было бы глупо не говоря про int 2e - риск несовместимости с сервиспаками и осями слишком велик. Читал про темиду что важные рутины она както защищает от враппинга и перехвата. Нет ли у каво инфы насчет этого? хотя сомневаюсь что мне чето подскажут посуществу =/
__________________
читернуть бы ништяг Последний раз редактировалось mira, 03.05.2011 в 10:20. Причина: Добавлено сообщение |
|
|
|
03.05.2011, 12:30
|
#13 | ||
|
Рыцарь
Регистрация: 26.06.2009
Сообщений: 2,433
Сказал Спасибо: 154
Имеет 692 спасибок в 426 сообщенях
 |
перепрыгивают твой хук? не?
Добавлено через 4 минуты Цитата:
Добавлено через 17 минут Цитата:
но тут, если ты ставишь хуки до загрузки запакованного модуля , все будет нормально.
__________________
Шожиделать.. ботить хочется.. Последний раз редактировалось destructor, 03.05.2011 в 12:30. Причина: Добавлено сообщение |
||
|
|
|
|
03.05.2011, 13:16
|
#14 |
|
Местный
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
|
Думаеш они вызывают функцию не с начала предполагая что там может стоять заплатка? Я просто не перехватывал неразу реестр и хз где захучить. Как я понимаю все чтения даных ключей сводятса к zwquery, та ваще нече не делает. Тупо ложит в еах номер системного шлюза и вызывает инт2е и востанавливает стек =/
хукнул ее сплайсом но увы вызовов оказалось значительно менше чем то что увидел монитор реестра со стороны клиента
__________________
читернуть бы ништяг |
|
|
|
|
03.05.2011, 13:34
|
#15 | |
|
Рыцарь
Регистрация: 26.06.2009
Сообщений: 2,433
Сказал Спасибо: 154
Имеет 692 спасибок в 426 сообщенях
|
Цитата:
__________________
Шожиделать.. ботить хочется.. |
|
|
|
|
|
03.05.2011, 14:16
|
#16 |
|
Местный
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
|
Блин инфы мало по тому как достать входные параметры zw..
Сделал джам к себе, там mov eax, esp syscall=stdcall значит в [eax+0] по [eax+5] должны быть входные параметры или мб с [eax+1] если учесть еще адрес возврата. Одним из параметров являетса valuename : pwidechar но вот в стеке ниче похожего на юникод-строку не оказалось. Параметры вроде похожи на ожидаемые, но что мля со строкой там какоет гавно а не чары по адресу
__________________
читернуть бы ништяг |
|
|
|
|
03.05.2011, 14:45
|
#17 | ||
|
Рыцарь
Регистрация: 26.06.2009
Сообщений: 2,433
Сказал Спасибо: 154
Имеет 692 спасибок в 426 сообщенях
|
Цитата:
 это обычные __stdcall функции. http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx Добавлено через 4 минуты только винда юзает Nt.... надо их и ловить. защита может заюзать Zw... и возможно их тоже придется ловить +не забывай на случай протектора: Цитата:
__________________
Шожиделать.. ботить хочется.. Последний раз редактировалось destructor, 03.05.2011 в 14:45. Причина: Добавлено сообщение |
||
|
|
|
|
03.05.2011, 15:14
|
#18 |
|
Местный
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
|
Nt и zw разные экспорты но точка входа в ntdll одна
 понял, там нифига не pwidechar а е*учая PUNICODE_STRING структура, чемто похожая на рантаймовский sting делфи. Добавлено через 5 минут Про сискалл я и написал что это тотже стдкалл  кстате на этой версии защиты палитса та фишка уже с вмт уже, пришлось отступать на шаг глубже.
__________________
читернуть бы ништяг Последний раз редактировалось mira, 03.05.2011 в 15:14. Причина: Добавлено сообщение |
|
|
|
|
03.05.2011, 15:19
|
#19 | ||
|
Рыцарь
Регистрация: 26.06.2009
Сообщений: 2,433
Сказал Спасибо: 154
Имеет 692 спасибок в 426 сообщенях
|
Цитата:
Добавлено через 4 минуты Цитата:
__________________
Шожиделать.. ботить хочется.. Последний раз редактировалось destructor, 03.05.2011 в 15:19. Причина: Добавлено сообщение |
||
|
|
|
|
03.05.2011, 19:23
|
#20 |
|
Местный
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
|
Да действительно есть еще и рутина zwEnumerateValueKey читающая по индексу значения суб-ключей. Воевать так воевать
Добавлено через 2 часа 50 минут подменил пока в zwQueryValueKey тока все запросы DeviceInstance Добавлено через 1 минуту о чудо первые успехи в клиенте пропал звук )))))))))))))
__________________
читернуть бы ништяг Последний раз редактировалось mira, 03.05.2011 в 19:23. Причина: Добавлено сообщение |
|
|
|
|
|
Линейный вид
|
|
Часовой пояс GMT +4, время: 07:32.