Как обращаться к функциям библиотек ядра?

@Argus19 · Регистрация: 24.09.2017

Вот тут:
https://learn.microsoft.com/en... ds/portmon
описание работы программы-сниффера для контроля работы последовательных и параллельных портов. На современных машинах уже хлопотно запускать. Ставить шароварные программы, конечно, имеет смысл. Только потом их надо сносить и устанавливать заново. Хлопотно. Уже давно хочется написать что-то такое под себя.
А для этого надо каким-то образом иметь в пользовательской программе, что-то типа драйвера портов.
Ума не приложу, как это сделать.
Есть рекомендации?

@HackerVlad · 12.11.2024, 15:47

Сообщение от Argus19

попиликать на динамике системника

Чтобы попиликать на динамике системника есть простая функция Beep

Visual Basic
1
2
3
4
5
6
7
Private Declare Function Beep Lib "kernel32" (ByVal dwFreq As Long, ByVal dwDuration As Long) As Long
 
Private Sub Command1_Click()
  Beep 300, 500
  Beep 100, 500
  Beep 50, 500
End Sub

@Argus19 · 12.11.2024, 15:48 **[ТС]**

Сообщение от HackerVlad

есть простая функция

Знаю. Но по ссылке интереснее.

@HackerVlad · 12.11.2024, 15:51

Argus19, а с реестром что не получается? там же всё просто

@HackerVlad · 12.11.2024, 16:05

Ладно, держи рабочий код

Форма:

Visual Basic
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Option Explicit
 
Private Sub Command1_Click()
    Dim strArray() As String
    Dim i As Integer
    
    List1.Clear
    
    If EnumValues(HKEY_LOCAL_MACHINE, "Hardware\DeviceMap\SerialComm", strArray, IsWow64MyProcess) = True Then
        For i = 0 To UBound(strArray)
            List1.AddItem strArray(i)
            
            List2.AddItem GetKeyValue(HKEY_LOCAL_MACHINE, "Hardware\DeviceMap\SerialComm", strArray(i))
        Next
    End If
    
    Label1.Caption = List1.ListCount
    Label2.Caption = List2.ListCount
End Sub

@HackerVlad · 12.11.2024, 16:44

Только почему-то COM3 и COM4 не определило у меня, ну ты уже сам смотри и разбирайся какие-то там ошибки могут быть

Добавлено через 38 минут
Там вообще какие-то другие функции должны быть для определения портов, а не тупое считывание из реестра. Должно быть что-то типа SetupDiGetDeviceInterfaceDetail и DeviceIoControl...

@testuser2 · 12.11.2024, 17:52

Насчет COM-а вот есть функции

@HackerVlad · 12.11.2024, 18:53

testuser2, Minimum supported client Windows 10

@Argus19 · 13.11.2024, 11:08 **[ТС]**

HackerVlad, порты определились.

@Argus19 · 16.11.2024, 17:12 **[ТС]**

Посмотрел декомпилированный Portmon. IDE VS2019 ругается на такие строки:

C++
1
2
3
4
5
    LODWORD(v93[0]) = 2 * v57;
    LODWORD(v93[1]) = (v59 >> 31) | (2 * (v89 + v55));
 
    HIDWORD(v93[0]) = (v57 >> 31) | (2 * v84);
*(_WORD *)a5 = 0;

Если приведение к типу лечится удалением подчёркивания, то вот это:

C++
1
dword_439E28 = (HANDLE)_beginthread((_beginthread_proc_type)sub_40D140, 0, byte_43FCD8);

совершенно не понимаю как вылечить.

@The trick · 16.11.2024, 18:39

Сообщение от Argus19

IDE VS2019 ругается на такие строки:

Так это же 100% обращение к полям структуры, а не массив. Нужно просто тип верный указать.

Сообщение от Argus19

совершенно не понимаю как вылечить.

Без описания ошибки ничего непонятно.

@Argus19 · 17.11.2024, 11:38 **[ТС]**

Сообщение от The trick

Без описания ошибки ничего непонятно.

Дома доступа к VS нет. Завтра.
Как оказалось, при запуске PortMon создаёт файл: PORTMSYS.SYS и очень быстро его удаляет. Я его восстановил и декомпилил. Разные декомпиляторы дают разные результаты. Какой из них правильный?

@Argus19 · 18.11.2024, 09:29 **[ТС]**

Сообщение от The trick

Без описания ошибки ничего непонятно.

Ошибка такая:

"Ошибка (активно) E0020 идентификатор "_beginthread" не определен ConsoleApplication2 C:\Work\Prog\ConsoleApplication2\Console Application2\ConsoleApplication2.cpp 889 "

И ошибок 556 штук. Либо декомпилятор сработал не точно, либо что-то ещё.

@locm · 18.11.2024, 12:45

Файл process.h подключен в ConsoleApplication2.cpp?
Вообще, какой ConsoleApplication если вы драйвер собираете? B судя по сему должен быть *.c файл, а не *.cpp. Есть чем подписать драйвер?

