UW-Blog

Hi,
Wczoraj omega red opublikował bardzo ciekawy moim zdaniem program do listowania syscalli na systemach z rodziny Windows, za równo 32 bitowych, jak i 64 bitowych.
Warto rzucić okiem imho ;>
Link: http://www.openrce.org/blog/view/808/Syscall_lister
G.C.

Hi,
Wczoraj po rozmowie z deus’em mnie oświeciło czemu niektórych syscalli jest więcej. Sprawa okazuje się być trywialna, jak zawsze. Okazuje się iż większość tych “powtarzających się” syscalli to po prostu funkcje zwracające STATUS_NOT_IMPLEMENTED (aka C0000002h). Większość tych syscalli jest więc zaimplementowana przez jedną funkcję, dlatego wydaje się że się powtarzają.
Tak więc STATUS_NOT_IMPLEMENTED zwracają:

“NtQuerySystemEnvironmentValueEx” implementująca niezaimplementowane […]

Hi,
Natrafiłem wczoraj na pewne ciekawostki związane z tablicą syscalli jądra (KiServiceTable)  w XP.
Pierwszą sprawą jest syscall NtEnumerateBootEntries który w tablicy pojawia się 6 (słownie: sześć) razy, na pozycjach 9h,  46h, 8Ch, 8Dh, D3h oraz D4h. Co ciekawe, lister syscalli by omega_red pokazuje (u niego) w tych miejscach syscall NtSetBootOptions.
Jeszcze ciekawsze jest to, że w podanych […]

Hi,
O ile hookowanie syscalli zawartych w kernelu Windowsa z rodziny NT, czyli ntoskrnl, nie sprawia żadnych problemów, o tyle w przypadku syscalli odpowiedzialnych za GUI jest trochę więcej kombinowania. Ale po kolei.
Każdy thread pod WinNT ma określony zestaw syscalli (KSERVICE_TABLE_DESCRIPTOR[]) z którego może korzystać. Na dobrą sprawę mamy dwa takie zestawy:

KeServiceDescriptorTable - zawierający jedynie odniesienie […]

Hi =^^=
W ramach chwili wolnego czasu rzuciłem okiem na syscalle udostępnione przez kernel Windows Longhorn’a i porównałem z tymi z Windows Vista. Może nie jest to najszczęśliwsze zestawienie, jako że Windows Vista, w przeciwieństwie do Longhorna czy np 2003, nie jest Windowsem serwerowym, ale chodziło mi bardziej o chronologiczne porównanie.
Anyway, poniżej znajdują się lista syscalli […]

Hi =^^=
Dzisiaj co nie co o tym jak działa funkcja fopen pod systemami z rodziny Windows NT (czyli NT, 2000, XP, 2003, Vista oraz Longhorn), a dokładniej, jak realizowane jest działanie tejże funkcji.
W ramach wstępu przypomnę że fopen jest funkcją ze standardowej biblioteki poleceń języka C (w zależności od humoru będę na tą bibliotekę mówić […]