1. Если вы только начинаете программировать на ассемблере и не знаете с чего начать, тогда попробуйте среду разработки ASM Visual IDE
    (c) на правах рекламы
    Скрыть объявление

№№ вызовов Shadow SDT??

Тема в разделе "WASM.NT.KERNEL", создана пользователем test555, 19 янв 2010.

  1. test555

    test555 New Member

    Публикаций:
    0
    Регистрация:
    7 дек 2007
    Сообщения:
    241
    Где можно посмотреть, или вообще каким образом узнать индексы вызовов теневой таблицы?
    Они ведь тоже меняются от версии к версии винды?
     
  2. wasm_test

    wasm_test wasm test user

    Публикаций:
    0
    Регистрация:
    24 ноя 2006
    Сообщения:
    5.582
    Конечно меняются. Посмотреть - открыть win32k.sys в IDA с символами
     
  3. test555

    test555 New Member

    Публикаций:
    0
    Регистрация:
    7 дек 2007
    Сообщения:
    241
    Открыл в IDA, потом File - Load File - PDB file
    Он пару минут подгружал...

    То ли я сделал, если да, то где посмотреть номера??
     
  4. test555

    test555 New Member

    Публикаций:
    0
    Регистрация:
    7 дек 2007
    Сообщения:
    241
    Нашел смещение в файле, по которому располагается известный мне вызов, потом перешел по тому адресу в ИДе..

    Больше не знаю что делать 0_о
     
  5. lhc645

    lhc645 New Member

    Публикаций:
    0
    Регистрация:
    9 авг 2009
    Сообщения:
    106
    Нашли функцию из шадоу-таблицы, выбрали в иде Jump to xref to operand... Перешли по адресу. Скроллите на начало массива - символ называется _W32pServiceTable (либо можете сам символ найти в окне Names). Затем выделяете всю таблицу, преобразовываете в массив (Array) и в окне создания массива указываете

    http://s57.radikal.ru/i156/1001/7e/7d52a45298bd.jpg

    Получится что-то вроде

    .data:BF99AA00 _W32pServiceTable dd offset _NtGdiAbortDoc@4; 0
    .data:BF99AA00 dd offset _NtGdiAbortPath@4; 1 ; NtGdiFONTOBJ_pifi(x)
    .data:BF99AA00 dd offset _NtGdiAddFontResourceW@24; 2
    .data:BF99AA00 dd offset _NtGdiAddRemoteFontToDC@16; 3
    .data:BF99AA00 dd offset _NtGdiAddFontMemResourceEx@20; 4
    .data:BF99AA00 dd offset _NtGdiRemoveMergeFont@8; 5
    .data:BF99AA00 dd offset _NtGdiAddRemoteMMInstanceToDC@12; 6
    .data:BF99AA00 dd offset _NtGdiAlphaBlend@48; 7
    .data:BF99AA00 dd offset _NtGdiAngleArc@24; 8
    .data:BF99AA00 dd offset _NtGdiAnyLinkedFonts@0; 9
    .data:BF99AA00 dd offset _NtGdiFontIsLinked@4; 10
    .data:BF99AA00 dd offset _NtGdiArcInternal@40; 11
    .data:BF99AA00 dd offset _NtGdiBeginPath@4; 12
    .data:BF99AA00 dd offset _NtGdiBitBlt@44; 13
    .data:BF99AA00 dd offset _NtGdiCancelDC@4; 14
     
  6. test555

    test555 New Member

    Публикаций:
    0
    Регистрация:
    7 дек 2007
    Сообщения:
    241
    видимо что-то с символами не так ((
    В окне Names не могу найти нужного значения _W32pServiceTable

    Проблема решена, на этой ветке есть ссылки на таблицы с полученными массивами, с 2000 до 7....

    http://rootkits.su/viewprintable.php?id=40

    ПС: хотелось бы разобраться, почему с символами не получилось?
    ИДА5, File - Load File - PDB file - он без запросов подгружает символы.. (вроде их ставил давным давно)..
     
  7. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    _NT_SYMBOL_PATH прописан?
     
  8. test555

    test555 New Member

    Публикаций:
    0
    Регистрация:
    7 дек 2007
    Сообщения:
    241
    видимо что-то с символами не так ((
    В окне Names не могу найти нужного значения _W32pServiceTable

    Проблема решена, на этой ветке есть ссылки на таблицы с полученными массивами, с 2000 до 7....

    http://rootkits.su/viewprintable.php?id=40

    ПС: хотелось бы разобраться, почему с символами не получилось?
    ИДА5, File - Load File - PDB file - он без запросов подгружает символы.. (вроде их ставил давным давно)..
     
  9. wasm_test

    wasm_test wasm test user

    Публикаций:
    0
    Регистрация:
    24 ноя 2006
    Сообщения:
    5.582
    Попробуй скачать символы вручную через symchk из комплекта Debugging tools for Windows, выдрать из подкаталога symbols\win32k.pdb\ХЭШ\win32k.pdb файлик и поместить в один каталог вместе с .sys и потом уже подгрузить в IDA.
     
  10. test555

    test555 New Member

    Публикаций:
    0
    Регистрация:
    7 дек 2007
    Сообщения:
    241
    Благодраю всех!