Форум программистов, компьютерный форум, киберфорум
_lunar_
Войти
Регистрация
Восстановить пароль
Старый
Рейтинг: 5.00. Голосов: 1.
Доступ к терминальной сессии (Session 0) после обновления 22H2
Запись от _lunar_ размещена 08.02.2023 в 12:40. Обновил(-а) _lunar_ 16.02.2023 в 09:25
Показов 1744 Комментарии 0
Метки c, c++, winapi

Дополнительная информация и аттач для скачивания тут

Давно я ничего не писал в блоге, да и ценности в жизни меняются - занимаюсь кодингом всё меньше и меньше, но окончательно бросить всё же не могу (после стольких лет моего увлечения программированием).
А сподвигло меня на новый анализ ядра ОС не так давно выпущенное обновление Windows версии 22H2...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 207
Размер:	34.7 Кб
ID:	7909   Нажмите на изображение для увеличения
Название: 2.png
Просмотров: 172
Размер:	17.7 Кб
ID:	7910   Нажмите на изображение для увеличения
Название: 3.png
Просмотров: 216
Размер:	50.1 Кб
ID:	7911  

Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 5.
Разбираемся в новом API KLoader. Часть 2: Deep Internal Research
Запись от _lunar_ размещена 04.06.2022 в 01:55. Обновил(-а) _lunar_ 21.06.2022 в 16:19
Показов 1374 Комментарии 0
Метки c, c++, winapi

Разбираемся в новом API KLoader. Часть 1: Общие сведения

Из первой части исследования стало известно, что в реестре Windows 11 есть раздел, который не доступен с правами администратора.
И чтобы узнать что в нём находится пришлось повысить права реестра до уровня СИСТЕМА.
Следовательно, такими мощными правами обладает собственно сама система...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 308
Размер:	22.0 Кб
ID:	7571   Нажмите на изображение для увеличения
Название: 2.png
Просмотров: 251
Размер:	49.6 Кб
ID:	7572   Нажмите на изображение для увеличения
Название: 3.png
Просмотров: 208
Размер:	67.1 Кб
ID:	7573  

Нажмите на изображение для увеличения
Название: 4.png
Просмотров: 189
Размер:	41.8 Кб
ID:	7575   Нажмите на изображение для увеличения
Название: 5.png
Просмотров: 238
Размер:	36.2 Кб
ID:	7576   Нажмите на изображение для увеличения
Название: 6.png
Просмотров: 211
Размер:	25.3 Кб
ID:	7577  

Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 4.43. Голосов: 7.
Разбираемся в новом API KLoader. Часть 1: Общие сведения
Запись от _lunar_ размещена 25.05.2022 в 00:56. Обновил(-а) _lunar_ 17.06.2022 в 15:53
Показов 1766 Комментарии 0
Метки c, c++, winapi

Во-первых, сразу уточню, что новый API доступен только в Windows 11. В более старых версиях ОС не ищите, его там нет.

Уже и не помню каким образом я наткнулся на ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KLoader
но результат запроса на открытие меня немного удивил
Нажмите на изображение для увеличения
Название: 1.jpg
Просмотров: 312
Размер:	84.2 Кб
ID:	7549
Отказано в доступе с учётом того, что Реестр по умолчанию открывается с правами администратора с соответствующим запросом UAC.

"Не на того напал" - подумал я и повысил права на Реестр до системного процесса через KernelExplorer...
Миниатюры
Нажмите на изображение для увеличения
Название: 2.jpg
Просмотров: 207
Размер:	49.5 Кб
ID:	7550   Нажмите на изображение для увеличения
Название: 3.jpg
Просмотров: 261
Размер:	141.0 Кб
ID:	7551   Нажмите на изображение для увеличения
Название: 4.jpg
Просмотров: 212
Размер:	129.8 Кб
ID:	7552  

Нажмите на изображение для увеличения
Название: 5.jpg
Просмотров: 292
Размер:	110.4 Кб
ID:	7553   Нажмите на изображение для увеличения
Название: 6.jpg
Просмотров: 264
Размер:	61.6 Кб
ID:	7554   Нажмите на изображение для увеличения
Название: 7.jpg
Просмотров: 219
Размер:	47.7 Кб
ID:	7555  

Нажмите на изображение для увеличения
Название: 8.jpg
Просмотров: 152
Размер:	121.1 Кб
ID:	7604  
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 2.
Стек вызовов Windows API
Запись от _lunar_ размещена 11.04.2022 в 14:59. Обновил(-а) _lunar_ 01.06.2022 в 17:34
Показов 1795 Комментарии 0
Метки c, c++, winapi

В этой записи я постараюсь простым понятным языком объяснить что такое API в целом, а также его разновидности в зависимости от того, где это API исполняется.

