Конференция VBStreets

[ANDLL]

Это что-то вроде установщика виртуального устройства?
(Это предположение основано на экспортируемых екзешником функциях)

Это не exeшник.

[Kovu]

ANDLL

Ну файл то екзе называется
А так метод дедукции показал что это драйвер .

[keks-n]

Убить мона всё... Получим физические адреса его страниц памяти, потом по ним пишем нули... Всё это в ring-0... Кстате, мне кажется, что ты в этот ring-0 перехватчик OpenProcess положил...

З. Ы. Админовский аккаунт говоришь... так под ним мона и KMODE_EXCEPTION_NOT_HANDLED в модуле(у меня это killsys.sys)

[Kovu]

У него скорее перехват не OpenProcess, а NtTerminateProcess

[ANDLL]

Убить мона всё... Получим физические адреса его страниц памяти, потом по ним пишем нули... Всё это в ring-0...

И что? Неполучится, я уже говорил. Код, который находится внутри того "бесконечного" цикла находится не в памяти процесса.

[keks-n]

ПОНЯЛ... Ты осуществляешь синхронное обращение к драйверу, где у тя бесконечный цикл Пока драйвер не ответит на сообщение тебе не вернут управлении, но и завершить процесс низя, т. к. незавершённый вызов драйвера... Правильно?

[keks-n]

Kovu
Не придирайся к словам... Если уж на то пошло, то ZwTerminateProcess в ntoskrnl.exe

[keks-n]

DisplayName: bchb
ImagePath: \??\D:\WINNT\system32\bchb.exe
Start: 3
Type:1

И убедите меня, что Type=1 не означает kernel-mode driver

З. Ы. Возникла мысля, что ты включаешь отладку процесса, во время которой его грохнуть низя, надо сначала завершить отладчик. А отладчик засел в kmode

[ANDLL]

ПОНЯЛ... Ты осуществляешь синхронное обращение к драйверу, где у тя бесконечный цикл Пока драйвер не ответит на сообщение тебе не вернут управлении, но и завершить процесс низя, т. к. незавершённый вызов драйвера... Правильно?

Угу. Но сути вопроса это не меняет. Как его теперь завершить?
Собсно, сам драйвер записывается в конце exeшника, распаковывается в system32, устанавливается, и пускается irp До тех пор, пока irp не будет завершен, процесс "неубиваемый". Как видите, никаких хуков, никакого RemoteThread. И, заметьте, "обнуление" памяти процесса никчему не приведет. Не ну можно, конечно, обнулить системные страницы windows. Но мы ведь не ставим целью вызвать BSOD
Ну а вот, что в драйвере:

Код: Выделить всё

      LARGE_INTEGER li1,li2;
      li1.QuadPart=-4000000;
      li2.QuadPart=-100000000;
      for(;;)
      {
         __asm
         {
            mov al, 0b6H
            out 43H, al
            mov ax,2500
            out 42h,al
            ror ax,8
            out 42h,al
            in al, 61H
            or al, 03H
            out 61H, al
         }
         KeDelayExecutionThread(KernelMode,FALSE,&li1);
         __asm
         {
            in al, 61H
            and al, 0fcH
            out 61H, al
         }
         KeDelayExecutionThread(KernelMode,FALSE,&li2);
      }


Как позже сообщил tyomitch, вместо этих асмов можно делать HalMakeBeep. Тогда код программы сокращается до пяти строчек.

PS. До апгрейда второй параметр у KeDelayExecutionThread был равен TRUE, и при попытке завершить процесс, ясное дело, ожидание обрывалось, что приводило к весьма "приятному" для человеческого уха эффекту. Теперь я решил заменить его на FALSE.

[keks-n]

Драйвер остановить мона Тока это большие траблы.

[keks-n]

Вопрос: А что ты сможешь сделать из процесса с обнулёнными страницами?

И еще: Нафиг нам надо что-то в user-mode, если у нас код в нулевом кольце???

[tyomitch]

Вопрос: А что ты сможешь сделать из процесса с обнулёнными страницами?

И еще: Нафиг нам надо что-то в user-mode, если у нас код в нулевом кольце???

keks-n, а тебе совсем ничего юзермодного не хочется? Окошки, скажем, порисовать?

[keks-n]

У нас есть всяческие системные процессы, в которые мона впихнуть код.

Если кто-то не даёт прибить свой процесс в user-mode, то 98%-это вирус. А зачем вирусу GUI?

Теоретически окошко можно нарисовать из ring-0, но вот отлов сообщений

[tyomitch]

Поднимаю топик, чтобы обратить внимание автора на весьма интересный и, по-видимому, чисто юзермодный трюк с таким же эффектом.
http://bbs.vbstreets.ru/viewtopic.php?p=6604918#6604918

[Twister]

Одна фишка - при попытке убить процесс нормальные потоки убиваются, а повисшие нет. Поэтому если разок этот процесс Terminate-нуть, то толку от него не будет - останутся лишь мертвые потоки и все...

[Twister]

Посетило меня две бредовых идеи по поводу того, как остановить твою прогу, ANDLL. Только это чистые рассуждения, на практике это может оказаться полной бредятиной... Итак:

1. Как ты общаешься с драйвером? Через IOCTL? А открываешь его с помошью CreateFile? Тогда можно попробовать заморозить процесс (ZwSuspendProcess), найти хэндл этого открытого файла, закрыть его и попытаться прибить.

