O>>>>Это вы идиот. Автор хочет из яжра вызвать функцию юзермодной длл. В юзермоде соответственно.
А>>>Юзермодной длл? Это что за особенность такая Чушь... Нет разницы.
O>>Фперед и с песней загрузите в ядро user32.dll и позовите MessageBoxW.
А>А зачем именно эту функцию. Вы просто не в курсе я так понимаю, почему ее нельзя звать когда попало.
нет, я понимаю почему ее нельзя звать когда попало потому именно ее и привел

А>Знатоки билин-би.
знаете, такие любители кривохаков как вы долго на проектах не засиживаются

Здравствуйте, ononim, Вы писали:

O>Код можно положить вообще безо всяких длл ек.

Как ?

O>Но в юзермодных длл кладется код который предназначен для работы в юзермоде.

Может где-то в заголовке длл есть флаг — "юзермодная длл" или можно указать при создании длл — такой признак "юзермодная длл".

Есть длл-и ( можно создать ) которые работают и в ядре и нет. Это какие получаются по вашему?

O>>Код можно положить вообще безо всяких длл ек.
А>Как ?

Ну так это ты ж у нас тут супирь-пупирь профи, вот и расскажи нам.

А>Может где-то в заголовке длл есть флаг — "юзермодная длл" или можно указать при создании длл — такой признак "юзермодная длл".

Таблица импорта, например.

А>Есть длл-и ( можно создать ) которые работают и в ядре и нет.

Можно, но есть ряд нюансов, которые заставляют разработчиков не делать так, и это правильно.

А>Так что резкость моя, направленна только на пресловутого х64...

Если бы это было так, ты бы написал мне не почту персонально, не так ли? Но ты пишешь здесь, следовательно, — выпендриваешься. Отношение тут к тебе соответствующее.

А>...которого иногда заносит.

Меня-то хоть по теме заносит обычно, а от тебя пока только флуд видим.

O>>Код можно положить вообще безо всяких длл ек.
А>Как ?

char code[10];
code[0] = 0xcc;
((void (*)())&code[0])();

это решение не намного хуже попытки исполнить arbitrary user mode dll в ядре.


O>>Но в юзермодных длл кладется код который предназначен для работы в юзермоде.
А>Может где-то в заголовке длл есть флаг — "юзермодная длл" или можно указать при создании длл — такой признак "юзермодная длл".
Да есть в заголовке такой флаг. Есть IMAGE_OPTIONAL_HEADER::Subsystem. Есть еще IMAGE_FILE_HEADER::Characteristics.

А>Есть длл-и ( можно создать ) которые работают и в ядре и нет. Это какие получаются по вашему?
Есть надо создать — без проблем. Но произвольную длл сделанную для юзермода в ядро грузить нельзя. Частностый случай не есть доказательство возможности для всех.

O>>>Код можно положить вообще безо всяких длл ек.
А>>Как ?
O>это решение не намного хуже попытки исполнить arbitrary user mode dll в ядре.

Да чего ты ему рассказываешь-то... Видно же, человек немного не в теме. Тролль, наверное. Или приёмы социнженерии пробует. В любом случае, ничего хорошего/интересного тут не будет, imho.

Здравствуйте, ononim, Вы писали:

O>Да есть в заголовке такой флаг. Есть IMAGE_OPTIONAL_HEADER::Subsystem.

Подсистема это характеристика процесса, используется CSRSS.

O> Есть еще IMAGE_FILE_HEADER::Characteristics.

IMAGE_FILE_EXECUTABLE_IMAGE проверяется у exe модуля при создании процеса.

На wasm.ru когда-то публиковали отладчик — exe, который потом себя загружал в ядро.

А>>Есть длл-и ( можно создать ) которые работают и в ядре и нет. Это какие получаются по вашему?
O>Есть надо создать — без проблем. Но произвольную длл сделанную для юзермода в ядро грузить нельзя. Частностый случай не есть доказательство возможности для всех.

Да, Ан... ой, Аноним недопонял вопрос, следовало читать: "как запустить payload из драйвера-руткита?"

O>>Да есть в заголовке такой флаг. Есть IMAGE_OPTIONAL_HEADER::Subsystem.
GN>Подсистема это характеристика процесса, используется CSRSS.
Какая разница кем и где оно используется. Факт что оно есть в загловке.
И кроме того не все так просто. Подсистема, вернее ее версия проверяется загрузчиком, и если версия меньше 3 то он не исполняет ее DllMain. Но это не меняет суть, так просто, note.

O>> Есть еще IMAGE_FILE_HEADER::Characteristics.
GN>IMAGE_FILE_EXECUTABLE_IMAGE проверяется у exe модуля при создании процеса.
А еще есть флажок IMAGE_FILE_DLL, который есть у длл и которого нету у драйверов. И опять же — неважно КЕМ оно ПРОВЕРЯЕТСЯ. Факт что такое поле есть и оно чтото декларирует, остальное — implementation detail.


