Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: IRP Trace  (Прочитано 27468 раз)
0 Пользователей и 1 Гость смотрят эту тему.
zss
Участник

ru
Offline Offline

« : 29-04-2015 09:49 » 

Здравствуйте. Нужно помониторить драйвер, а конкретно IOCTL запросы.
IRPTrace падает при попытке запуска драйвера. Есть ли что подобное, чтобы можно было посмотреть
передаваемые буферы и коды запросов (IRPTracker не падает, то не показывает буферы).
Записан
Ochkarik
Модератор

ru
Offline Offline
Пол: Мужской

« Ответ #1 : 29-04-2015 14:15 » 

а тип буферов какой?
https://code.google.com/p/ioctlfuzzer/
- пойдет?
Записан

RTFM уже хоть раз наконец!  RTFM :[ ну или хотя бы STFW...
zss
Участник

ru
Offline Offline

« Ответ #2 : 30-04-2015 07:30 » 

1. Обычные массивы.
2. Не пойдет, т.к. мне нужно посмотреть именно содержимое буферов
Записан
Ochkarik
Модератор

ru
Offline Offline
Пол: Мужской

« Ответ #3 : 30-04-2015 08:55 » 

2. Не пойдет, т.к. мне нужно посмотреть именно содержимое буферов
я так понимаю вы ее даже не запускали... это похвально))
зачем тогда спрашивать было?

для остальных ищущих - включить "hex_dump" в ioctlfuzzer.xml иначе по умолчанию показывает в лог только первые 4 слова буфера, далее запуск с настройками этого xml:
ioctlfuzzer.exe --config ioctlfuzzer.xml
PS большого хелпа и описания к сожалению не нашел, пришлось по коду настройки искать. хорошо хоть пример в xml есть - в принципе там понятно большинство.
Записан

RTFM уже хоть раз наконец!  RTFM :[ ну или хотя бы STFW...
zss
Участник

ru
Offline Offline

« Ответ #4 : 30-04-2015 09:14 » 

Да у меня она даже не запустилась

Код:
D:\TEMP\ioctl_fuzzer-1.2\bin\x64>ioctlfuzzer64.exe --config ioctlfuzzer.xml
DbgInit(): Log file 'D:\TEMP\ioctl_fuzzer-1.2\bin\x64\ioctlfuzzer.log' created
PipeServerThread(): Listening on pipe '\\.\pipe\IOCTLfuzzer'
IOCTL Fuzzer
(c) 2010 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
Creating service...
Allready exists
Starting service...
StartService() ERROR 577
Error while creating/starting system service for kernel driver.
Press any key to quit...
Записан
zss
Участник

ru
Offline Offline

« Ответ #5 : 30-04-2015 10:04 » 

Есть конечно еще один способ заставить не падать IRPTrace - это отключить PatchGuard.
Но не получилось это сделать с помощью доступных в сети приложений.

Не подскажите как это можно сделать на win7 x64?
Записан
Ochkarik
Модератор

ru
Offline Offline
Пол: Мужской

« Ответ #6 : 30-04-2015 11:14 » new

Не подскажите как это можно сделать на win7 x64?
с этого и надо было начинать.
StartService() ERROR 577
- это ERROR_INVALID_IMAGE_HASH - Windows cannot verify the digital signature for this file. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.
программа не может установить неподписанный драйвер.
отключите проверку подписи драйверов. может и остальные проблемы уйдут.

Добавлено через 44 секунды:
там кстати версия 1.3 еще есть, правда там настройки немного по другому выглядят
« Последнее редактирование: 30-04-2015 11:15 от Ochkarik » Записан

RTFM уже хоть раз наконец!  RTFM :[ ну или хотя бы STFW...
zss
Участник

ru
Offline Offline

« Ответ #7 : 30-04-2015 11:19 » 

Сейчас попробую.
З.Ы. Я так понял, что контролируемый драйвер тоже в *.xml нужно прописать ? Просто не совсем понятно из документации...
Записан
Ochkarik
Модератор

ru
Offline Offline
Пол: Мужской

« Ответ #8 : 30-04-2015 11:22 » 

ну там в xml что то по умолчанию стоит, наверное стоит лишние вычеркнуть - свой вписать чтоб лишнего не видеть.

