Необходимо при загрузке драйвера в точке входа DriverEntry запустить file.exe или выполнить функцию из DLL. Подскажите пожалуйста каким образом это возможно сделать?

J>Необходимо при загрузке драйвера в точке входа DriverEntry запустить file.exe или выполнить функцию из DLL.

И то и другое реализовать непосредственно из драйвера документированными методами — нереально, а недокументированными — достаточно трудоёмко, по крайне мере, трудоёмко для того, кто этого раньше никогда не делал. Если ещё непонятно: описанное тобой — нонсенс, ядро не предназначено для этого. Расскажи, какую задачу решаем, более подробно, — возможно, посоветуем что-нибудь более подходящее, ну а если уж совсем никак, так и быть, расскажу как вызвать DLL.

J>Необходимо при загрузке драйвера в точке входа DriverEntry запустить file.exe или выполнить функцию из DLL. Подскажите пожалуйста каким образом это возможно сделать?
зачем усложнять себе жизнь? почему не поставить file.exe как сервис?

>>Необходимо при загрузке драйвера, в точке входа DriverEntry запустить file.exe или выполнить функцию из DLL.

> [...] расскажу как вызвать DLL.

в двух словах, основные моменты, если можно.
обозначте куда рыть, пожайлуста

>> [...] расскажу как вызвать DLL.
S>в двух словах, основные моменты, если можно.
S>обозначте куда рыть, пожайлуста

В одном из следующих сообщений в блоге я расскажу об этом более подробно, ну а пока думаю вот этого будет вполне достаточно для затравки. Плюс если ещё и DLL надо внедрить из ядра, тогда вот это

Автор: x64
Дата: 06.12.08

дополнит картину. По размеру кода (а это ещё даже не половина) уже понятно, надеюсь, что такие вещи делать лучше не стоит, если нет чёткого понимания что и зачем.

Уважаемый x64, также очень интересует этот вопрос, дождемся ли мы от вас статейки на волнующую тему?)

А>Уважаемый x64, также очень интересует этот вопрос, дождемся ли мы от вас статейки на волнующую тему?)

Дождёмся-дождёмся, когда только вот не знаю... Честно говоря, не думал, что этот вопрос так волнует людей. Ну хорошо, статьи пока нет, а чем вам не угодил вот этот

Автор: x64
Дата: 14.09.09

материал? Там, конечно, не всё, понятно, ну тем не менее особых сложностей не вижу. Плюс на васме статьи, плюс на руткитсах, плюс на вирустехе, у твистера чего-то там было ещё... Материала-то, так если подумать, собрать можно — по крупицам, да, но а как я по вашему всё это решал? Исходники WRK, плюс что-то у кого-то спросить, плюс в сети пошукать, плюс самому подумать, чай не шапку носить голова-то приделана...

Впрочем, более интересный вопрос — а зачем это вообще надо? Ну я вот в своё время руткит писал, там это мне было нужно, да, а вам зачем? Тоже что ли руткит? Если да, тогда ладно, можете не отвечать, если нет, тогда мне просто ради интереса ответьте — зачем такое вообще могло понадобится в легальном приложении? Что-то в голову ничего не приходит.

Здравствуйте, jun0, Вы писали:

J>Необходимо при загрузке драйвера в точке входа DriverEntry запустить file.exe или выполнить функцию из DLL. Подскажите пожалуйста каким образом это возможно сделать?

Пишу тольк для того чтобы проколься и чтобы потыкать "знатоков" которые говорят что это очень трудно. Ха-ха, функцию из длл, вызвать также просто как написать этот текст. Просто вызять и вызвать. А x64 давно уже пора перестать думать что он чем то отличается от других . Пол ядра построенно на длл, Гении, билини... Блоги... и пр. , x64, а так же прочие "знатоки" от секурити, хватит позориться, эх... Был контингент на форуме в 2005 — 2007 годах, вот были знатоки, а теперь позирище одно, да и еще с амбициями, типа кругом идиоты.

Повторю, для автора топика — используйте статическую линктовку, исполльзутйте загрузку длл-ек, не слушайте тек кто говорит, что это трудно, это элементарно.

А>Пишу тольк для того чтобы проколься

Мы видим, — да, ты прокололся по полной программе.

