отслеживание обращений к портам жестких дисков

Добрый день, уважаемые программисты.

Для реализации своих коварных планов необходимо осуществлять мониториг портов жестких дисков. К сожалению, не силен в программировании под Винды, посему не подскажите ли какую-либу утилиту, позволяющую вести лог обращения к портам жесткого диска в Windows.

 

www.sysinternals.com

там DiskMon

 

kaspersky

Извиняюсь за свою безграмотность, а в данной программе можно установить адреса, которые хочу отследить, и соответственно, получу что приходит и уходит??????

 

kabancho

> установить адреса, которые хочу отследить, и

> соответственно, получу что приходит и уходит??????

под w2k diskmon юзает kernel event tracing

со всеми отсюда вытекающими ограничениями.



а что тебе конкретно нужно? если нужно просто

грабить все, что записывается на диск (читается),

можно установить простой драйвер-фильтр,

описание которых (с примерами) есть в ddk

 

kaspersky

Если по существу.... Ломаю РС3000.... Т.е. беру винт, посылаю на него команды, перехватываю их.... Под Дос монитор портов написал, а вот под Винды я не умею.... Поэтому мне нужна программка, кторая просто следила за обращениями к портам жесткого диска и все кидала в лог..... А если ДДК изучать - мне придется учиться программировать под Винды.... Это, конечно, неплохо, но в настоящий момент не хотелось бы.....

 

> портам жесткого диска и все кидала в лог

diskmon показывает тип операции (ну чтение там или пись),

номер жесткого диска, флаг успешности операции,

стартовый сектор и длину.

 

kaspersky

Эх, а мне нужно номер порта и передаваемое значение.... что-то типа

out 1F0h, 35

out 1F7h, 40.....

 

Если прога лезет в порты напрямую, то отладочные регистры можно использовать, diskmon там врядли чем поможет, поскольку он использует фильтр-драйвер, что выше уровнем. Про это читать лучше всего первоисточник: "IA-32 Intel® Architecture Software Developer’s Manual Volume 3: System Programming Guide" 15.2. DEBUG REGISTERS.

 

S_T_A_S_

мне как раз нужно что-то типа резидента, который бы сканил просто порты, указанные мной и кидал в лог...... Понятное дело, что это будет дврайвер нулевого ядра, но я не умею их писать.... Они должны быть по идее.... Вот и хочу узнать, может, знает кто....

 

Как писать драйвера есть хорошие статьи Four-F. Здесь еще кое-что. Да к этой железки может и есть что готовое в сети?

 

kabancho

> мне как раз нужно что-то типа резидента,

> который бы сканил просто порты,

а, ну это. тогда просто soft-ice + макрос,

размер лога просто увеличиваешь (по дефлоту он смешной)

и все будет пучком. если только, конечно, прога

не имеет анти-айсовой защиты, но на этот случай

есть падчи для айса, правда, не для всех защит.

 

Что-то мне подсказывает, что софтайс+макрос+лог -- не лучшее решение для перехвата портов IDE-интерфейса. )

HDD, даже эстонского производства, побыстрее макросов софтайса будет.

 

_BC_

> Что-то мне подсказывает, что софтайс+макрос+лог --

> не лучшее решение для перехвата портов IDE-

> интерфейса. )

зато это то, что всегда есть под рукой.

вообще же, существует множество шпионов,

в том числе и шпионов за портами, но если

честно я так и не понял, что именно нужно.



если просто грабить обращения к портам,

для взлома защиты, то айса вполне достаточно,

т.к. скорость тут не критична, и всегда есть

возможность оформить лог так, как тебе надо.



кстати, там еще нужно и dma-порты грабить,

чтобы перехватить конктент (если, конечно, он нужен)

и прерывания сигнализ. о завершении копипования

и сам копируемый буфер





> HDD, даже эстонского производства, побыстрее

> макросов софтайса будет.

ну это да, с soft-ice конечно все тормозит,

но не так чтобы сильно, особенно на быстрых ЦП

 

СПАСИБО ЗА ПОДСКАЗКИ!!!!!!! В понедельник попробую......

 

Да, это всё тоже надо ловить. Один басмастер добавит столько хорошего настроения, что смеяться аж до слез можно.

 

но если честно я так и не понял, что именно нужно.