Сперва, предлагаю внимательно посмотреть на скриншот и запомнить последовательность вызовов
(не стал рисовать свои скриншоты, т.к. этот в полной мере описывает весь...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 393
Размер:	57.6 Кб
ID:	7441   Нажмите на изображение для увеличения
Название: 2.png
Просмотров: 355
Размер:	64.8 Кб
ID:	7442  
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 2.
Объекты операционной системы. Часть 4: Отладчик уровня ядра WinDbg
Запись от _lunar_ размещена 24.12.2021 в 19:41. Обновил(-а) _lunar_ 18.01.2022 в 16:20
Показов 2938 Комментарии 0
Метки c, c++, winapi

Объекты операционной системы. Часть 1: Общие сведения
Объекты операционной системы. Часть 2: Объект ядра
Объекты операционной системы. Часть 3: Уровень целостности

В этой части я решил показать самые интересные, на мой взгляд, возможности ядерного отладчика WinDbg.
Но сначала немного слов о том, как его установить и как им пользоваться.
В этом блоге я буду показывать работу отладчика...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 290
Размер:	44.9 Кб
ID:	7327   Нажмите на изображение для увеличения
Название: 0.png
Просмотров: 261
Размер:	20.9 Кб
ID:	7328   Нажмите на изображение для увеличения
Название: 0.5.png
Просмотров: 255
Размер:	15.7 Кб
ID:	7330  

Нажмите на изображение для увеличения
Название: 2.png
Просмотров: 303
Размер:	64.0 Кб
ID:	7331   Нажмите на изображение для увеличения
Название: 3.png
Просмотров: 278
Размер:	60.6 Кб
ID:	7332   Нажмите на изображение для увеличения
Название: 4.png
Просмотров: 279
Размер:	45.6 Кб
ID:	7334  

Нажмите на изображение для увеличения
Название: 5.png
Просмотров: 303
Размер:	84.5 Кб
ID:	7335   Нажмите на изображение для увеличения
Название: 5.5.png
Просмотров: 335
Размер:	36.2 Кб
ID:	7336   Нажмите на изображение для увеличения
Название: 6.png
Просмотров: 281
Размер:	64.7 Кб
ID:	7337  

Нажмите на изображение для увеличения
Название: 7.png
Просмотров: 266
Размер:	63.9 Кб
ID:	7338   Нажмите на изображение для увеличения
Название: 8.png
Просмотров: 285
Размер:	13.9 Кб
ID:	7339   Нажмите на изображение для увеличения
Название: 9.png
Просмотров: 282
Размер:	9.9 Кб
ID:	7340  

Нажмите на изображение для увеличения
Название: 10.png
Просмотров: 318
Размер:	23.6 Кб
ID:	7343   Нажмите на изображение для увеличения
Название: 11.png
Просмотров: 279
Размер:	40.5 Кб
ID:	7345  
Вложения
Тип файла: rar api-ms-win-core-sysinfo-l1-2-0.rar (6.4 Кб, 393 просмотров)
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 2.
Объекты операционной системы. Часть 3: Уровень целостности
Запись от _lunar_ размещена 08.12.2021 в 01:51. Обновил(-а) _lunar_ 29.12.2022 в 10:17
Показов 3352 Комментарии 3
Метки c, c++, winapi

Объекты операционной системы. Часть 1: Общие сведения
Объекты операционной системы. Часть 2: Объект ядра