2. Можно создать в процессе удаленный поток с таким кодом:

Код: Выделить всё

xor eax,eax
mov dword ptr fs:[eax], -1
mov byte ptr [eax], 0

Темыч, узнаешь? По идее система должна сама прибить процесс.

Вот так воть...

[tyomitch]

2. Не сканает: в такой ситуации процесс убивается вызовом той же самой NtTerminateProcess. (Как будто бы есть ещё какие-то средства его убить.)

[Twister]

Как будто бы есть ещё какие-то средства его убить.

Да кто его знает, что там дядя Билли придумал. NtTerminateProcess обращается к интерфейсам ядра - а вдруг есть еще что-то в ядре? (ну это так, мысли вслух...)

[Twister]

Да, можно еще попробовать объединить эти два способа.

[tyomitch]

Как будто бы есть ещё какие-то средства его убить.

Да кто его знает, что там дядя Билли придумал. NtTerminateProcess обращается к интерфейсам ядра - а вдруг есть еще что-то в ядре? (ну это так, мысли вслух...)

У вас там в Алматах ещё не продают в пиратских ларьках угнанные позапрошлой весной исходники Win2000?
Это ж бесценная вещь для исследователя.

[Twister]

Эх... продавали бы - было б супер.
А на счет угона это прикол или было? Что-то меня сомнения одолевают, что такое вообще возможно. За свои исходники Билли будет одно место рвать...

[tyomitch]

http://www.microsoft.com/presspass/pres ... ource.mspx

[ANDLL]

1. Как ты общаешься с драйвером? Через IOCTL? А открываешь его с помошью CreateFile? Тогда можно попробовать заморозить процесс (ZwSuspendProcess), найти хэндл этого открытого файла, закрыть его и попытаться прибить.

ZwSuspendProcess заморозит только пользовательские потоки. На системные потоки сие не действует. Закрытие хэндла драйвера вообще ни к чему не приведет(а к чему оно должно было привести то?).

2. Можно создать в процессе удаленный поток с таким кодом:

Код: Выделить всё

xor eax,eax
mov dword ptr fs:[eax], -1
mov byte ptr [eax], 0

Темыч, узнаешь? По идее система должна сама прибить процесс.

Опять же. Система убъет не ПРОЦЕСС, а все пользовательские потоки. Системные потоки, по идее, система убивать не должна. Кроме того, легко таким образом "сконструировать" поток, что бы его "убиение" приводило к недееспособности системы.

[Twister]

а к чему оно должно было привести то?

К тому, что прога не сможет больше общаться с драйвером. Но повторюсь, это же были лишь предположения. Я их ни чем не обосновывал...

Системные потоки, по идее, система убивать не должна

Гм... а кто ж тогда их прибивать будет, как ни ZwTerminateProcess (я про процесс целиком)?

Кроме того, легко таким образом "сконструировать" поток, что бы его "убиение" приводило к недееспособности системы.

Поясни...

[ANDLL]

К тому, что прога не сможет больше общаться с драйвером

Да она с ним особо не разговаривает. Просто шлет один запрос и все... Потом хоть закрывай, ему все равно.

Гм... а кто ж тогда их прибивать будет, как ни ZwTerminateProcess (я про процесс целиком)?

Нуу, вероятно, все таки это делает внутренняя функция, более глубокая...

Поясни...

Нууу. Ну ладно, это все ерунда.
Вообще, лажа. KillMe я имею ввиду...
Просто есть такая функция PsCreateSystemThread. Можно для таких целей использовать ее. Тогда можно "отпускать" IRP, и пусть наш процесс спокойно завершается...

...А всю "работу" всегда можно провести в системном потоке... Есть предложения по закрытию системных потоков?

[Twister]

Да она с ним особо не разговаривает. Просто шлет один запрос и все... Потом хоть закрывай, ему все равно.

Тогда понятно. А я думал у тебя там цепочка посылов.

Нуу, вероятно, все таки это делает внутренняя функция, более глубокая...

Если не ошибаюсь, то глубже только интерфейсы ядра, функций нет.

Есть предложения по закрытию системных потоков?

У меня пока нет. Но раз их можно создать, значит и закрыть можно, или нет? Ждем авторитетного совета Темыча...

[tyomitch]

Да она с ним особо не разговаривает. Просто шлет один запрос и все... Потом хоть закрывай, ему все равно.

Тогда понятно. А я думал у тебя там цепочка посылов.

А мне нет. Если удастся закрыть хендл, тем самым процесс будет отвязан от пищащего драйвера. И что после этого помешает его завершить?
Скорее всего, закрыть тот хендл должно не удаться.

[Twister]

тем самым процесс будет отвязан от пищащего драйвера

Нет, процесс отвязан скорее всего не будет.

Скорее всего, закрыть тот хендл должно не удаться.

Почему? Если привилегий хватит, то закрыться должен.

[tyomitch]

тем самым процесс будет отвязан от пищащего драйвера

Нет, процесс отвязан скорее всего не будет.

А чем ещё процесс связан с драйвером, кроме как открытым хендлом?

[Twister]

Неотвеченным запросом...