@Argus19 · 18.11.2024, 14:11 **[ТС]**

Сообщение от locm

Файл process.h подключен в ConsoleApplication2.cpp?

Нет.

Сообщение от locm

Вообще, какой ConsoleApplication если вы драйвер собираете? B судя по сему должен быть *.c файл, а не *.cpp. Есть чем подписать драйвер?

Попробую файл вставить в пустой проект драйвера кернель моды.

Добавлено через 15 минут
Извините, утонул в информации.
Я написал, что программа создаёт файл, который потом куда-то записывает.
Сама программа оконная, т.е. содержит код создания окна, контролов и т.д. Затем она работает.
Я пытался что-то сделать поместив декомпилированный код в консольное приложение. И написал, что из этого выходит.
Во вложении к посту:
Как обращаться к функциям библиотек ядра?
прикрепил файлы, созданные несколькими декомпиляторами, чтобы попробовать создать тот же драйвер. Только не могу понять, какой декомпилятор справился лучше и что сработает.

@locm · 18.11.2024, 18:54

Сообщение от Argus19

Нет.

Откуда тогда взяться функции?

Сообщение от Argus19

Попробую файл вставить в пустой проект драйвера кернель моды.

Протект странно называется ConsoleApplication. Обычно это консольное приложение, а не драйвер.

Сообщение от Argus19

Я пытался что-то сделать поместив декомпилированный код в консольное приложение.

А ничего что этот код должен выполнятся в ядре и экспортировать функции из ntoskrnl.exe, а не WinAPI из юзермодных dll?
А вы его пытаетесь выполнить в юзермоде. Даже если запустится (что маловероятно), работать не будет.

Сообщение от Argus19

чтобы попробовать создать тот же драйвер.

Зачем? Имеете чем его подписать? https://learn.microsoft.com/ru... er-signing

Если интересна тема драйверов, сначала изучите статьи, потом напишите простейший драйвер, установите и заставьте нормально работать "словив" много синих экранов, а после думайте стоит ли этим заниматься.

@Argus19 · 18.11.2024, 19:26 **[ТС]**

Сообщение от locm

А ничего что этот код должен выполнятся в ядре и экспортировать функции из ntoskrnl.exe, а не WinAPI из юзермодных dll?

Программа как раз работает в юзер-моде. Это, как я уже писал выше, экранное приложение, которое вытаскивает из себя самой драйвер, куда-то его записывает, инициализирует и потом лихо им пользуется. Но т.к. драйвер написан в 1999г., что видно из его просмотра в Total Commander, то желательно его, как минимум, перекомпилировать.

Сообщение от locm

Имеете чем его подписать?

Я взял пример драйвера фильтра динамика системника, т.к. он был изготовлен неизвестно в какой версии VS, помучился и сделал. Осталось понять, как работает программа его установки. Из описания много что совершенно неочевидно, т.к. описание далеко не пошаговое. И никакого подписания не обнаружил.

@locm · 18.11.2024, 19:40

Сообщение от Argus19

Программа как раз работает в юзер-моде.

Декомпилировали драйвер или приложение использующее его? Если драйвер, он должен работать в ядре и вызывать функции из ntoskrnl.exe, а не из юзермодных dll.

Сообщение от Argus19

Но т.к. драйвер написан в 1999г., что видно из его просмотра в Total Commander, то желательно его, как минимум, перекомпилировать.

Что даст перекомпиляция? Для этого нужен исходник, а не результат декомпиляции, который нужно вручную приводить в порядок.

Сообщение от Argus19

Я взял пример драйвера фильтра динамика системника

Там же просто запись в регистры. Зачем нужен драйвер-фильтр? Обычного достаточно.

@The trick · 18.11.2024, 20:17

Argus19, декомпилятор вряд ли даст сразу рабочий код всего приложения. Так бы давно люди бы изменяли любые программы как им захочется. Ищите нужный функционал и анализируйте - это и есть реверс-инжиниринг.

@testuser2 · 19.11.2024, 01:43

Не по теме:

Идите нафик со своим реверс-инженерингом тут Визуал Бейсик или где? )

@Argus19 · 19.11.2024, 09:39 **[ТС]**

Сообщение от The trick

это и есть реверс-инжиниринг.

К сожалению, 20 с лишним лет, ушедших на понимание VB, подтормаживают понимание С++, который стремительно развивается. Мне бы найти CD от книги Уолтера Они "Использование Microsoft Windows Driver Model".

Сообщение от testuser2

тут Визуал Бейсик или где?

Чтобы сделать всё это на VB, надо разобраться с первоисточниками.

Не по теме:

Я тут задал простой вопрос в ветке С++. Навалились странные люди с разными вопросами. И очень скоро я просто запутался кому на какой вопрос отвечать. Профессиональный ответ был только от уважаемого zss. В остальном для меня ветка С++ стала токсичной. Здесь намного комфортнее. И серьёзные специалисты есть, в т.ч. и по С++
В ветке об электронике навалился человек с линуксом головного мозга со своими рекомендациями как сделать лучше.