Честно говоря, третью часть блога "Объекты операционной системы" я хотел написать совершенно про другое.
В планах было показать работу ядерного отладчика WinDbg, но в процессе подготовки материала и копания ядра ОС наткнулся на кое-что интересное.
Поэтому...
Миниатюры
Нажмите на изображение для увеличения
Название: 33.png
Просмотров: 280
Размер:	18.0 Кб
ID:	7276   Нажмите на изображение для увеличения
Название: 22.png
Просмотров: 318
Размер:	39.7 Кб
ID:	7277   Нажмите на изображение для увеличения
Название: 11.png
Просмотров: 343
Размер:	55.6 Кб
ID:	7278  

Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 266
Размер:	109.4 Кб
ID:	7351  
Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 4.
Объекты операционной системы. Часть 2: Объект ядра
Запись от _lunar_ размещена 16.11.2021 в 12:22. Обновил(-а) _lunar_ 10.05.2022 в 10:42
Показов 4892 Комментарии 3
Метки c, c++, winapi

Объекты операционной системы. Часть 1: Общие сведения

Больший интерес из всех трёх групп объектов представляет категория объект ядра.
Рассмотрим более подробно Kernel object.

Каждый объект ядра - это блок памяти, выделенный ядром ОС и доступный только ядру ОС.
Этот блок памяти представляет собой структуру данных, члены которой хранят информацию об объекте (дескриптор безопасности, счетчик использования и т.д.).
Некоторые...
Миниатюры
Нажмите на изображение для увеличения
Название: 4.png
Просмотров: 383
Размер:	43.7 Кб
ID:	7223   Нажмите на изображение для увеличения
Название: 5.png
Просмотров: 347
Размер:	77.7 Кб
ID:	7224   Нажмите на изображение для увеличения
Название: 1.gif
Просмотров: 232
Размер:	17.0 Кб
ID:	7497  

Нажмите на изображение для увеличения
Название: 2.gif
Просмотров: 165
Размер:	19.5 Кб
ID:	7498   Нажмите на изображение для увеличения
Название: 3.gif
Просмотров: 144
Размер:	23.3 Кб
ID:	7499   Нажмите на изображение для увеличения
Название: 4.gif
Просмотров: 125
Размер:	13.8 Кб
ID:	7500  

Нажмите на изображение для увеличения
Название: 5.gif
Просмотров: 124
Размер:	15.8 Кб
ID:	7501   Нажмите на изображение для увеличения
Название: 6.gif
Просмотров: 145
Размер:	29.9 Кб
ID:	7502   Нажмите на изображение для увеличения
Название: 7.gif
Просмотров: 187
Размер:	214.8 Кб
ID:	7504  

Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 4.
Объекты операционной системы. Часть 1: Общие сведения
Запись от _lunar_ размещена 12.11.2021 в 00:09. Обновил(-а) _lunar_ 17.11.2021 в 11:48
Показов 2999 Комментарии 5
Метки c, c++, winapi

В этом блоге я решил затронуть такую тему, как объекты операционной системы семейства Windows.
Очень часто начинающие программисты, да и обычные пользователи, не могут прийти к пониманию - что есть объект и для чего нужен дескриптор объекта.
Материал даётся с учётом того, читающий данный блог уверенно разбирается в языках программирования C и C++, а также знает основы внутренней архитектуры ОС Windows.

Начнём с определения объекта.
Объект - это структура данных, расположенная в памяти, которая представляет...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 329
Размер:	1.4 Кб
ID:	7216   Нажмите на изображение для увеличения
Название: 2.png
Просмотров: 332
Размер:	3.6 Кб
ID:	7217   Нажмите на изображение для увеличения
Название: 3.png
Просмотров: 312
Размер:	2.7 Кб
ID:	7218  

Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 3.80. Голосов: 5.
Прогулка по Рабочему столу Winlogon. Часть 2: Привет, друг
Запись от _lunar_ размещена 08.06.2021 в 01:52. Обновил(-а) _lunar_ 20.12.2021 в 16:26
Показов 3866 Комментарии 2
Метки c, c++, winapi

Прогулка по Рабочему столу Winlogon. Часть 1: UAC

Когда ребята из Microsoft создавали экран приветствия, где пользователь должен ввести логин и пароль,
наверняка они хотели изобрести что-то мощное, что не дало бы не единого шанса на обход пароля и перехода к обычному Рабочему столу.
И всё бы ничего, но один эксплойт они проглядели. Давайте разбираться.

