UW-Blog

Hi,

Wczoraj po rozmowie z deus’em mnie oświeciło czemu niektórych syscalli jest więcej. Sprawa okazuje się być trywialna, jak zawsze. Okazuje się iż większość tych “powtarzających się” syscalli to po prostu funkcje zwracające STATUS_NOT_IMPLEMENTED (aka C0000002h). Większość tych syscalli jest więc zaimplementowana przez jedną funkcję, dlatego wydaje się że się powtarzają.

Tak więc STATUS_NOT_IMPLEMENTED zwracają:

• “NtQuerySystemEnvironmentValueEx” implementująca niezaimplementowane funkcje z 14h bajtów argumentów (RETN 14h): ACh, EFh
• “NtEnumerateSystemEnvironmentValuesEx” implementująca niezaimplementowane funkcje z 0Ch argumentów (RETN 0Ch): 48h
• “NtModifyBootEntry” implementująca niezaimplementowane funkcje z 4roma bajtami argumentów (RETN 4): 15h, 3Dh, 6Dh
• “NtEnumerateBootEntries” implementująca niezaimplementowane funkcje z 8smioma bajtami argumentów (RETN 8): 9, 46h, 8Ch, 8Dh, D3h, D4h
• “NtTranslateFilePath” implementująca niezaimplementowane funkcje z10h bajtów argumentów (RETN 10h): 105h

Czyli, wg oznaczeń z Metasploit Project, niezaimplementowane syscalle to: NtAddBootEntry, NtEnumerateBootEntries, NtQueryBootEntryOrder, NtQueryBootEntryOrder, NtSetBootEntryOrder, NtSetBootOptions, NtTranslateFilePath, NtCancelDeviceWakeupRequest, NtDeleteBootEntry, NtModifyBootEntry, NtEnumerateSystemEnvironmentValuesEx, NtQuerySystemEnvironmentValueEx oraz NtSetSystemEnvironmentValueEx.

K tyle ;>