elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


  Mostrar Mensajes
Páginas: 1 2 3 4 5 6 7 [8] 9 10 11 12
71  Seguridad Informática / Análisis y Diseño de Malware / Re: Introducción a la programación de drivers en Windows en: 11 Septiembre 2010, 20:13 pm
Código:

NTSTATUS HookedDeviceControl(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp) 
{
NTSTATUS       ntStatus;
PIO_STACK_LOCATION IoStack=IoGetCurrentIrpStackLocation(Irp);

PFILE_OBJECT FileObject;
POBJECT_NAME_INFORMATION wcFilePath;
ANSI_STRING aStr;

if (PsReferenceProcessFilePointer(PsGetCurrentProcess(),&FileObject)==STATUS_SUCCESS)
{
__try{
if (IoQueryFileDosDeviceName(FileObject,&wcFilePath)==STATUS_SUCCESS)
{
DbgPrint("Ruta archivo: %ws .\n",wcFilePath->Name.Buffer);
}
else
{
DbgPrint("Ruta archivo: %ws .\n",FileObject->FileName.Buffer);
}
}__except(EXCEPTION_EXECUTE_HANDLER){
		ntStatus = GetExceptionCode();
		DbgPrint("Exception: %d.\n", ntStatus);
	}



}


Este es el codigo, controlar las excepciones no me sirve de nada porque me da pantallazo azul igual :-(

Con el %wZ sige mostrando la barra y transformando la cadena con RtlUnicodeStringToAnsiString me devuelve un punto en vez de una barra.

Lo raro aparte del cuelgue de IoQueryFileDosDeviceName es que no me imprima 'Ruta archivo:' solo una barra.
72  Seguridad Informática / Análisis y Diseño de Malware / Re: Introducción a la programación de drivers en Windows en: 10 Septiembre 2010, 18:11 pm
Ya lo he probado con el %ws y el 'L' delante de todo y sale lo mismo :-[
73  Seguridad Informática / Análisis y Diseño de Malware / Re: Introducción a la programación de drivers en Windows en: 10 Septiembre 2010, 15:23 pm
Haber si alguien sabe echarme una mano.

Intento obtener la ruta del archivo desde un PFILE_OBJECT, entonces si hago esto:

Código:
if (IoQueryFileDosDeviceName(FileObject,&wcFilePath)==STATUS_SUCCESS)
           DbgPrint("Ruta archivo: %s .\n",wcFilePath->Name.Buffer);

Si hago esto funciona bien pero de vez en cuando me da un pantallazo azul muy bonito el IoQueryFileDosDeviceName(FileObject,&wcFilePath).

Así que intento evitar esta API y hago lo siguiente:
Código:
DbgPrint("Ruta archivo: %s .\n",FileObject->FileName.Buffer);

Y cual es mi sorpresa? Que solo imprime una barra :huh:

Haber si alguien me ayuda.

Gracias.
74  Seguridad Informática / Análisis y Diseño de Malware / Re: Introducción a la programación de drivers en Windows en: 4 Septiembre 2010, 18:44 pm
Medio solucionado.

Ahora solo me peta aveces  ;D
75  Seguridad Informática / Análisis y Diseño de Malware / Re: Introducción a la programación de drivers en Windows en: 2 Septiembre 2010, 16:51 pm
Tengo un problemilla con el siguiente codigo, es sencillo pero me da un pantallazo azul  >:(
Código:

PFILE_OBJECT FileObject;

PsReferenceProcessFilePointer(PsGetCurrentProcess(),&FileObject);


PsGetCurrentProcess() me devuelve el resultado correcto y no da problemas pero al usar PsReferenceProcessFilePointer pues pantallazo azul.


Saludos.
76  Seguridad Informática / Análisis y Diseño de Malware / Re: Introducción a la programación de drivers en Windows en: 17 Agosto 2010, 16:26 pm
Hola,
estoy intentando hacer un hook en un driver, cambiando una dirección de los MAJORS, el problema es que cuando lo hago se cuelga el sistema.

No se si es porque no obtengo bien la dirección del MAJOR o por el cambio de dirección del MAJOR o por la función propia que sustituyo con el hook.

Se que con el memoryze puedo ver las direcciones de los drivers y sus MAJORS así ya descartaría la primera posibilidad, pero no funciona con el windows 7.

Alguien sabría algún programa parecido que funcione en windows 7?

Por cierto Virtual pc más windbg y driver cargado con osrloader me peta la VM :S

He visto en codigos cosas parecidas a estas:
InterlockedExchangePointer(&Driver->MajorFunction[IRP_MJ_INTERNAL_DEVICE_CONTROL],HookDriver);

Seria lo mismo que esto verdad:

Driver->MajorFunction[IRP_MJ_INTERNAL_DEVICE_CONTROL] = HookDriver;

Saludos.
77  Seguridad Informática / Análisis y Diseño de Malware / Re: Introducción a la programación de drivers en Windows en: 7 Agosto 2010, 15:58 pm
Si a alguien le interesa un visor de APIs hookeadas que funcione con win7 es el RootKit Hook analizer.
 ;D
78  Seguridad Informática / Análisis y Diseño de Malware / Re: Introducción a la programación de drivers en Windows en: 6 Agosto 2010, 16:14 pm
Muy buen texto, me ha entrado el gusanillo.

Mi pregunta es si ai por aí alguna lista de las apis que se pueden llamar en modo kernel para encontrar equivalentes a las de modo usuario, por ejemplo encontrar la equivalente a GetProcessId().

Gracias por la aportación ;-)
79  Seguridad Informática / Análisis y Diseño de Malware / Re: Ejecución de Archivos desde Memoria [Base Relocation] en: 21 Agosto 2009, 11:37 am
Muy bueno  ;D Gracias a vosotros esto esta cogiendo nivel.

Saludos.
80  Seguridad Informática / Abril negro / Re: Gusano Tribant (p2p y usb) by Dober-ManN [Abril Negro] en: 26 Abril 2009, 15:29 pm
En este caso el peso no tiene nada de malo pero es elevado por una programación poco eficiente, el tamaño elevado viene a ser reflejo de eso, nada más. Sigue así nadie hace las cosas perfectas a la primera.

Saludos.
Páginas: 1 2 3 4 5 6 7 [8] 9 10 11 12
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines