Формат ALPC-сообщений системных серверов

Тема в разделе "WASM.RESEARCH", создана пользователем Marylin, 19 мар 2025.

Метки:
Страница 2 из 2
  1. Ahimov

    Ahimov Active Member

    Публикаций:
    0
    Регистрация:
    14 окт 2024
    Сообщения:
    646
    По отладке, юзер отладчик не покажет в списке на аттач csrss, так как сфейлит NtOpenProcess. Но есть лекарство.
     
    Ahimov, 22 мар 2025
    #21
  2. galenkane

    galenkane Active Member

    Публикаций:
    1
    Регистрация:
    13 янв 2017
    Сообщения:
    470
    нужно прицепиться отладчиком к клиенту
    (например, svchost.exe), поставить брейкпоинт на
    NtAlpcSendWaitReceivePort и посмотреть, как
    клиент формирует ApiNumber и упаковывает
    аргументы в CaptureBuffer ПЕРЕД отправкой
    Посылать нужно валидную структуру API_MSG,
    подменяя только данные, на которые она ссылается,
    а не саму структуру (иначе сообщение не пройдет
    базовую валидацию ALPC-цикла)
     
    galenkane, 29 май 2026 в 21:34
    #22
Страница 2 из 2