А>и чтобы потыкать "знатоков" которые говорят что это очень трудно.

Не то чтобы "очень", но кому-то это не под силу. Бывает и такое, что ж теперь.

А>Ха-ха, функцию из длл, вызвать также просто как написать этот текст. Просто вызять и вызвать.

Ты уверен, что правильно понял вопрос автора топика?

А>А x64 давно уже пора перестать думать что он чем то отличается от других.

Ну... Я, например, отличаюсь грамотной русской речью, которую всё же приятнее читать, чем каракули.

А>x64, а так же прочие "знатоки"...

За всех не скажу, но я вроде нигде в "гуру" не записывался, зачем ты мне этим тыкаешь? Я так, с краю, по чуть-чуть, чего-нибудь немножко...

А>Повторю, для автора топика — используйте статическую линктовку, исполльзутйте загрузку длл-ек

От щаз как побегу свои либы к ntoskrnl.exe линковать статически... А чего ж? Нормальный такой способ вызова кода из ядра...

А>не слушайте тек кто говорит, что это трудно, это элементарно.

Да, текст на клавиатуре настучать пару абзацев за 5 секунд тоже элементарно. Правда, такая херня получается (с).

Здравствуйте, Аноним, Вы писали:

А>Был контингент на форуме в 2005 — 2007 годах, вот были знатоки, а теперь позирище одно, да и еще с амбициями, типа кругом идиоты.

Что за форум? Раз ты так говоришь резко, видимо, много работ делал. Не дашь ссылку, где можно посмотреть твои работы? Интересно до ужаса...

J>>Необходимо при загрузке драйвера в точке входа DriverEntry запустить file.exe или выполнить функцию из DLL. Подскажите пожалуйста каким образом это возможно сделать?
А>Пишу тольк для того чтобы проколься и чтобы потыкать "знатоков" которые говорят что это очень трудно. Ха-ха, функцию из длл, вызвать также просто как написать этот текст. Просто вызять и вызвать. А x64 давно уже пора перестать думать что он чем то отличается от других . Пол ядра построенно на длл, Гении, билини... Блоги... и пр. , x64, а так же прочие "знатоки" от секурити, хватит позориться, эх... Был контингент на форуме в 2005 — 2007 годах, вот были знатоки, а теперь позирище одно, да и еще с амбициями, типа кругом идиоты.
Это вы идиот. Автор хочет из яжра вызвать функцию юзермодной длл. В юзермоде соответственно.

Здравствуйте, ononim, Вы писали:


O>Это вы идиот. Автор хочет из яжра вызвать функцию юзермодной длл. В юзермоде соответственно.

Юзермодной длл? Это что за особенность такая Чушь... Нет разницы.

Здравствуйте, x64, Вы писали:


x64>От щаз как побегу свои либы к ntoskrnl.exe линковать статически... А чего ж? Нормальный такой способ вызова кода из ядра...

Разберись с темой. Создать длл и вызвать ее функцию в ядре очень просто, ровно так же как в не в ядре.

А>Создать длл и вызвать ее функцию в ядре очень просто, ровно так же как в не в ядре.

А, понял! Ты имеешь в виду такое:

NTSTATUS
DriverEntry (...)
{
  ...

  ::MessageBox (
    hKernelWnd,
    L"I'm from kernel! That's very simply!",
    L"Kernel message",
    MB_ICONINFORMATION);

  ...
}

Действительно, прям как в usermode! Сегодня же попробую! +500

O>>Это вы идиот. Автор хочет из яжра вызвать функцию юзермодной длл. В юзермоде соответственно.
А>Юзермодной длл? Это что за особенность такая Чушь... Нет разницы.
Фперед и с песней загрузите в ядро user32.dll и позовите MessageBoxW.

Здравствуйте, ononim, Вы писали:

O>>>Это вы идиот. Автор хочет из яжра вызвать функцию юзермодной длл. В юзермоде соответственно.
А>>Юзермодной длл? Это что за особенность такая Чушь... Нет разницы.
O>Фперед и с песней загрузите в ядро user32.dll и позовите MessageBoxW.

А зачем именно эту функцию. Вы просто не в курсе я так понимаю, почему ее нельзя звать когда попало.

Знатоки билин-би.