GN>На wasm.ru когда-то публиковали отладчик — exe, который потом себя загружал в ядро.
Ну и замечательно. А я делал research проект который грузил драйвера в юзермод, оно даже иногда работало, и что с того, можно говорить что драйвера мона грузить в юзермод?

Здравствуйте, ononim, Вы писали:

O>>>Да есть в заголовке такой флаг. Есть IMAGE_OPTIONAL_HEADER::Subsystem.
GN>>Подсистема это характеристика процесса, используется CSRSS.
O>Какая разница кем и где оно используется.

Мне кажется есть разница между разработчиками ОС и её пользователями.

O> Факт что оно есть в загловке.

Хм. Тогда уж разница — зачем оно там есть

Subsystem
The subsystem that is required to run this image. For more information, see “Windows Subsystem” later in this specification.

Windows Subsystem
The following values defined for the Subsystem field of the optional header determine which Windows subsystem (if any) is required to run the image.
Constant
Value
Description
IMAGE_SUBSYSTEM_UNKNOWN
0
An unknown subsystem
IMAGE_SUBSYSTEM_NATIVE
1
Device drivers and native Windows processes
IMAGE_SUBSYSTEM_WINDOWS_GUI
2
The Windows graphical user interface (GUI) subsystem
IMAGE_SUBSYSTEM_WINDOWS_CUI
3
The Windows character subsystem
IMAGE_SUBSYSTEM_POSIX_CUI
7
The Posix character subsystem
...

Каждый конечно волен по своему интерпретировать.

O>>> Есть еще IMAGE_FILE_HEADER::Characteristics.
GN>>IMAGE_FILE_EXECUTABLE_IMAGE проверяется у exe модуля при создании процеса.
O>А еще есть флажок IMAGE_FILE_DLL, который есть у длл и которого нету у драйверов.

An export driver is a kernel-mode DLL that provides routines for other drivers to call

Calling a DLL in a Kernel-Mode Driver

O> И опять же — неважно КЕМ оно ПРОВЕРЯЕТСЯ. Факт что такое поле есть и оно чтото декларирует
Опять же посмотрим, что:

IMAGE_FILE_DLL
0x2000
The image file is a dynamic-link library (DLL). Such files are considered executable files for almost all purposes, although they cannot be directly run.

Объясняет, почему у некоторых его нет.

O>, остальное — implementation detail.

Дык раз implementation detail, то зачем о них спорить в ответ на техничное троллирование

GN>>На wasm.ru когда-то публиковали отладчик — exe, который потом себя загружал в ядро.
O>Ну и замечательно. А я делал research проект который грузил драйвера в юзермод, оно даже иногда работало, и что с того, можно говорить что драйвера мона грузить в юзермод?

Yes you can but may not

Здравствуйте, ononim, Вы писали:

O>можно говорить что драйвера мона грузить в юзермод?

Да кстати там удобней их распаковывать

Здравствуйте, gear nuke, Вы писали:

GN>Да, Ан... ой, Аноним недопонял вопрос, следовало читать: "как запустить payload из драйвера-руткита?"

Ха-ха, верно подмечено, мне тоже так показалось.

O>>можно говорить что драйвера мона грузить в юзермод?
GN>Да кстати там удобней их распаковывать
именно

Здравствуйте, gear nuke, Вы писали:

GN>Здравствуйте, ononim, Вы писали:

O>>Да есть в заголовке такой флаг. Есть IMAGE_OPTIONAL_HEADER::Subsystem.

GN>Подсистема это характеристика процесса, используется CSRSS.

O>> Есть еще IMAGE_FILE_HEADER::Characteristics.

GN>IMAGE_FILE_EXECUTABLE_IMAGE проверяется у exe модуля при создании процеса.

GN>На wasm.ru когда-то публиковали отладчик — exe, который потом себя загружал в ядро.

А>>>Есть длл-и ( можно создать ) которые работают и в ядре и нет. Это какие получаются по вашему?
O>>Есть надо создать — без проблем. Но произвольную длл сделанную для юзермода в ядро грузить нельзя. Частностый случай не есть доказательство возможности для всех.

GN>Да, Ан... ой, Аноним недопонял вопрос, следовало читать: "как запустить payload из драйвера-руткита?"

Gear Nuke, как всегда точен. И надеюсь не только один правильно понимает, как тех. часть так и другую. Но "эти" господа — псевдознатоки, вообще такое чувство, возникает что не владеют мат. частью полностью. Но вопрос то как он задан, не допускает двойной трактовки. Длл , как Вы правильно продемострировали есть просто длл, без разделения на "для ядра" "не для ядра"...

Может проблема спора кроется в отсутствии систематических знанний в виде ВО. хз.