|
|
|Ѳорум| |
ИНСТРУМЕНТЫ > Уголок NT+ |
|
FakeRDTSC
by adaptor&deroko
Драйвер эмуляции RDTSC с полными исходными кодами на ASM. RDTSC - это инструкция замера количества тиков, которое можно использовать в анти-отладочных целях. Этот драйвер делает инструкцию привилегированной в ring3 и подсовывает в ответ некие заведомо малые псевдослучайные числа. Сайт программы: Размер: 5.5 kb · Хитов: 1744 Комментариев: 2 I/O Control Code Decoder v1.6 by Four-F Если вам когда-либо приходилось дизассемблировать драйверы, то вы наверное заметили, что не так то просто распознать управляющие коды ввода-вывода в шестнадцатеричных значениях типа 00070000h, 00070014 и т.п. С помощью IoctlDecoder эта задача становится тривиальной. Сайт программы: http://www.wasm.ru Размер: 19.8 kb · Хитов: 1862 Комментариев: 1 KLISTER v 0.4 by Joanna Rutkowska Ок. Вопрос: как спрятать процесс? Новичок будет чесать тыкву. Человек поопытнее отправит к кому-нибудь, вроде Джеффери Рихтера. Человек еще поопытнее посоветует хукать NtQuerySystemInformation и иже с ним. + еще хук на функции на хендлы окон и все, якобы можно считать свой процесс полностью скрытым. Хи-хи :) Вот эта утилита - драйвер - демонстрирует технику считывания процессов прямо через системные структуры - EPROCESS и т.п., начинающиеся с символа PsActiveProcessHead (читаем тут: http://www.phrack.org/phrack/59/p59-0x10.txt) и, запустив эту программу, вы можете быть уверены, что увидите ВЕСЬ список процессов таким, какой он есть в действительности. Новая версия klister 0.4 уже способна обойти и утилиту the90210/WASM.RU - более подробно см. rootkit.com "Cheating klister?". Сама утилита the90210 доступна с http://29a.host.sk журнал №7 Сайт программы: http://www.rootkit.com Размер: 111.61 kb · Хитов: 2203 Комментариев: 2 KmdKit 1.8 by Four-F Название говорит само за себя :). Набор заголовочных файлов, .lib, макросов, исходников и утилит, призванных помочь для создания драйверов под Win2k программистам, использующим MASM32. Абсолютно уникальная вещь - inc-файлы содержат описания недокументированных структур 0-кольца! Такого вы не встретите больше нигде. Также обязательно ознакомьтесь с циклом статей Four-F по написанию драйверов под Windows на ассемблере. Сайт программы: http://www.wasm.ru Размер: 1053.1 kb · Хитов: 4853 Комментариев: 2 Log DRx access by yAtEs Очень любопытный драйвер с полным исходным кодом. Показывает все обращения к DR-регистрам. Описание редактируется. Сайт программы: http://www.yates2k.net/syscode.htm Размер: 1346.32 kb · Хитов: 1734 Комментариев: 0 ndis.inc by MaD Модуль, содержащий описание важнейших типов, констант, структур и функций библиотеки NDIS. Указаны смещения полей структур, их размер, что облегчает реверсинг NDIS-драйверов и систем безопасности, основанных на NDIS. В модуле используются базовые типы, структуры etc из DDK, поэтому рекомендуется использовать вместе с KmdKit. Сайт программы: Размер: 19.78 kb · Хитов: 1840 Комментариев: 1 Ntifs.h by Too many Еще один файл - невероятно ценен многочисленными прототипами функций. Незаменим для любителей покопаться в файловой системе NT. Также обязательно загляните на сайт автора - там еще много всякой всячины есть! Сайт программы: http://www.acc.umu.se/~bosse/ Размер: 47.44 kb · Хитов: 1874 Комментариев: 0 obx v1.00 - Kernel Object Debugger Extensions by Four-F Отладчик ядра Microsoft Kernel Debugger, точнее его расширение в библиотеке kdextx86.dll/kdexts.dll, предлагает пару команд для работы с объектами ядра, но этого явно недостаточно. Получить более подробную и структурированную информацию можно с помощью расширения obx.dll. Сайт программы: http://www.wasm.ru Размер: 25.46 kb · Хитов: 1658 Комментариев: 0 PDBdump 0.8 by Andrew de Quincey Написанный на чистом хардкорном С++ этот дампер pdb-файлов просто незаменим для любого реверсера недр Windows. Этот парсер использует движок самой MS - DIA SDK (более свежую версию можно слить с этого же сайта) для разбора PDB-файлов. Скажем, вас заинтересовала структура PEB. Для этого вы идете и с сайта MS сливаете символы отладки. Потом с помощью этого парсера вылавливаете ценнейшие сведения. Если кому интересно поболее - то см. статью "Об упаковщиках в последний раз, часть II". Кстати, знаменитый KmdKit by Four-F создавался с ба-а-альшим участием этой утилиты. Данная тулза была перебилдена с помощью DIA SDK от VS 2005 и юзает, соответственно, msdia80.dll. Благодаря перебилду парсер теперь может обрабатывать некоторые, недоступные ранее файлы. Сайт программы: http://pdbdump.sourceforge.net/ Размер: 510.59 kb · Хитов: 2002 Комментариев: 0 Phide by 90210 Данная утилита предназначена для того, чтобы прятать процессы от Джоанновского Klister 0.3. Однако Джоанна подсуетилась и быстренько выпустила версию 0.4, от которой эта утилита уже не спасает. Тем не менее, просто в качестве академического интереса (сорцы-то ведь открыты) ее стоит выложить. Более подробно см. rootkit.com и 29a.host.sk Сайт программы: wasm.ru Размер: 31.27 kb · Хитов: 1765 Комментариев: 0 Process Hunter by Ms. Rem Детектор скрытых процессов. Весьма пригодится, если есть подозрения на зверька, живущего в системе. Интерфейс, разумеется, достаточно примитивен, да и функциональность не так и велика, но кое в чем, уж точно, будет много полезнее того же знаменитого Process Explorer от Руссиновича. Сайт программы: http://ms-rem.dot-link.net/ Размер: 279.35 kb · Хитов: 2748 Комментариев: 3 RkU v3.31.150.420 by EP_X0FF, MP_ART Это антируткит с достаточно серьезным набором возможностей: Обнаружение перехватов Service Descriptor Table Включает возможность снятия обнаруженных перехватов Обнаружение/снятие перехвата SYSENTER/Int 2e Обнаружение перехвата (подмены) обработчика инструкции или прерывания (IDT-хук) + восстановление оригинальных обработчиков Обнаружение скрытых процессов Снятие скрытых процессов Включает принудительную терминацию с вычисткой виртуальной памяти Дамп (считывание на диск) скрытых процессов с возможностью восстановления секций внутри файла для последующего анализа Обнаружение скрытых драйверов Дамп (считывание на диск) скрытых драйверов Уникальная возможность позволяет вам считать выбранный драйвер на диск Обнаружение хуков IRP Обнаружение основанных на перехвате функций хуков Включает наиболее мощный на данный момент детектор inline (прямая вставка кода) хуков в драйверах, библиотеках. Обнаружение скрытых библиотек. Как часть "Детектора перехватов кода". Показывает адрес (если он может быть определен) скрытой библиотеки Обнаружение скрытых файлов. Включая обнаружение файлов скрытых от Windows API на диске. Поддерживаемые файловые системы: FAT32 и NTFS (включая потоки NTFS). Низкоуровневые файловые операции Удаление содержимого/копирование скрытых и видимых файлов (включая потоки NTFS). Сайт программы: http://www.rku.xell.ru/ Размер: 125.31 kb · Хитов: 2944 Комментариев: 10 RootKit toolkit 0.44 by Hoglund Ковыряние в недрах Windows - вещь, мягко говоря, не слишком легкая. Самое главное здесь, любой ценой выходить на определения структур данных и прототипов функций - это невероятно помогает при анализе дизассемблированного текста. Этот файл представляет собой драйвер (2000+), который перехватывает некоторые функции путем модификации SDT/SST, что делает возможной антиотладку на очень низком уровне - кольцо-0. Тулкит уникален и содержит прототипы очень многих абсолютно недокументированных функций и структур Windows. Абсолютно необходим любому системному программисту под Windows. Да, еще. На этот файл ругается Norton Antivirus. Так что, перед тем как скачивать - подумайте, вдруг мы вам винт хотим отформатировать :)))) Сайт программы: http://rootkit.com Размер: 252.44 kb · Хитов: 1942 Комментариев: 0 RootkitRevealer 1.7 by Mark Russinovich РутКит - это такая штука, типа спайвари, но только в нулевом кольце. Традиционно руткиты пишут ребята с rootkit.com. А эта штука их находит. Подробности см. по линку. Сайт программы: http://www.sysinternals.com/utilities/rootkitrevealer.html Размер: 207.62 kb · Хитов: 1790 Комментариев: 0 Strace 0.3 by RAZOR - BIND View Эта утилита демонстрирует глобальный хук функций через ST. Шрайбер уже описывал своего шпиона по этой технологии - ребята пошли еще немножко дальше. Сходные алгоритмы используются и в *mon (Regmon/Filemon и т.п.) утилитах Руссиновича. Помните, что ключ реестра HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\EnforceWriteProtection блокирующий запись в ST, должен быть выставлен в нуль. Впрочем, если у вас стоит Soft-Ice, то он это сделает автоматом. Если нет - получите BSOD. Исходники утилиты на С прилагаются. Мои благодарности Four-F. Сайт программы: http://www.bindview.com/Support/RAZOR/Utilities/Windows/strace_readme.cfm Размер: 310.73 kb · Хитов: 1736 Комментариев: 0 WinObjEx v3.2 by Four-F Утилита, показывающая список объектов Windows. Написана по мотивам WinObj от Марка Руссиновича, только, само собой, получше будет :) Сайт программы: http://www.freewebs.com/four-f/index.htm Размер: 130.91 kb · Хитов: 2190 Комментариев: 12 Исходники к Свену Шрайберу by Свен Шрайбер Это исходные кода и утилиты, которые Свен написал для своей книги "Недокументированные возможности Windows 2000". Самой книги здесь, разумеется нет и никогда не будет. Однако считаем возможным выложить исходники, т.к. любой программист-системщик под Windows будет рад и счастлив иметь файл w2k_def.h в своем распоряжении. Сайт программы: http://www.orgon.com/w2k_internals/ Размер: 531.63 kb · Хитов: 1927 Комментариев: 0 Исходные кода Regmon/Filemon by Mark Russinovich В дистрибутиве лежат исходники к Filemon 4.34 и Regmon 4.35. Как вам известно, впоследствие автор прекратил релиз исходного кода, оставив лишь сами утилиты, что очень печально, т.к. исходные кода таких вещей, без сомнения, очень и очень полезны. Мои благодарности Max. Сайт программы: http://www.sysinternals.com Размер: 1423.86 kb · Хитов: 6521 Комментариев: 1 Недокументированные структуры W2k под IDA by Four-F IDC скрипт с очень многими недокументированными структурами к IDA. Очень пригодится любому исследователю недр Windows. Внимательно прочтите readme! Обязательно помните, что недокументированные структуры имеют поганую тенденцию к изменениям. Ничто не мешает MS маленько поправить их в своем Longhorn или Windows 2005 и данный файл смысл потеряет. Но для 2k и, возможно, XP, он великолепен. Сайт программы: wasm.ru Размер: 20.47 kb · Хитов: 1804 Комментариев: 1 |