Новые блоги и статьи Все статьи Все блоги /
Клиент Uhbif79 18.06.2026 Здесь простой клиент для работы с сервером.	Сервер Uhbif79 18.06.2026 Выкладываю простейший сервер.	Дефенестрация kumehtar 18.06.2026 Узнал интересное слово. Дефенестрация. Это когда ты выбрасываешь кого-либо или что-либо из окна. Возьму на вооружение)))	Дихотомия добра и зла kumehtar 18.06.2026 Как Дзен-буддисты говорят о добре и зле: не нужно воевать против зла, нужно воевать против невежества. Тогда добро станет ествественным, и поэтому вечным. Но дело в том, что невежество всё время. . .
Своя Интернет-Компания iceja 18.06.2026 Я программист с экономическим образованием, пишу свой проект, это SaaS для бизнесов. Мне нужен co-founder с высшим экономическим образованием, и/ или инвестор. Сейчас проект в интенсивной разработке,. . .	24 Мат модель здравосохранения: функциональные требования к строительству пищеблока anaschu 18.06.2026 СРесурсами1: финансовый SD-контур, калькулятор функциональных требований пищеблока Сегодня разделили затраты в агенте Экономика по образцу модели НАСОСЫ, добавили расчёт ROI и построили первый. . .	23. что сделано за последнее время. anaschu 17.06.2026 • Эталон: Клиника НИИ питания РАМН, Москва — централизованный пищеблок, 225 коек, 180 пациентов • Git: репозиторий med2, ветка абсентеизм. Рабочий файл: СРесурсами1_v4. alp • Смежный проект:. . .	22. Подключение слоя системной динамики (потоковые диффуры): экономические метрики модели anaschu 17.06.2026 Апдейт модели: финансовый контур, разделение затрат Продолжаю развивать модель рабочего коллектива на AnyLogic. В этот раз работа шла над агентом Экономика — финансовым SD-слоем модели. Задача:. . .

@Argus19 1446 / 463 / 78 Регистрация: 24.09.2017 Сообщений: 2,542 Записей в блоге: 24

	Как обращаться к функциям библиотек ядра? 10.11.2024, 08:57. Показов 2635. Ответов 44 Метки нет (Все метки) Вот тут: https://learn.microsoft.com/en... ds/portmon описание работы программы-сниффера для контроля работы последовательных и параллельных портов. На современных машинах уже хлопотно запускать. Ставить шароварные программы, конечно, имеет смысл. Только потом их надо сносить и устанавливать заново. Хлопотно. Уже давно хочется написать что-то такое под себя. А для этого надо каким-то образом иметь в пользовательской программе, что-то типа драйвера портов. Ума не приложу, как это сделать. Есть рекомендации? 0

@HackerVlad Вернулся 1748 / 644 / 45 Регистрация: 10.09.2021 Сообщений: 2,786
	12.11.2024, 15:51
	Argus19, а с реестром что не получается? там же всё просто 0

@HackerVlad Вернулся 1748 / 644 / 45 Регистрация: 10.09.2021 Сообщений: 2,786
	12.11.2024, 16:44
	Только почему-то COM3 и COM4 не определило у меня, ну ты уже сам смотри и разбирайся какие-то там ошибки могут быть Добавлено через 38 минут Там вообще какие-то другие функции должны быть для определения портов, а не тупое считывание из реестра. Должно быть что-то типа SetupDiGetDeviceInterfaceDetail и DeviceIoControl... 0

@testuser2 1401 / 860 / 92 Регистрация: 08.02.2017 Сообщений: 3,663 Записей в блоге: 2
	12.11.2024, 17:52
	Насчет COM-а вот есть функции 0

@HackerVlad Вернулся 1748 / 644 / 45 Регистрация: 10.09.2021 Сообщений: 2,786
	12.11.2024, 18:53
	testuser2, Minimum supported client Windows 10 0

@Argus19 1446 / 463 / 78 Регистрация: 24.09.2017 Сообщений: 2,542 Записей в блоге: 24
	13.11.2024, 11:08 [ТС]
	HackerVlad, порты определились. 0

@locm 6998 / 3314 / 341 Регистрация: 28.10.2011 Сообщений: 12,999 Записей в блоге: 7
	18.11.2024, 12:45
	Файл process.h подключен в ConsoleApplication2.cpp? Вообще, какой ConsoleApplication если вы драйвер собираете? B судя по сему должен быть .c файл, а не .cpp. Есть чем подписать драйвер? 0

@The trick Модератор 10060 / 3905 / 885 Регистрация: 22.02.2013 Сообщений: 5,854 Записей в блоге: 79
	18.11.2024, 20:17
	Argus19, декомпилятор вряд ли даст сразу рабочий код всего приложения. Так бы давно люди бы изменяли любые программы как им захочется. Ищите нужный функционал и анализируйте - это и есть реверс-инжиниринг. 2

@testuser2
	19.11.2024, 01:43
	Не по теме: Идите нафик со своим реверс-инженерингом тут Визуал Бейсик или где? ) 0