Самый надежный способ поиска неэкспортируемых функций

Нужно найти LdrpInitializeProcess в ntdll.dll

Варианта пока что у меня два
1. Забить RVA функций и в зависимости от версии Windows брать нужную
2. Забить сигнатуры на каждую версию и в зависимости от версии искать сигнатуру.

Есть ли более надежные способы поиска неэкспортируемых переменных в общем случае и конкретно в данном?

 

я помню Клерк предлагал искать как-то через отладочные сигнатуры, оставленные мелкомягкими... но я чет уже не помню, поищи по форуму...

 

взять исходники и написать свою

 

как правило с обновлениями порядок функций меняется не кардинально
имеет смысл искать по сигнатурам отталкиваясь от какого либо близ лежащего публичного символа
проверяя пару заведомо правильных смещений

 

intel_x128
1. Ставим VEH
2. включаем ShowSnaps (погугли, есть инфа - мож даже на васме есть)
3. ловим DBG_PRINTEXCEPTION_C
4. Ищем строку(в сепшинах_принтовых) "LdrpInitializeProcess" например... или "Initializing process", да любую вообщем в той функе.
5. Получили мы адресок, бектрейс (в контексте есть все) = получаем рет_аддр, 4 байт "выше" будет адрес искомой функи.
про контекст и сепшины читаем внимательно http://wasm.ru/forum/viewtopic.php?id=32181

Вариант 2
строим графы, анализируем и получаем адрезз
думаю есть есчо варианты, но вот два наглядных, о которых я есчо успел у Клерка разузнать)

 

знаем откуда вызывается
ищем колы
смотрим сиги
а так граф))

 

ASMatic
Аверы его не сгноили, скорее наоборот, просто у вас недостаток инфы
Кстате использование графов не требует включение механизма исключений. Это одна из проблем динамического сокрытия(детектор определяет Ip из информации об фолте, использование сервисов для такого чтения потребует криптование двух списков - цепочки стековых фреймов и цепочки сех-фреймов.

В общем способов куча, все они завязаны на графы. Желающие смогут почитать матчасть скора(ага инде щас пишет книгу).

 

привет кЛЕРКО

 

punxer
Здрасти. Нас двоих забанит злой одмин =)

 

2Слерк
Огромное спасибо за способ скрытия TLS через юзание LdrpAllocateTls
Вас тут очень не хватает! Возвращайтесь

 

тут чот недопонял

это к сепшинам, т.к. это "активный" метод, т.к. разок надо код заекзекутить = мне не нравиться такой подход, но он проще

а тут ни слова о сепшинах.

+

Indy_Rnd_001
здравствуйте

 

бугогашечка)))

 

руткит недопейсал, засел за мемуары

 

Indy_Rnd_001
зарег новы ник
и приходи
мы ждем тебя хотя и так сойдет))

 

Rel
ohne
<Самый надежный способ поиска неэкспортируемых функций>
а вам бы пописдеть = варианты. а не паписдеть, друзья
Добавлено:
какбы, по делу есть чо?

 

Вы когда нибудь видели кого то такого же\круче, чем Indy_Rnd_001? Возвращайся и напеши техническую стотью- тебя все ждут!

 

такого же - нет...

 

Наоборот(бэктрейс)

Код (Text):

1. стал авером->сгнил самостоятельно

 

Rel
А что смешного. Это инде ржёт читая васм.

TrashGen
Помните треш, инде писал в блоге про лдт - мол можно создавать ядерные дескрипторы через 2A гейт ?
Для этого нужно удалить процедуру валидации из графа. Делается в несколько строк. Увы, но треш на этом выeбываться прекратил - удалить из графа ветвь для вас недоступная задача. Так что медитируйте.

 

Упомнишь тут кажного индеза. Тыщи их!
Не помню ничего, пруфы довайте.