Что же такое экран приветствия? На этот вопрос нам поможет ответить всё тот же KernelExplorer
Всё что мы видим на экране монитора в ОС семейства Windows...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.jpg
Просмотров: 713
Размер:	192.6 Кб
ID:	7014   Нажмите на изображение для увеличения
Название: 2.JPG
Просмотров: 640
Размер:	429.8 Кб
ID:	7015   Нажмите на изображение для увеличения
Название: 3.JPG
Просмотров: 727
Размер:	564.6 Кб
ID:	7016  

Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 3.67. Голосов: 6.
Прогулка по Рабочему столу Winlogon. Часть 1: UAC
Запись от _lunar_ размещена 02.06.2021 в 00:55. Обновил(-а) _lunar_ 31.08.2022 в 10:07
Показов 5745 Комментарии 7
Метки c, c++, winapi

В современной операционной системе Windows есть области ядра, в которые Microsoft не хотела бы пускать обычных пользователей. Сделано это, естественно, в целях безопасности.
Это могут быть процессы, сервисные службы, и даже Рабочие столы. Немного освежим память для целостности картины.
Не буду расписывать всё досконально (это всё...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.jpg
Просмотров: 464
Размер:	638.9 Кб
ID:	7002   Нажмите на изображение для увеличения
Название: 2.JPG
Просмотров: 488
Размер:	464.1 Кб
ID:	7003   Нажмите на изображение для увеличения
Название: 3.jpg
Просмотров: 464
Размер:	44.3 Кб
ID:	7004  

Нажмите на изображение для увеличения
Название: 4.JPG
Просмотров: 443
Размер:	346.5 Кб
ID:	7005   Нажмите на изображение для увеличения
Название: 5.JPG
Просмотров: 429
Размер:	276.0 Кб
ID:	7006   Нажмите на изображение для увеличения
Название: 6.JPG
Просмотров: 451
Размер:	288.4 Кб
ID:	7007  

Нажмите на изображение для увеличения
Название: 7.JPG
Просмотров: 451
Размер:	804.8 Кб
ID:	7008   Нажмите на изображение для увеличения
Название: 8.JPG
Просмотров: 452
Размер:	738.1 Кб
ID:	7009  
Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 1.
Постоянная ссылка на Google Диск для скачивания моих утилит
Запись от _lunar_ размещена 03.03.2021 в 10:55. Обновил(-а) _lunar_ 29.04.2022 в 16:10
Показов 8334 Комментарии 0
Метки c, c++, winapi

В этом блоге я буду выкладывать свои программы/утилиты с постоянной ссылкой.
Все обновления будут визироваться именно в этой постоянной ссылке.
Выкладывать архивы с новыми ревизиями больше не стану, слишком много вложений в разных темах получается и пользователи теряются.

KernelExplorer

Исходный код на GitHub

Скачать с GitHub

ВНИМАНИЕ!!!
В связи с ненормальной политикой Microsoft в отношении независимых разработчиков, убогий SmartScreen блокирует скачиваемые файлы с расширением *.EXE (браузер добавляет...
Миниатюры
Нажмите на изображение для увеличения
Название: 1234.png
Просмотров: 606
Размер:	23.3 Кб
ID:	6847   Нажмите на изображение для увеличения
Название: vnkj5b.png
Просмотров: 423
Размер:	24.0 Кб
ID:	6888   Нажмите на изображение для увеличения
Название: rfg9.png
Просмотров: 573
Размер:	27.8 Кб
ID:	6943  

Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 2.
Вскрываем защиту ProtectedLite процессов на уровне пользовательского кода
Запись от _lunar_ размещена 20.02.2021 в 12:19. Обновил(-а) _lunar_ 22.03.2022 в 00:55
Показов 4773 Комментарии 0
Метки c, c++, winapi

Начну немного с теории - как это работает и для чего это нужно.
При разработке нового ядра, отличного от ядра Windows XP, в Microsoft придумали такую штуку как изоляция критических процессов.
Следствием этого стали защищенные процессы (Process Protected), которые могли создавать только при наличии соответствующей подписи и сертификата....
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 405
Размер:	29.2 Кб
ID:	6814   Нажмите на изображение для увеличения
Название: 2.png
Просмотров: 370
Размер:	29.6 Кб
ID:	6817   Нажмите на изображение для увеличения
Название: 3.png
Просмотров: 213
Размер:	20.8 Кб
ID:	6947  

Нажмите на изображение для увеличения
Название: 4.png
Просмотров: 193
Размер:	19.0 Кб
ID:	6948   Нажмите на изображение для увеличения
Название: 5.png
Просмотров: 211
Размер:	24.8 Кб
ID:	6949  
Изображения
Тип файла: jpg 6.jpg (129.5 Кб, 882 просмотров)
Тип файла: jpg fcer445.jpg (165.8 Кб, 773 просмотров)
Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 3.
Исследование сервиса "Обнаружение интерактивных служб" (UI0Detect) Часть 3: Эпилог
Запись от _lunar_ размещена 30.01.2021 в 13:33. Обновил(-а) _lunar_ 03.03.2021 в 10:59
Показов 6863 Комментарии 0
Метки c, c++, winapi

Исследование сервиса "Обнаружение интерактивных служб" (UI0Detect) Часть 1: Windows Vista - Windows 7
Исследование сервиса "Обнаружение интерактивных служб" (UI0Detect) Часть 2: Windows 8 - Windows 10

В заключительной части много слов не будет. Я лишь скажу то, что мне всё таки удалось восстановить вырезанную Майкрософтом часть системы - сервис "Обнаружение интерактивных служб".
Очень...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 317
Размер:	23.8 Кб
ID:	6758   Нажмите на изображение для увеличения
Название: 2.png
Просмотров: 242
Размер:	26.0 Кб
ID:	6759   Нажмите на изображение для увеличения
Название: 3.png
Просмотров: 232
Размер:	22.5 Кб
ID:	6760  

Нажмите на изображение для увеличения
Название: 4.png
Просмотров: 248
Размер:	14.6 Кб
ID:	6761   Нажмите на изображение для увеличения
Название: 7.png
Просмотров: 264
Размер:	25.3 Кб
ID:	6770  
Изображения
Тип файла: jpg 5.jpg (158.0 Кб, 2172 просмотров)
Тип файла: jpg 6.jpg (135.4 Кб, 2170 просмотров)
Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 2.
Исследование сервиса "Обнаружение интерактивных служб" (UI0Detect) Часть 2: Windows 8 - Windows 10
Запись от _lunar_ размещена 10.01.2021 в 12:16. Обновил(-а) _lunar_ 03.03.2021 в 11:01
Показов 6238 Комментарии 0
Метки c, c++, winapi

Исследование сервиса "Обнаружение интерактивных служб" (UI0Detect) Часть 1: Windows Vista - Windows 7

Первая часть блога по исследованию сервиса UI0Detect в больше степени касается таких операционных систем, как Windows Vista и Windows 7.
Механизм переключения на Рабочий стол нулевой сессии в этих ОС одинаков (за исключением некоторых неважных мелочей).
Но в Windows 8/8.1 и Windows 10 ядро было переписано в угоду "безопасности". Коснулись эти изменения и сервиса Обнаружение интерактивных служб....
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 1643
Размер:	110.0 Кб
ID:	6691  
Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 4.20. Голосов: 5.
Исследование сервиса "Обнаружение интерактивных служб" (UI0Detect) Часть 1: Windows Vista - Windows 7
Запись от _lunar_ размещена 06.11.2020 в 12:15. Обновил(-а) _lunar_ 03.03.2021 в 12:22
Показов 8735 Комментарии 3
Метки c, c++, winapi, windows

После насквозь "дырявой" Windows XP в Microsoft прикинули расклад и задались вопросом - как же изолировать систему от пользователя?
Ведь в XP пользователь работал в той же среде, что и ядро операционной системы.
Поэтому с выходом Windows Vista компания представила новый механизм изоляции сессии, в которой загружается операционная...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 453
Размер:	128.5 Кб
ID:	6564  
Вложения
Тип файла: 7z UI0Detect.7z (11.2 Кб, 324 просмотров)
Тип файла: 7z WlS0WndH.7z (2.9 Кб, 310 просмотров)
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 3.
Обход Anti-Malware Scan Interface (AmsiScanBuffer bypass)
Запись от _lunar_ размещена 01.01.2020 в 19:15. Обновил(-а) _lunar_ 01.10.2020 в 11:34
Показов 6906 Комментарии 0
Метки c, c++, winapi