PS да. настройки я для 1.2 версии давал.

Добавлено через 3 минуты и 10 секунд:
PPS скорее всего ключ, но надо проверять. я не сильно разбирался с ней.
  <allow>
    <!-- IOCTL request destination driver name. -->
    <drivers>
    </drivers>


и вот тут что еще пишут
 Since 1.3 version IOCTL Fuzzer dumps _all_ catched IOCTLs information in text file %SystemDrive%\ioctls.log
« Последнее редактирование: 30-04-2015 11:26 от Ochkarik » Записан

RTFM уже хоть раз наконец!  RTFM :[ ну или хотя бы STFW...
zss
Участник

ru
Offline Offline

« Ответ #9 : 30-04-2015 11:36 » 

Отключил подпись
Код:
D:\TEMP\ioctl_fuzzer-1.3\bin>ioctlfuzzer.bat
Windows x64 detected
DbgInit(): Log file 'D:\TEMP\ioctl_fuzzer-1.3\bin\ioctlfuzzer.log' created
PipeServerThread(): Listening on pipe '\\.\pipe\IOCTLfuzzer'
[+] Changing console screen buffer height from 56 to 4096 lines
IOCTL Fuzzer
by Oleksiuk Dmytro (aka Cr4sh) :: dmitry@esagelab.com
(c) 2011 Esage Lab :: http://www.esagelab.com/
Program version: 1.3.0.0
Creating service...
OK
Starting service...
StartService() ERROR 577
Error while creating/starting system service for kernel driver.
Press any key to quit...

Нифига Жаль
Записан
Ochkarik
Модератор

ru
Offline Offline
Пол: Мужской

« Ответ #10 : 30-04-2015 11:53 » 

странно, у меня и на xp|32 и на 7|64 без проблем. специально проверял тока что версию 1.3. правда сразу проверку подписи выключил по загрузке через F8.
UAC только ругнулся.... антивирусы стоят?
Записан

RTFM уже хоть раз наконец!  RTFM :[ ну или хотя бы STFW...
zss
Участник

ru
Offline Offline

« Ответ #11 : 30-04-2015 12:03 » 

Стоит виндовый Essentials
Записан
Ochkarik
Модератор

ru
Offline Offline
Пол: Мужской

« Ответ #12 : 30-04-2015 12:44 » 

а если без него?
вы уверены что проверка подписи была отключена?
« Последнее редактирование: 30-04-2015 12:48 от Ochkarik » Записан

RTFM уже хоть раз наконец!  RTFM :[ ну или хотя бы STFW...
zss
Участник

ru
Offline Offline

« Ответ #13 : 30-04-2015 13:02 » 

Вроде удалось запустить. Только я прописал
Код:
  <dbgcb>
    <device val="\Device\DeviceName"><![CDATA[kb 40]]></device>
  </dbgcb>

но он все-равно валит все вызовы...
Записан
zss
Участник

ru
Offline Offline

« Ответ #14 : 30-04-2015 13:05 » 

А еще она упала в синяк Жаль
Записан
Ochkarik
Модератор

ru
Offline Offline
Пол: Мужской

« Ответ #15 : 30-04-2015 13:12 » 

dbgcb...?
а какой у вас отладчик ядра стоит?

Добавлено через 1 минуту и 32 секунды:
если вы через  него тогда для вас раздел \
"Using the fuzzer with  Kernel Debugger Communication Engine

"1. Before running fuzzer you need to load Kernel Debugger Communicatioin Engine extension in your remote kernel debugger by executing command ".load \path\to\ioctlfuzzer\binaries\dbgcb.dll"."
это из readme.txt

Добавлено через 5 минут и 53 секунды:
у вас такие запросы большие что в стандартный размер не влазит? почему вы сразу решили с отладчиком запускать то?
попробуйте просто в <allow> задать.
« Последнее редактирование: 30-04-2015 13:28 от Ochkarik » Записан

RTFM уже хоть раз наконец!  RTFM :[ ну или хотя бы STFW...
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines