The Kernel-Bridge Framework

Тема в разделе "WASM.PROJECTS", создана пользователем HoShiMin, 18 ноя 2018.

  1. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.455
    Адрес:
    Россия, Нижний Новгород
    Недостаточно: один поток загрузит один логический процессор, не больше. А у меня их 16 -> в 16 раз больше тепла можно выжать из процессора.
     
  2. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    нам нужно не просто тепло == нужен заскок за красную черту и ежли навернётся одно ядро == уЖО хорошо :)
     
  3. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Идея хорошая там, да. Но надо иметь ввиду, что проект еще в стадии WIP. Так что во-первых любые апишки или синтаксис может поменяться. А во-вторых могут быть баги. Сам понимаешь, не очень хорошо, когда у тебя скриптовый движок в ядре засегфолтит или что-то такое.
     
  4. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    > Итак, твой вариант:

    Так ведь вирта не видит этот цикл, туда нужно вставить то что видит, rdtsc например.
     
  5. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.455
    Адрес:
    Россия, Нижний Новгород
    Вирта-то здесь при чём? Я гипервизор вообще не запускал
     
  6. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    При всём! Визоры, ты их не видишь, а они везде! Везде визоры!
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

     
  8. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.455
    Адрес:
    Россия, Нижний Новгород
    Так это как в юридических формулировках: "включает, но не ограничивается".
    Кроме гипервизора там ещё гора всякого интересного, вот это и обсуждаем
     
  9. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Так а зачем что-то еще кроме визора нужно? Только визоры и нужны человечеству.
    --- Сообщение объединено, 22 июл 2020 ---
    Как там было? Типа так:
    Авер вирта
    Крутит семпл до снятия крипта
    (с) МС Авер (он же Инде)
     
  10. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    Я думал выше вопрос был про цикл и энергию под виртой разумеется. А зачем обычный цикл под ос запускать не понимаю.)
     
  11. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.455
    Адрес:
    Россия, Нижний Новгород
    Изначально вопрос был о влиянии скриптов на систему, потом плавно перешли к разным алгоритмическим грелкам (разогреть процессор как можно сильнее), и вот - сравниваем Prime95 с примерчиком UbIvItS'a
     
  12. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    HoShiMin, скрипты это конечно интересно, но подскажите лучше (как спец по ринг0 кодингу) вот что. Вот есть софт , который не дает себя удалить, т.е. ни папки удалить, ни процесс завершить, ничего. Интересует вот что:
    1. Как такое делают из ядра,т.е. запрет на удаление твоего процесса, файлов и т.д., что почитать на эту тему?
    2. Можно ли этому как -то противодействовать, грубо говоря есть один софт что себя так заблокировал в ядре, если я попаду в ядро, могу ли я оттуда снять эти "хуки", или нет?
    Разные варианты с лайв-сиди не интересны, именно программно (без обсуждений детектов и аверов).
     
  13. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.455
    Адрес:
    Россия, Нижний Новгород
    Ставят минифильтр и заворачивают запросы к файловой системе на удаление\перемещение файла. Или "грубый" способ - что-то перехватили в ядре и тоже заворачивают запросы на удаление с ошибкой.
    Запрет на завершение процесса - ObRegisterCallbacks. Кто пытается открыть хэндл процесса с правами на завершение - тому урезаем хэндл в правах. Снять этот каллбэк по-простому нельзя: тебе нужен специальный дескриптор каллбэка, который был выдан драйверу, который его установил. Если получишь этот дескриптор (отреверсишь драйвер, найдёшь, где он лежит в памяти) - можно снять. Или снимать каллбэки вручную, вырезая их из списков установленных каллбэков.
    Процессы, на открытие которых висят каллбэки, можно грохнуть, например, из ядра (на открытие ядерных хэндлов каллбэки не работают). Или послать окну процесса WM_QUIT (хэндл процесса для этого не требуется). Или как-нибудь вызвать в таком процессе необрабатываемый эксепшн. В общем, есть варианты.

    А на эту тему почитай MSDN: ObRegisterCallbacks и минифильтры
     
    M0rg0t нравится это.
  14. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    HoShiMin, при полном физ доступе к компу == все плохие драверы/службы можно откл/выгрузить, однако тут, могу предположить, вопрос был с точки зрения малвари :grin:
     
  15. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    > потом плавно перешли к разным алгоритмическим грелкам

    Ты просто вопрос не понял, мы с ним много раз это тут обсуждали. Поэтому я сразу понял. Имелась ввиду разница под виртой, именно для это и нужен был цикл. Так как с этим не вышло(тк вирта не полноценная) перешли к энергии.

    M0rg0t,

    Мониторы не удаляют это палево, их либо обходят либо ставят поверх слой какого то мода, что бы его контролировать и таким образом подменить данные.
     
  16. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.455
    Адрес:
    Россия, Нижний Новгород
    А на таких циклах действительно разницы не будет, т.к. не на чем триггериться #VMEXIT'у - простые инструкции исполняются без потерь. Или вы про софтверный визор?

    В плане как самому сделать такой зловред? Да то же самое - залезть в ядро, поставить каллбэки и минифильтр, возможно даже что-то похукать, отключив предварительно PatchGuard
     
  17. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    из юма такие метОды не катят :)
     
  18. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    Так про то и был разговор и моя ссылка в ман, он не знал. Предполагалось что цикл нагружает вирту.
     
  19. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.455
    Адрес:
    Россия, Нижний Новгород
    Ну, если надо именно из юма, то никак. Можно сбить пользователя с толку, поиграв с DACL'ами, но не больше.
    Или совсем дурацкий вариант: подгрузить свою либу во все оконные процессы через SetWindowsHookEx/AppInit_DLLs и похукать там TerminateProcess.
     
  20. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Indy_, мне интересно разработка и удаление такого.

    HoShiMin, интересно именно из ядра, из лузермода я уже понял, что ничего не сделать. Спасибо, почитаю. Ну а удалить файл можно, если его защищает этот минифильтр? Именно из другого драйвера? С процессом я уже понял, что можно убить.

    И еще немного не в тему - когда именно система подгружает пользовательские дрова, на каком этапе? Я пробовал закодить натив-апи приложение, которое загружается где-то до crss вроде , еще ничего нет, ни служб, процессов всего 3 штуки. Но нереально - выходит, драйвер уже загружен в систему? Знаю, что службы загружаются позже свцхостом.