С релизом Windows 10 компания Microsoft представила новый интерфейс, который могут использовать приложения и службы, отправляя «контент» поставщику антивирусного ПО, установленному в системе (например Windows Defender).
Называется этот интерфейс Anti-Malware Scan Interface и представлен в системной библиотеке amsi.dll
Данная библиотека имеет небольшой...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 1591
Размер:	13.8 Кб
ID:	5780  
Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 4.33. Голосов: 6.
Windows Internal на примере user32.dll!__ClientLoadLibrary (Часть 1.0)
Запись от _lunar_ размещена 29.10.2019 в 16:15. Обновил(-а) _lunar_ 19.11.2019 в 01:10
Показов 10539 Комментарии 0
Метки c, c++, winapi

Internal (или внутренние) функции операционной системы Windows как известно не входят в таблицу экспорта и используются исключительно самой библиотекой для различных вычислений.
Кроме того, системные библиотеки Windows условно можно разделить на 2 группы:
- пользовательские (библиотеки, функции которых можно использовать в UserMode...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 1682
Размер:	58.4 Кб
ID:	5676   Нажмите на изображение для увеличения
Название: 2.png
Просмотров: 1604
Размер:	81.9 Кб
ID:	5677   Нажмите на изображение для увеличения
Название: 3.png
Просмотров: 1442
Размер:	57.8 Кб
ID:	5678  

Нажмите на изображение для увеличения
Название: 4.png
Просмотров: 1366
Размер:	78.9 Кб
ID:	5679  
Вложения
Тип файла: pdf Эксплойт нулевого дня (CVE-2018-8453) в целевых атаках.pdf (1.54 Мб, 1238 просмотров)
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 4.
Правильный прототип LdrLoadDll
Запись от _lunar_ размещена 22.07.2019 в 15:14. Обновил(-а) _lunar_ 23.07.2019 в 11:05
Показов 10816 Комментарии 0
Метки c, c++, winapi

Почему-то везде в интернете ходит один и тот же неправильный прототип nt-функции LdrLoadDll
C++
1
2
3
4
5
6
7
8
9
NTSYSAPI
NTSTATUS
NTAPI
LdrLoadDll(
    _In_opt_ PWSTR DllPath,
    _In_opt_ PULONG DllCharacteristics,
    _In_ PUNICODE_STRING DllName,
    _Out_ PVOID *DllHandle
    );
ведать один написал (ещё со времен какой-нить висты) и все с него бездумно копируют.

Начнём разбирать.
Количество параметров функции. Хотя...
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 4.
Чтение данных PE заголовка
Запись от _lunar_ размещена 27.03.2019 в 13:13. Обновил(-а) _lunar_ 09.06.2020 в 17:13
Показов 8286 Комментарии 1
Метки c, winapi

Несмотря на то, что исполняемые файлы имеют чёткую структуру и документированное описание, найти полезную информацию в интернете о том как читать PE заголовок достаточно сложно (если вообще возможно).

Переписывать документацию наверное не имеет смысла. Вместо этого я покажу примеры кода как читать конкретные секции (заодно,...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 809
Размер:	25.8 Кб
ID:	5313   Нажмите на изображение для увеличения
Название: 2.png
Просмотров: 712
Размер:	19.0 Кб
ID:	5314   Нажмите на изображение для увеличения
Название: 3.png
Просмотров: 788
Размер:	31.2 Кб
ID:	5315  

Нажмите на изображение для увеличения
Название: 4.png
Просмотров: 784
Размер:	8.5 Кб
ID:	5316   Нажмите на изображение для увеличения
Название: 5.png
Просмотров: 544
Размер:	21.0 Кб
ID:	5317  
Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 2.
Прототип RtlCreateUserProcessEx
Запись от _lunar_ размещена 29.01.2019 в 10:25. Обновил(-а) _lunar_ 08.02.2019 в 21:39
Показов 5962 Комментарии 0
Метки c, winapi