Фишка в том, что есть люди, которые занимаются не байтиками в памяти компа, но байтиками в прошивке винта. Например, для какого-нибудь там maxtor или фьюджицу существуют технологические команды, которые используют на заводе, но их нигде в доках не найти. Например, винтовый софт реализует для обычного кода виртуальные сектора, но реальные сектора находятся там, как описано в его внутренних таблицах. Если винт "упал", то это скорее всего может означать не дефективность инфы, но падеж этих самых модулей (кода) прошивки или разрушение таблиц трансляции виртуальных секторов в настоящие. Если ты знаешь команды перезаливки прошивки винта, то можешь восстановить всю инфу, а в большинстве контор ты увидишь разведенные руки.



Чаще всего анализируются утилиты восстановления от самого производителя, которые не дают наружу такие "заводские" команды, наоборот они тщательно это скрывают. Такой софт обычно сразу идет только под дос безо всяких расширителей вообще - чтобы не мониторили порты. Данные по дма некритичны (задача не перехват чтения), важны только посылки out в порты hdd.



Здесь ситуация с софтом под 98/nt, и она может быть решена проще

 

Chingachguk

Нужно чтобы на винте или материнке была блокировка,

перемычка там какая-нибудь

 

> байтиками в памяти компа, но байтиками в прошивке

> винта.

так значит, ее дизасмить нужно

я занимался этим и хотя не слишком преуспел,

стадию разбора команд одолел быстро



> Например, винтовый софт реализует для обычного кода

> виртуальные сектора, но реальные сектора находятся там,

дизасмить софт. это еще проще.

искать в осле даташиты на винт,

среди них часто встречаются и

технологические команды



> Если винт "упал", то это скорее всего может означать

"cкорее всего" навряд ли

это только одна из причин падения

и вроде бы даже не самая частая.



> Если ты знаешь команды перезаливки прошивки винта,

> то можешь восстановить всю инфу, а в большинстве

> контор ты увидишь разведенные руки.

часто летит электроника, механика

или образуются рельные беды. и что тогда?



> Чаще всего анализируются утилиты восстановления от

> самого производителя, которые не дают наружу

> такие "заводские" команды, наоборот они тщательно это

> скрывают.

и как они могут это скрыть?

если под dos, то они вообще дизасмятся элементарно,

если под вынь, то они взаимодействуют с винтом

через тот или иной интерфейс, как правило ASPI

или SPTI, ну или свой драйвер, в любом случае,

перехватить обращения к нему может даже ребенок



> Такой софт обычно сразу идет только под дос безо всяких

> расширителей вообще - чтобы не мониторили порты.

расширители там обычно есть.

многие утилиты работают под довевым айсом нормально...



> Данные по дма некритичны (задача не перехват чтения),

> важны только посылки out в порты hdd.

для этой цели вполне хватит айса

 

kaspersky



Я говорил на основании _реального_ опыта (успешного). Детали про hdd со слов реально занимающегося этим чела. А ты ? Когда будет зарелижен универсальный монитор портов, в котором виден хотя бы MoonWeak ?



Посему попробую ответить только на один парт:



> и как они могут это скрыть?

> если под dos, то они вообще дизасмятся элементарно,



Ну как ? Нормально обфусканный код ~260 кил, запускающийся только если нету xms, emm... etc, устанавливающий собственный менеджер, который сразу пишет насчет сайса. Или "программы под дос" означают написанный модулек на tp7 ? Чем тебе поможет то, что это "прога под дос" ?

 

Chingachguk

> Ну как ? Нормально обфусканный код ~260 кил,

страшно большой размер,

особенно если учесть, кто никто не стремился

запутать его специально. просто у них стиль

кодирования такой.

я дизасил кучу разных утилит, сейчас уже

и не вспомню от кого точно... от IBM дизасмил

точно, поскольку у меня все винты преимущество IBM

ничего сложного там не встречал.



> запускающийся только если нету xms, emm... etc,

вообще-то, если я правильно помню, вопрос был про вынь,

в любом случае дизассемблер еще никто не отменял



> устанавливающий собственный менеджер, который сразу

> пишет насчет сайса.

давай конкретные примеры, а то там неинтересно.

во многих случаях его можно обмануть (в смысле

слегка отпадчить)