Здравствуйте, ononim, Вы писали:

O>Фперед и с песней загрузите в ядро user32.dll и позовите MessageBoxW.

Оффтоп: знаете, таки можно. Только не подумайте, что я это советую делать в коммерческом или бесплатном продукте. Я пробовал вызывать юзеровские функции из режима ядра в NT 4 чисто для эксперимента, и у меня даже что-то работало. MessageBox, кажется не работал, а вот GetDC и всякие LineTo — работали. Т.е. я из режима ядра рисовал на десктопе картинку.

Хотя если говорить о комментариях нашего анонимного гостя, то это чушь.

Здравствуйте, axxie, Вы писали:

A>Здравствуйте, ononim, Вы писали:

O>>Фперед и с песней загрузите в ядро user32.dll и позовите MessageBoxW.

A>Оффтоп: знаете, таки можно. Только не подумайте, что я это советую делать в коммерческом или бесплатном продукте. Я пробовал вызывать юзеровские функции из режима ядра в NT 4 чисто для эксперимента, и у меня даже что-то работало. MessageBox, кажется не работал, а вот GetDC и всякие LineTo — работали. Т.е. я из режима ядра рисовал на десктопе картинку.

A>Хотя если говорить о комментариях нашего анонимного гостя, то это чушь.

Таки чушь?

А длл-и, все одинаковые и не бывает каких-то особых "для ядра" ... Длл-и это библитеки и естественно в библиотеку можно положить любой код. А вот код бывает разный, есть тот который можно использовать в определенном контексте. Так что нельзя говорить юзермодная длл, можно говорить "функция которая должна вызываться только в контексте какой-то юзерской сесси", например."

Здравствуйте, -prus-, Вы писали:

P>Здравствуйте, Аноним, Вы писали:

А>>Был контингент на форуме в 2005 — 2007 годах, вот были знатоки, а теперь позирище одно, да и еще с амбициями, типа кругом идиоты.

P>Что за форум? Раз ты так говоришь резко, видимо, много работ делал. Не дашь ссылку, где можно посмотреть твои работы? Интересно до ужаса...

Этот форум. Я говорю резко — так как неприемлю самоуверенную некомпетентность. Даже в период 2005-2008 тут были "молодые (видимо) активисты" которые даже не доконца понимая высказывания тех "знатоков" наделяли себя правом выстутать с альтернативным мнением, которого на самом деле именно в темитике данного форума, при верном изначальном высказывании и быть-то не может. Вот поэтому кстати может быть и "зубры" — то и перестали писать тут. Хотя как там было на самом деле мне не известно.

Так что резкость моя, направленна только на пресловутого х64, которого иногда заносит.

А>Таки чушь?
А>А длл-и, все одинаковые и не бывает каких-то особых "для ядра" ... Длл-и это библитеки и естественно в библиотеку можно положить любой код. А вот код бывает разный, есть тот который можно использовать в определенном контексте. Так что нельзя говорить юзермодная длл, можно говорить "функция которая должна вызываться только в контексте какой-то юзерской сесси", например."
Код можно положить вообще безо всяких длл ек.
Но в юзермодных длл кладется код который предназначен для работы в юзермоде.

O>>>>Это вы идиот. Автор хочет из яжра вызвать функцию юзермодной длл. В юзермоде соответственно.
А>>>Юзермодной длл? Это что за особенность такая Чушь... Нет разницы.
O>>Фперед и с песней загрузите в ядро user32.dll и позовите MessageBoxW.
А>А зачем именно эту функцию. Вы просто не в курсе я так понимаю, почему ее нельзя звать когда попало.
нет, я понимаю почему ее нельзя звать когда попало потому именно ее и привел

А>Знатоки билин-би.
знаете, такие любители кривохаков как вы долго на проектах не засиживаются

Здравствуйте, ononim, Вы писали:

O>Код можно положить вообще безо всяких длл ек.

Как ?

O>Но в юзермодных длл кладется код который предназначен для работы в юзермоде.

Может где-то в заголовке длл есть флаг — "юзермодная длл" или можно указать при создании длл — такой признак "юзермодная длл".

Есть длл-и ( можно создать ) которые работают и в ядре и нет. Это какие получаются по вашему?

O>>Код можно положить вообще безо всяких длл ек.
А>Как ?

