среда, 12 октября 2011 г.

LsaIRegisterPolicyChangeNotificationCallback

а вот например в lsasrv.dll есть такая традиционно недокументированная ф-ция, которая умеет регистрировать указатель на ф-цию. Соотв-но было бы весьма неплохо посмотреть чего там зарегистрировано всякими разными
Например из дизасма очевидно что для хранения callbacks используется массив LsaPolicyChangeNotificationList, который состоит из 8 (под w7 & w8 - 9) структур

struct PolicyChangeNotification
{
  struct _LIST_ENTRY List;
  ULONG Count;
};

List соотв-но хранит уже непосредственно структуры, описывающие callback - примерно такие:

struct PolicyChangeNotification_item
{
/* Win32 Win64 */
/*  0x0  0x0  */  struct _LIST_ENTRY ListLink;
/*  0x8  0x10 */  PBYTE  function_cb;
/*  0xC  0x18 */  PBYTE  unk1;
/* 0x10  0x20 */  PBYTE  unk2;
/* 0x14  0x28 */  PBYTE  unk3;
};

По моему навигация по этим структурам представляет собой тривиальную задачу, так же как их нахождение
Результаты на моей рабочей машине например

воскресенье, 9 октября 2011 г.

ыыыы

Для лечения вируса были использованы инструкции по удалению вредоносного ПО с сайта Лаборатории Касперского, однако, это не помогло
отсюда. хабр, бывает, доставляет иногда
Есть мнение что Е.В. вкладывает немалые бабки не туда, иначе такого антипиара просто не могло бы случитца. Ничего, Люди поправят направление денежных потоков, бгг

суббота, 8 октября 2011 г.

внезапно

в продаже с 22 декабря


В пятом издании было 1232 страницы
в этом 1344
интересно там есть список глав, которые были полностью copy & pasted из предыдущего издания ? Вот почему бы им например не выпускать патчи к предыдущим изданиям ?

пятница, 7 октября 2011 г.

w8 kernel mode RPC

я тут писал уже как-то про msrpc например
А теперь дискотека список драйверов от windows 8 и используемые ими RPC interfaces

afd.sys - использует 30ADC50C-5CBC-46CE-9A0E-91914789E23C
appid.sys - использует 8A7B5006-CC13-11DB-9705-005056C00008
dfsc.sys - использует 7F1343FE-50A9-4927-A778-0C5859517BAC
FWPKCLNT.SYS - использует 2 интерфейса:
  1. IkeRpcIKE A398E520-D59A-4BDD-AA7A-3C1E0303A511
  2. BfeRpcBFE DD490425-5325-4565-B774-7E27D6C09C24
ksecdd.sys - использует 4F32ADC8-6052-4A04-8701-293CCF2096F0
mrxsmb.sys - использует F2C9B409-C1C9-4100-8639-D8AB1486694A
netio.sys - использует 2 интерфейса:
  1. WinNsi 7EA70BCF-48AF-4F6A-8968-6A440754D5FA
  2. BiSrvSigna C605F9FB-F0A3-4E2A-A073-73560F8D9E3E
ntfs.sys - использует 04EEB297-CBF4-466B-8A2A-BFD6A2F10BBA
srvnet.sys - использует 3 интерфейса:
  1. XactSrvRPC 98716D03-89AC-44C7-BB8C-285824E51C4A
  2. IdSegSrv 1A0D010F-1C33-432C-B0F5-8CF4E8053099
  3. и один неопознанный 9D5F40FF-F1C2-4394-8671-9E56427FCD70. Используется впрочем единственный метод NotifyGroveler
tunnel.sys - использует 6F201A55-A24D-495F-AAC9-2F4FCE34DF99

srvsvc.dll RPC interfaces

Server Service DLL

Например под windows 8 интерфейс srvsvc имеет версию 3.0 и 0x45 методов
Добавленные методы:
0x3A: LocalrSessionEnum
0x3B: LocalrSessionGetInfo
0x3C: LocalrSessionDel
0x3D: LocalrFileEnum
0x3E: LocalrFileGetInfo
0x3F: LocalrFileClose
0x40: LocalrShareEnum
0x41: LocalrShareGetInfo
0x42: LocalrShareSetInfo
0x43: LocalrShareAdd
0x44: LocalrShareDelEx


XactSrv 98716D03-89AC-44C7-BB8C-285824E51C4A version 1.0
регистрируется в epmapper с аннотацией XactSrv service
6 methods:
  • XsOpenPrinter
  • XsClosePrinter
  • XsAddJob
  • XsScheduleJob
  • XsProcessPnp
  • XsProcDownLevelAPI
 вызывается через msrpc из драйвера srvnet.sys

IdSegSrv 1A0D010F-1C33-432C-B0F5-8CF4E8053099 version 1.0
регистрируется в epmapper с аннотацией IdSegSrv service
2 methods:
  • IdSegRequestNextSequence
  • IdSegRequestNodeInvalidation
 вызывается через msrpc из драйвера srvnet.sys

wkssvc.dll RPC interfaces

Workstation Service DLL
кроме всем известного wkssvc под windows 8 имеет следующие RPC интерфейсы:

F2C9B409-C1C9-4100-8639-D8AB1486694A version 1.0
регистрируется в epmapper с аннотацией Witness Client Upcall Server
2 methods:
  • ClusterConnectUpcall
  • ClusterDisConnectUpcall
вызывается через msrpc из драйвера mrxsmb.sys

EB081A0D-10EE-478A-A1DD-50995283E7A8 version 3.0
регистрируется в epmapper с аннотацией Witness Client Test Interface
1 method:
  • GetWitnessNodes
7F1343FE-50A9-4927-A778-0C5859517BAC version 1.0
регистрируется в epmapper с аннотацией DfsDs service
4 methods:
  • DfsDsGetDcName
  • DfsDsIsDomainController
  • DfsCredWrite
  • DfsCredDelete
вызывается через msrpc из драйвера dfsc.sys

connhlp.dll RPC interface

Connectivity Helper API
cpprovider 6F201A55-A24D-495F-AAC9-2F4FCE34DF99 version 1.0
0xd methods:
  • SpiEstablishSession
  • SpiTerminateSession
  • SpiTransitionFromDormantToActive
  • SpiTransitionFromActiveToDormant
  • SpiAddTransportId
  • SpiRemoveTransportId
  • SpiIsRemoteTransportIdReachable
  • SpiSendData
  • SpiReceiveData
  • SpiReceiveAuthorizeCallback
  • SpiReceiveAuthorizeCallbackComplete
  • SpiQueryPeerLinkInformation
  • SpiQueryProviderSubscriptionInformation
 вызывается через msrpc из драйвера tunnel.sys