Ошибка таблице сисколов на http://gr8.cih.ms/

http://gr8.cih.ms/uploads/syscalls.html
Вот тут походу ошибка в функции NtOpenProcess. Написано 0xbf, а у меня в висте 6000
0xc2, притом я проверял в деле, действительно такой адрес. Насчет других функций не знаю...

 

Это взято с metasploit.com ) я уже слышал, что там не все функции верно указаны. скорее всего билды висты разные

 

я это написал для новичков типа меня, пусть не пользуются таблицами а определяют адреса сисколов в процессе работы драйвера

 

Weberd
Как это сдеть без анализа 1й команды требуемой ф-ии ntdll, которая не факт что и будет первая (а вот тут у меня сомнения).

 

Берешь дизассемблер (придется прикрутить, хотя бы дизасм длин + распознавание MOV EAX, IMM32) и ищешь команду MOV EAX, IMM32...

 

asmfan
Win2k - Win2k3 SP2
нормально

 

asmfan пишем аналоги GetModuleHandle и GetProcAddress под ядро

 

n0name
А в Висте как? Ковырял там кто ntdll? Там ещё можно 2е (KiIntSystemCall) вызовы делать? а в 64битных анологах?
Weberd
Так то оно так, даже возможно самый верный способ, но не юзермодный (

 

asmfan
для меня пока Виста не актуальна.

 

asmfan
Вот, юземодный. Или ты хочешь сказать он под висту не пашет? Да, не пашет

Код (Text):

1.     HMODULE hNtDllModule = GetModuleHandle(L"ntdll.dll");
2.     PDWORD pdwServiceNumber = (PDWORD)((DWORD)GetProcAddress(hNtDllModule, "NtOpenProcess") + 1);
3.     printf("0x0%x", *pdwServiceNumber);

 

Меня интересует почему непашет. Копал ntdll под вистой? Мож прояснишь что к чему? Или метод Great'а с поиском единственный подходящий и более-менее универсальный.

 

я не копал, мне не надо. но судя по ошибке Висте нужен какой-то хитрый манифест для этого файла. Почитай http://www.codeproject.com/useritems/UAC__The_Definitive_Guide.asp?msg=2087734, может поможет....

 

asmfan
выложи где-нить.

 

n0name
?чаво)) выкладывать и нечего) может не мне было обращение? Я тока спрашивал про висту, сам её даже не щупал, поэтому и интересно как у неё заглушки устроены в ntdll.

 

ммм, а откуда тогда такие сведения?

 

хм, ну тогда перенаправляю запрос к Weberd

 

я все выше сказал. Вылезает сообщение: "The application has failed to start because its side-by-side configuration is incorrect" Я думаю это из-за манифеста, хотя на самом деле хз, мне из юзермода узнавать адреса не надо

 

Да выложите ктонить наконец ntdll из Висты, и глянем )

 

я могу выложить. куда его закачать?