Ну так это ты ж у нас тут супирь-пупирь профи, вот и расскажи нам.

А>Может где-то в заголовке длл есть флаг — "юзермодная длл" или можно указать при создании длл — такой признак "юзермодная длл".

Таблица импорта, например.

А>Есть длл-и ( можно создать ) которые работают и в ядре и нет.

Можно, но есть ряд нюансов, которые заставляют разработчиков не делать так, и это правильно.

А>Так что резкость моя, направленна только на пресловутого х64...

Если бы это было так, ты бы написал мне не почту персонально, не так ли? Но ты пишешь здесь, следовательно, — выпендриваешься. Отношение тут к тебе соответствующее.

А>...которого иногда заносит.

Меня-то хоть по теме заносит обычно, а от тебя пока только флуд видим.

O>>Код можно положить вообще безо всяких длл ек.
А>Как ?

char code[10];
code[0] = 0xcc;
((void (*)())&code[0])();

это решение не намного хуже попытки исполнить arbitrary user mode dll в ядре.


O>>Но в юзермодных длл кладется код который предназначен для работы в юзермоде.
А>Может где-то в заголовке длл есть флаг — "юзермодная длл" или можно указать при создании длл — такой признак "юзермодная длл".
Да есть в заголовке такой флаг. Есть IMAGE_OPTIONAL_HEADER::Subsystem. Есть еще IMAGE_FILE_HEADER::Characteristics.

А>Есть длл-и ( можно создать ) которые работают и в ядре и нет. Это какие получаются по вашему?
Есть надо создать — без проблем. Но произвольную длл сделанную для юзермода в ядро грузить нельзя. Частностый случай не есть доказательство возможности для всех.

O>>>Код можно положить вообще безо всяких длл ек.
А>>Как ?
O>это решение не намного хуже попытки исполнить arbitrary user mode dll в ядре.

Да чего ты ему рассказываешь-то... Видно же, человек немного не в теме. Тролль, наверное. Или приёмы социнженерии пробует. В любом случае, ничего хорошего/интересного тут не будет, imho.

Здравствуйте, ononim, Вы писали:

O>Да есть в заголовке такой флаг. Есть IMAGE_OPTIONAL_HEADER::Subsystem.

Подсистема это характеристика процесса, используется CSRSS.

O> Есть еще IMAGE_FILE_HEADER::Characteristics.

IMAGE_FILE_EXECUTABLE_IMAGE проверяется у exe модуля при создании процеса.

На wasm.ru когда-то публиковали отладчик — exe, который потом себя загружал в ядро.

А>>Есть длл-и ( можно создать ) которые работают и в ядре и нет. Это какие получаются по вашему?
O>Есть надо создать — без проблем. Но произвольную длл сделанную для юзермода в ядро грузить нельзя. Частностый случай не есть доказательство возможности для всех.

Да, Ан... ой, Аноним недопонял вопрос, следовало читать: "как запустить payload из драйвера-руткита?"

O>>Да есть в заголовке такой флаг. Есть IMAGE_OPTIONAL_HEADER::Subsystem.
GN>Подсистема это характеристика процесса, используется CSRSS.
Какая разница кем и где оно используется. Факт что оно есть в загловке.
И кроме того не все так просто. Подсистема, вернее ее версия проверяется загрузчиком, и если версия меньше 3 то он не исполняет ее DllMain. Но это не меняет суть, так просто, note.

O>> Есть еще IMAGE_FILE_HEADER::Characteristics.
GN>IMAGE_FILE_EXECUTABLE_IMAGE проверяется у exe модуля при создании процеса.
А еще есть флажок IMAGE_FILE_DLL, который есть у длл и которого нету у драйверов. И опять же — неважно КЕМ оно ПРОВЕРЯЕТСЯ. Факт что такое поле есть и оно чтото декларирует, остальное — implementation detail.


GN>На wasm.ru когда-то публиковали отладчик — exe, который потом себя загружал в ядро.
Ну и замечательно. А я делал research проект который грузил драйвера в юзермод, оно даже иногда работало, и что с того, можно говорить что драйвера мона грузить в юзермод?

Здравствуйте, ononim, Вы писали:

O>>>Да есть в заголовке такой флаг. Есть IMAGE_OPTIONAL_HEADER::Subsystem.
GN>>Подсистема это характеристика процесса, используется CSRSS.
O>Какая разница кем и где оно используется.

