eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› отладка в syser
Посл.ответ Сообщение


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 17 сентября 2009 12:14 New!
Цитата · Личное сообщение · #1

Никогда не юзал сисер, а тем более не отлаживал дровины... Дровина эта создает файл на диске. Вопрос: можно остановить выполнение кода дровины, когда она создала файл, дабы этот файл скопировать себе, т.к. дровина эта впоследствии этот файл удаляет ...


Ранг: 222.3 (наставник)
Статус: Участник

Создано: 17 сентября 2009 12:24 New!
Цитата · Личное сообщение · #2

bp ZwDeleteFile ?


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 17 сентября 2009 12:55 · Поправил: -= ALEX =- New!
Цитата · Личное сообщение · #3

она его еще запускает... а вообще чисто технически такое проделать можно?
ЗЫ если дровину отпустить она вызывает бсод...


Ранг: 222.3 (наставник)
Статус: Участник

Создано: 17 сентября 2009 14:41 · Поправил: HandMill New!
Цитата · Личное сообщение · #4

Технически то оно конечно проделать можно.
1. Добавить bp ZwCreateFile после того как брякнулись на ZwDeleteFile что бы противостоять поиску файла.
2. Самому вписать код, когда брякнулись на ZwDeleteFile копирующий файл в ринг0, у меня готового решения таким путём нет.
и ещё момент - дровина случайно не чекает CRC своего кода? Патчить можно?
add: после бряка на ZwDeleteFile можно попробовать подменить путь к файлу/заменить его имя и так его драйвер уже не найдёт.

Ранг: 52.2 (постоянный)
Статус: Участник

Создано: 17 сентября 2009 18:00 · Поправил: Vitek New!
Цитата · Личное сообщение · #5

а если зациклить и скопировать ? например WinHEX через открытие непосредственно диска


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 17 сентября 2009 18:38 New!
Цитата · Личное сообщение · #6

Дровина сама по себе шифрована, многослойна, свой код она декриптует, запускает... тот еще гимор, так что патчить файл не выйдет... Попробую чегонить придумать...


Статус: Пришелец

Создано: 17 сентября 2009 19:43 New!
Цитата #7

Ты малварь что ли решил всковырнуть? Волка пни, он должен знать.


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 17 сентября 2009 20:41 New!
Цитата · Личное сообщение · #8

progopis угу. оно самое...

Ранг: 115.1 (ветеран)
Статус: Участник

Создано: 17 сентября 2009 22:38 New!
Цитата · Личное сообщение · #9

-= ALEX =- пишет:
Дровина сама по себе шифрована, многослойна, свой код она декриптует, запускает... тот еще гимор, так что патчить файл не выйдет... Попробую чегонить придумать...


Ну бряки то срабатывают?


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 18 сентября 2009 08:50 New!
Цитата · Личное сообщение · #10

срабатывают..... я бы отпустил дровину на волю, убрал бы удаление файла, если бы не бсод... а почему он там происходит. я так и не понял, кривые руки видать писателя... вот и надо до продолжения работы дровины, скопировать файлик

Ранг: 115.1 (ветеран)
Статус: Участник

Создано: 18 сентября 2009 18:19 · Поправил: __ New!
Цитата · Личное сообщение · #11

-= ALEX =-
Тогда что мешает вернуть драйверу успешность удаления, но не дать выполнится функции удаления?
Или дописать любой код, например сохранения файла, выполнить пошагово, потом все вернуть как было,
и пусть бсодит, если будет, файл то уже сохранен.

Или вариант написать свой драйвер который захучит функцию и скопирует файл в правильный момент.


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 18 сентября 2009 19:04 New!
Цитата · Личное сообщение · #12

Я понимаю что можно сделать что угодно) просто хотелось узнать, бывает ли такое) остановить выполнение драйвера, чтобы переключится на винду...


Ранг: 222.3 (наставник)
Статус: Участник

Создано: 18 сентября 2009 19:49 New!
Цитата · Личное сообщение · #13

-= ALEX =- пишет:
остановить выполнение драйвера, чтобы переключится на винду

можно:
// sleep for 20 milliseconds
__int64 x = -200000;
ZwDelayExecution(FALSE, &x);

или KeDelayExecutionThread


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 18 сентября 2009 19:56 New!
Цитата · Личное сообщение · #14

А что мешает вписать код jmp eip и скопировать? Проц конечно перегрузит...
Но если файл не открыт, то скопируешь. Или уходи в ребут, грузись как-нибудь без дрова и смотри файл.


Ранг: 1998.8 (!!!!)
Статус: Модератор
retired

Создано: 18 сентября 2009 20:55 New!
Цитата · Личное сообщение · #15

Все зависит от драйвера. Далеко не в любом месте любого драйвера можно делать спячку или вечный цикл. Это может привести как к бсоду, так и к полному зависанию системы. Поэтому лучше бы не пытался ногу за ухо закинуть, а честно после ребута собрал файлы.


Статус: Пришелец

Создано: 7 февраля 2010 13:15 · Поправил: Модератор New!
Цитата #16

Правильно ли я понимаю что для перехода по коду (то что в ольке делается через Ctrl+G и в IDA через просто G) используется команда g ? Если нет - то какой командой я могу открыть код по нужному мне адресу (не hex дамп, что довольно просто, а именно код) БЕЗ изменения EIP? Если всё же я правильно понимаю, то есть ли шанс использовать эту команду без синих экранов?

Ultras
Благодарю, как-то не успел изучить до конца весь список в help.

Ранг: 122.8 (ветеран)
Статус: Участник

Создано: 7 февраля 2010 13:55 · Поправил: Ultras New!
Цитата · Личное сообщение · #17

progopis: u addr
See Command reference help.
Если работал с SoftICE - много схожего в командах.

Ранг: 56.1 (постоянный)
Статус: Участник

Создано: 7 февраля 2010 15:57 · Поправил: vptrlx New!
Цитата · Личное сообщение · #18

//сорри


Ранг: 1998.8 (!!!!)
Статус: Модератор
retired

Создано: 7 февраля 2010 16:11 New!
Цитата · Личное сообщение · #19

vptrlx
На дату топика хыть бы глянул. Уже другое обсуждение ведётся.


Ранг: 1998.8 (!!!!)
Статус: Модератор
retired

Создано: 20 февраля 2010 15:43 New!
Цитата · Личное сообщение · #20

progopis сидит без инета, поэтому задам его вопрос я: как заставить Syser ставить hardware бряк на мой процесс (который выделен в списке proc как текущий), а не на System?


Ранг: 661.1 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 20 февраля 2010 15:48 · Поправил: ARCHANGEL New!
Цитата · Личное сообщение · #21

Archer
Тю блин, также, как и в Айсе. bpm xxxxxxxx if pid == yyy
 eXeL@B —› Основной форум —› отладка в syser

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS