Вывести трассу вызовов DLL?

Тема в разделе "WASM.RESEARCH", создана пользователем Rel, 19 янв 2019.

  1. Indy_

    Indy_ Забанен

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    2.267
    UbIvItS,

    > в самом тихом режиме неминуемо даст перекосы. + можно соорудить тесты на валидность адресов вызова.

    Что значит валидность адресов, если что то не валидно, то улетает в крэш.

    Это понятно что есть разница по профайлу, но как это узнать, те снять профайл, счётчики то в симуляции. Я даже не могу предположить как такое провернуть. Кэши вы упомянули и перекосы как не давние атаки, но там счётчиками и снимался профайл.

    TermoSINteZ,

    > Вы просто включаете режим процессора.

    Зайдите на ресурс где народ занимается реальными вещами, тот же кл. Такое посоветуйте и вас обольют дерьмом вообще все. Технология заложенная в железо никакого отношения не имеет к задаче, которую она решеает вне среды вендоров. Хорошо в железке есть некий механизм IPT, для этого нужно пилить драйвера, изучать, отлаживать, привлекать людей кто в теме; при этом не ясно вообще как это будет работать.. И это совет для решения тривиальных задач, которые отлично решаются в юм. Это практически слоники в сферическом вакууме". Ты есчо посоветуй загрузочный eprom перешить с smb, что бы цвет окна поменять :D
    Я думал что ты адекватен в таких вопросах. Впрочем давай посмотрим реально и практически, сколько тебе нужно времени что бы допустим найти вводимую строку в блокнот, через эти ipt etc ?
     
  2. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    1
    Регистрация:
    11 июн 2004
    Сообщения:
    3.087
    Адрес:
    Russia
    Indy_, так посмотрите на заголовок темы. посмотрите в каком она разделе (не Vx) . Погуглите и узнаете, что пилить ничего не надо . И не надо находить строчку в блокноте. А нужно сделать трейс.
    Если мне нужно сделать трейс - у меня уже есть и драйвер написанный и много чего еще. Но для задачи - найти строчку в блокноте я не стану делать трассу вызовов ДЛЛ - просто перехвачу в отладчике обработчик ввода текста.
    Я думал вы внимательно темы читает, а вы оказывается все там же )
     
  3. Indy_

    Indy_ Забанен

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    2.267
    TermoSINteZ,

    > посмотрите в каком она разделе (не Vx) . Погуглите и узнаете, что пилить ничего не надо . И не надо находить строчку в блокноте. А нужно сделать трейс.

    Я не помню что бы упомянал виксы в данной теме. Вот вы говорите сделать трейс", но покажите как это сделать.

    > у меня уже есть и драйвер написанный и много чего еще. Но для задачи - найти строчку в блокноте я не стану делать трассу вызовов ДЛЛ - просто перехвачу в отладчике обработчик ввода текста

    Во первых получается что у вас есть какие то драйвера, но к ним есчо и интерфейс нужен. Не мне вам объяснять какие кривые такие интерфейсы. Но дело не в этом. Вы не решите ничего вашими драйверами(которых нет) быстрее и лучше чем я на данный момент(те у вас нет отработанных техник и инструментов). Могу с вами поспорить, конечно же вы это делать не будите, по очевидным причинам - кроме терминов у вас нет конкретной реализации. Покажите что я не прав.

    Я могу найти строку в апп не используя драйвера, но всё равно интересно как вы сделаете это использую км.
    --- Сообщение объединено, 6 фев 2019 ---
    TermoSINteZ,

    > просто перехвачу в отладчике обработчик ввода текста.

    Я вопрос с подвохом задал, ты же не думал что будет просто :)
    .
    Это распространённый вопрос по работе гуя.

    Вывод текста на контекст. На стороне юм собираются запросы в гуй. Затем при вызове любого теневого сервиса пакет обрабатывает ядро. При этом явного механизма нет - перехватывать нечего, нет апи или сервисов. Это пакетная обработка тенью. Параметры загружаются в локальное хранилище(TEB), при сервисной обрабтке ядром(до вызова соотвествующего сервиса) пакет обрабатывается. Поэтому ты выводимую строку не найдёшь патчем, тебе нужно отследить загрузку строки в хранилище(TEB), те выборку данных(DF).
     
  4. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    4.189
    TermoSINteZ, superakira,
    Друзья, ядро любой оси по сути своей и есмь визор, тч технология и того старше :grin:
    --- Сообщение объединено, 6 фев 2019 ---
    есть след. техники самозащиты кода..

    1. записываем все относительные смещения адресов вызова функций == просто так вставить свой call ужо не выйдет, пч он будет указывать на невалидное смещение.
    2. делаем хэши для различных участков кода, то бишь легко будет сверить целостность искомого кода.
    3. счётчики (самый лёгкий способ отлова дебаг моуда, хорош и против железного дебагера).
    4. хот-патч == прога может восстанавливать себя к искомому виду на лету.
    ======
    Indy_ и етЬ тока юм, а с дравером совсем туго :)