Мне кажется есть разница между разработчиками ОС и её пользователями.

O> Факт что оно есть в загловке.

Хм. Тогда уж разница — зачем оно там есть

Subsystem
The subsystem that is required to run this image. For more information, see “Windows Subsystem” later in this specification.

Windows Subsystem
The following values defined for the Subsystem field of the optional header determine which Windows subsystem (if any) is required to run the image.
Constant
Value
Description
IMAGE_SUBSYSTEM_UNKNOWN
0
An unknown subsystem
IMAGE_SUBSYSTEM_NATIVE
1
Device drivers and native Windows processes
IMAGE_SUBSYSTEM_WINDOWS_GUI
2
The Windows graphical user interface (GUI) subsystem
IMAGE_SUBSYSTEM_WINDOWS_CUI
3
The Windows character subsystem
IMAGE_SUBSYSTEM_POSIX_CUI
7
The Posix character subsystem
...

Каждый конечно волен по своему интерпретировать.

O>>> Есть еще IMAGE_FILE_HEADER::Characteristics.
GN>>IMAGE_FILE_EXECUTABLE_IMAGE проверяется у exe модуля при создании процеса.
O>А еще есть флажок IMAGE_FILE_DLL, который есть у длл и которого нету у драйверов.

An export driver is a kernel-mode DLL that provides routines for other drivers to call

Calling a DLL in a Kernel-Mode Driver

O> И опять же — неважно КЕМ оно ПРОВЕРЯЕТСЯ. Факт что такое поле есть и оно чтото декларирует
Опять же посмотрим, что:

IMAGE_FILE_DLL
0x2000
The image file is a dynamic-link library (DLL). Such files are considered executable files for almost all purposes, although they cannot be directly run.

Объясняет, почему у некоторых его нет.

O>, остальное — implementation detail.

Дык раз implementation detail, то зачем о них спорить в ответ на техничное троллирование

GN>>На wasm.ru когда-то публиковали отладчик — exe, который потом себя загружал в ядро.
O>Ну и замечательно. А я делал research проект который грузил драйвера в юзермод, оно даже иногда работало, и что с того, можно говорить что драйвера мона грузить в юзермод?

Yes you can but may not

Здравствуйте, ononim, Вы писали:

O>можно говорить что драйвера мона грузить в юзермод?

Да кстати там удобней их распаковывать

Здравствуйте, gear nuke, Вы писали:

GN>Да, Ан... ой, Аноним недопонял вопрос, следовало читать: "как запустить payload из драйвера-руткита?"

Ха-ха, верно подмечено, мне тоже так показалось.

O>>можно говорить что драйвера мона грузить в юзермод?
GN>Да кстати там удобней их распаковывать
именно

Здравствуйте, gear nuke, Вы писали:

GN>Здравствуйте, ononim, Вы писали:

O>>Да есть в заголовке такой флаг. Есть IMAGE_OPTIONAL_HEADER::Subsystem.

GN>Подсистема это характеристика процесса, используется CSRSS.

O>> Есть еще IMAGE_FILE_HEADER::Characteristics.

GN>IMAGE_FILE_EXECUTABLE_IMAGE проверяется у exe модуля при создании процеса.

GN>На wasm.ru когда-то публиковали отладчик — exe, который потом себя загружал в ядро.

А>>>Есть длл-и ( можно создать ) которые работают и в ядре и нет. Это какие получаются по вашему?
O>>Есть надо создать — без проблем. Но произвольную длл сделанную для юзермода в ядро грузить нельзя. Частностый случай не есть доказательство возможности для всех.

GN>Да, Ан... ой, Аноним недопонял вопрос, следовало читать: "как запустить payload из драйвера-руткита?"

Gear Nuke, как всегда точен. И надеюсь не только один правильно понимает, как тех. часть так и другую. Но "эти" господа — псевдознатоки, вообще такое чувство, возникает что не владеют мат. частью полностью. Но вопрос то как он задан, не допускает двойной трактовки. Длл , как Вы правильно продемострировали есть просто длл, без разделения на "для ядра" "не для ядра"...

Может проблема спора кроется в отсутствии систематических знанний в виде ВО. хз.