Потребовалось недавно создать процесс средствами Native API.
Из всего набора функций ntdll.dll имеются следующие варианты:
1. NtCreateProcess(Ex) - создаётся элементарно просто (NtOpenFile -> NtCreateSection -> NtCreateProcess -> NtGetContextThread -> NtCreateThread) но связать процесс с csrss слишком геморно, поэтому дальше чем не зарегистрированные хендлы объекта ядра пройти...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 709
Размер:	18.4 Кб
ID:	5170   Нажмите на изображение для увеличения
Название: 2.png
Просмотров: 640
Размер:	17.8 Кб
ID:	5171  
Вложения
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Старый
Рейтинг: 5.00. Голосов: 3.
Загрузка динамических библиотек без kernel32.dll
Запись от _lunar_ размещена 22.01.2019 в 13:08. Обновил(-а) _lunar_ 27.01.2019 в 17:13
Показов 5859 Комментарии 0
Метки c, winapi

Решил написать небольшой пример для загрузки DLL средствами NativeAPI (полностью независимого от Kernel32.dll кода).
Самое главное, я напишу именно 64 битный код, т.к. в интернете одно 32 битное старье и то не доделано до конца.
Для этого я буду использовать 64 битный указатель *__ptr64.

Обычно для загрузки библиотек используется пара...
Миниатюры
Нажмите на изображение для увеличения
Название: 1.png
Просмотров: 737
Размер:	43.0 Кб
ID:	5166  
Вложения
Тип файла: rar LdrLoader.rar (475.8 Кб, 514 просмотров)
Аватар для _lunar_
Размещено в Без категории
_lunar_ вне форума
Новые блоги и статьи
Микросервис с нуля на Go с Kafka
stackoverflow 12.02.2025
Когда я впервые столкнулся с необходимостью разделить монолитное приложение на микросервисы, передо мной встал вопрос выбора правильных технологий и подходов. После долгих экспериментов с различными. . .
Микросервис с нуля на C# с RabbitMQ
stackoverflow 12.02.2025
Переход от монолитной архитектуры к микросервисной - это не просто модное веяние, а закономерный этап эволюции программных систем. В отличие от монолита, где все компоненты тесно связаны между собой. . .
Docker для начинающих
stackoverflow 12.02.2025
В современном мире разработки программного обеспечения все чаще возникает необходимость быстро и надежно разворачивать приложения в различных средах. Разработчики постоянно сталкиваются с проблемой. . .
Создание бота для Телеграм на C#
stackoverflow 12.02.2025
В современном мире корпоративных коммуникаций Telegram-боты становятся незаменимым средством автоматизации бизнес-процессов и взаимодействия с сотрудниками. Как создать такого бота, который сможет. . .
Операторы сравнения (== и ===) в JavaScript
hw_wired 12.02.2025
JavaScript предоставляет два основных оператора сравнения - оператор нестрогого равенства (==) и оператор строгого равенства (===). На первый взгляд они могут показаться очень похожими, но их. . .
Определение адреса, откуда репозиторий Git был клонирован
hw_wired 12.02.2025
Система контроля версий Git хранит всю информацию о репозитории в специальной директории . git, включая данные об удаленных источниках. Эта информация необходима для синхронизации изменений между. . .
Объединение нескольких коммитов Git в один
hw_wired 12.02.2025
Представьте, что вы работаете над новой функциональностью и создали десяток небольших коммитов: исправление опечатки, форматирование кода, добавление комментариев, реализация основной логики. Каждый. . .
Как добавить локальную ветку в удалённый репозиторий Git
hw_wired 12.02.2025
Локальная ветка в Git - это изолированная линия разработки, существующая только на вашем компьютере. Представьте себе дерево с множеством веток - каждая ветка может расти в своем направлении, не. . .
Статическое отражение в C++
stackoverflow 12.02.2025
Статическое отражение представляет собой мощный механизм, позволяющий программам анализировать и манипулировать своей собственной структурой во время компиляции. Эта возможность открывает. . .
C++ в 21 веке - Бьярне Страуструп
stackoverflow 12.02.2025
В современном мире разработки программного обеспечения C++ продолжает оставаться одним из ключевых языков программирования, несмотря на свой солидный возраст - более 45 лет с момента создания. За это. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2025, CyberForum.ru