Враппер для загрузчика.

Никакие перехваты не ставит, пермутирующий.

 

администраторам:
при попытке слить любой аттач (этот в том числе) получаем

Code (Text):

1. Warning: fopen() [function.fopen]: open_basedir restriction in effect. File(/var/www/wasm.ru/data/public_html/forum/attachments/37862974e90e5ef05244b46de21b373b/b4f1abfb9945da291164c85c664ca879.attach) is not within the allowed path(s): (/var/www/wasm_ru/data:.) in /var/www/wasm_ru/data/www/wasm.ru/forum/attachment.php on line 96
2.  
3. Warning: fopen(/var/www/wasm.ru/data/public_html/forum/attachments/37862974e90e5ef05244b46de21b373b/b4f1abfb9945da291164c85c664ca879.attach) [function.fopen]: failed to open stream: Operation not permitted in /var/www/wasm_ru/data/www/wasm.ru/forum/attachment.php on line 96
4.  
5. Warning: Cannot modify header information - headers already sent by (output started at /var/www/wasm_ru/data/www/wasm.ru/forum/attachment.php:96) in /var/www/wasm_ru/data/www/wasm.ru/forum/header.php on line 31
6.  
7. Warning: Cannot modify header information - headers already sent by (output started at /var/www/wasm_ru/data/www/wasm.ru/forum/attachment.php:96) in /var/www/wasm_ru/data/www/wasm.ru/forum/header.php on line 32
8.  
9. Warning: Cannot modify header information - headers already sent by (output started at /var/www/wasm_ru/data/www/wasm.ru/forum/attachment.php:96) in /var/www/wasm_ru/data/www/wasm.ru/forum/header.php on line 33
10.  
11. Warning: Cannot modify header information - headers already sent by (output started at /var/www/wasm_ru/data/www/wasm.ru/forum/attachment.php:96) in /var/www/wasm_ru/data/www/wasm.ru/forum/header.php on line 34

 

А сейчас?

 

Aquila
Сейчас у меня акк заработал, наверно.. Кстате я оттачей не вижу и не могу прикреплять. Если не логиниться при попытке скачать аттачь вылазит еррор.

 

На фтп народа залил вот http://indy-vx.narod.ru/Bin/Ldr.zip

 

Aquila
так же

 

то же самое

 

Проблему с загрузкой решил, проверю залив.

 

Aquila
Отсюда аттач не сливается с аналогичными ошибками:

Code (Text):

1. Warning: fopen(/var/www/wasm_ru/data/public_html/forum/attachments/37862974e90e5ef05244b46de21b373b/7ea0b390be129e8cdf3ad92511465790.attach) [function.fopen]: failed to open stream: No such file or directory in /var/www/wasm_ru/data/www/wasm.ru/forum/attachment.php on line 96
2.  
3. Warning: Cannot modify header information - headers already sent by (output started at /var/www/wasm_ru/data/www/wasm.ru/forum/attachment.php:96) in /var/www/wasm_ru/data/www/wasm.ru/forum/header.php on line 31
4.  
5. Warning: Cannot modify header information - headers already sent by (output started at /var/www/wasm_ru/data/www/wasm.ru/forum/attachment.php:96) in /var/www/wasm_ru/data/www/wasm.ru/forum/header.php on line 32
6.  
7. Warning: Cannot modify header information - headers already sent by (output started at /var/www/wasm_ru/data/www/wasm.ru/forum/attachment.php:96) in /var/www/wasm_ru/data/www/wasm.ru/forum/header.php on line 33
8.  
9. Warning: Cannot modify header information - headers already sent by (output started at /var/www/wasm_ru/data/www/wasm.ru/forum/attachment.php:96) in /var/www/wasm_ru/data/www/wasm.ru/forum/header.php on line 34

 

Aquila
Так я и не вижу аттачей. Вроде я вам на мыло отписывал, вы должны были получить сообщение про Грейта, фтп и баги.

 

Расширения http://indy-vx.narod.ru/Bin/LdrExts.zip
Добавил туда:
o Поиск LdrpDllNotificationList и регу нотифи.
o Поиск ShowSnaps и регу VEH(для запуска логгера PEB.BeingDebugged -> 1, ShowSnaps -> 1).
o Енум фиксапов для поиска ссылок.
o Загрузку копии уже загруженного модуля по другой базе(думаю корректно, находится описатель в базе, изменяется имя, загружается модуль и имя восстанавливается, на это время лодер захватывается(LdrLockLoaderLock()).

 

Прошло пол года, за это время двиг откатан многими, механизм оказался весьма успешным. Проблемой оказалась отладка - была весьма затруднительной для многих. Использовался способ защиты описателя секции от закрытия загрузчиком, причём это приводило к возникновению исключения под отладчиком. Обходится пропусканием сервиса NtClose в загрузчике. В связи с этим я изменил саму модель - теперь хэндл секции не защищается и не закрывается надстройкой, это делает загрузчик. Разумеется могут возникнуть проблемы типо утечки ресурсов в случае возникновения сепшена в загрузчике, но нормально эта ситуация никогда не возникает. Таким образом сейчас надстройка работает под отладчиком. Это позволяет снимать загрузочный лог для диагностики(FLG_SHOW_LDR_SNAPS).

Так как двиг предоставляет рантайм для получения адреса экспортируемых функций, то это юзается часто, таким образом индекс этому сервису присвоен нулевой. Теперь модель вызова следующая:

Code (Text):

1. LDR_QUERY_ENTRIES   equ 0
2. LDR_QUERY_ENTRY equ 1
3. LDR_LOAD_DLL        equ 2

 

По просьбе автора удалено обсуждение о том, что test.exe не работает под Windows 7 64 bit, так как так и задумано.

 

А про Win7 32 битную? Тоже так положено. Под какими версиями 32 битными работает тогда?

 

sysexit
Должно работать на всей линейке NT. Если вы не знаете что запускаете или экзешник из семпла не работает то это не мои проблемы.

 

Ну я и говорю, что на Win7 32 битной тоже не работает ваш загрузчик.
Это я так к сведению.

 

у мну нод пишит крупт вин32 вирус )