Функции EnumServicesStatus, OpenService, QueryServiceConfig, отсылают непонятно какие RPC-сообщения непонятно куда. Кто-нибудь знает что-нибудь больше об этом, или — еще лучше — есть ли у кого-нибудь исходники этой части библиотеки ADVAPI?

Здравствуйте, Аноним, Вы писали:

А>Функции EnumServicesStatus, OpenService, QueryServiceConfig, отсылают непонятно какие RPC-сообщения непонятно куда. Кто-нибудь знает что-нибудь больше об этом, или — еще лучше — есть ли у кого-нибудь исходники этой части библиотеки ADVAPI?

Логично предположить что исползуется локальный вызов RPC — а сервер это sevices.exe. Может быть и удаленный если запрос для удаленной машины.

А>Функции EnumServicesStatus, OpenService, QueryServiceConfig, отсылают непонятно какие RPC-сообщения непонятно куда. Кто-нибудь знает что-нибудь больше об этом, или — еще лучше — есть ли у кого-нибудь исходники этой части библиотеки ADVAPI?

Да, эти функции есть RPC клиент, а серверная часть — в services.exe

Здравствуйте, Maxim S. Shatskih, Вы писали:

А>>Функции EnumServicesStatus, OpenService, QueryServiceConfig, отсылают непонятно какие RPC-сообщения непонятно куда. Кто-нибудь знает что-нибудь больше об этом, или — еще лучше — есть ли у кого-нибудь исходники этой части библиотеки ADVAPI?

MSS>Да, эти функции есть RPC клиент, а серверная часть — в services.exe

Спасибо.

А Вы не знаете, где можно взять больше информации об этом?

А>А Вы не знаете, где можно взять больше информации об этом?

В гугле. Или утекшие исходники найти. А зачем, собственно?

Ну да, SERVICES.EXE есть RPC сервер, который слушает пайпу \Pipe\SCMgr. Ну да, там выставлен интерфейс, который позволяет управлять сервисами удаленно. Ну да, в ADVAPI32 сидят клиентские стабы для этого интерфейса — собственно API для SC и есть эти стабы.

Что еще надо-то? вроде все понятно.

Здравствуйте, Maxim S. Shatskih, Вы писали:

MSS>Что еще надо-то? вроде все понятно.

Все понятно на словах. Но мне нужен конекретный протокол. Мне нужно реализавоать указанные выше функции.

MSS>Или утекшие исходники найти.

Если речь идет об исходниках NT 4.0 или W2K, то там как раз этой части и нет.

Или где-то валаяются полные исходники ADVAPI?

А>Все понятно на словах. Но мне нужен конекретный протокол. Мне нужно реализавоать указанные выше функции.

В линуксе, что ли?

Здравствуйте, Аноним, Вы писали:

А>Если речь идет об исходниках NT 4.0 или W2K, то там как раз этой части и нет.
А>Или где-то валаяются полные исходники ADVAPI?

SCM Cli (ChangeServiceConfig, etc) — private\windows\screg\sc\client\scwrap.c
SCM Srv (RStartServiceA, etc.) — private\windows\screg\sc\server\scansi.c

Здравствуйте, Maxim S. Shatskih, Вы писали:

А>>Все понятно на словах. Но мне нужен конекретный протокол. Мне нужно реализавоать указанные выше функции.

MSS>В линуксе, что ли?

Нет, в windows. Средство антивирусной защиты.

S>Нет, в windows. Средство антивирусной защиты.

А каким образом отказ от использования стандартных средств Windows повышает антивирусную защиту?

Здравствуйте, Maxim S. Shatskih, Вы писали:

S>>Нет, в windows. Средство антивирусной защиты.

MSS>А каким образом отказ от использования стандартных средств Windows повышает антивирусную защиту?

А Вы слышали что-нибудь о руткит-технологиях и стелсирующихся программах?

Здравствуйте, sober, Вы писали:

S>Здравствуйте, Maxim S. Shatskih, Вы писали:

S>>>Нет, в windows. Средство антивирусной защиты.

MSS>>А каким образом отказ от использования стандартных средств Windows повышает антивирусную защиту?

S>А Вы слышали что-нибудь о руткит-технологиях и стелсирующихся программах?

На каком уровне вы собрались "реализовывать" функциона этих функций?
Если ядро — то зачем вам протокол?
Если user-mode — то это не спасет.

Здравствуйте, Злость, Вы писали:

З>Здравствуйте, sober, Вы писали:

S>>Здравствуйте, Maxim S. Shatskih, Вы писали:

S>>>>Нет, в windows. Средство антивирусной защиты.

MSS>>>А каким образом отказ от использования стандартных средств Windows повышает антивирусную защиту?

S>>А Вы слышали что-нибудь о руткит-технологиях и стелсирующихся программах?

З>На каком уровне вы собрались "реализовывать" функциона этих функций?
З>Если ядро — то зачем вам протокол?
З>Если user-mode — то это не спасет.

Перебор сервисов работает исключительно в режиме пользователя. Этим, как уже отмчалось выше, занимается пользовательский процесс SRVICES.EXE.

Здравствуйте, sober, Вы писали:

[skip]
S>>>А Вы слышали что-нибудь о руткит-технологиях и стелсирующихся программах?

З>>На каком уровне вы собрались "реализовывать" функциона этих функций?
З>>Если ядро — то зачем вам протокол?
З>>Если user-mode — то это не спасет.

S>Перебор сервисов работает исключительно в режиме пользователя. Этим, как уже отмчалось выше, занимается пользовательский процесс S[e]RVICES.EXE.

Локальный вызов процедур — поддерживается ядром. Тоесть подмен данных при пересылке возможна — но сложна в реализации. Значит происходит падч приложения services. Тоесть необходимо проверить этот процесс для того определения наличия подмены и устранить hook.

MSS>>А каким образом отказ от использования стандартных средств Windows повышает антивирусную защиту?
S>А Вы слышали что-нибудь о руткит-технологиях и стелсирующихся программах?

Слышал. И все равно остается вопрос — почему нельзя звать стандартную функцию виндов.

Кстати, единственный способ борьбы с руткитами — загрузка в recovery console и чистка списка драйверов. Все остальное — от лукавого. Попытки обеспечить работоспособность машины, когда в ней уже сидит руткит — свежо предание, но верится с трудом.

А>Функции EnumServicesStatus, OpenService, QueryServiceConfig, отсылают непонятно какие RPC-сообщения непонятно куда. Кто-нибудь знает что-нибудь больше об этом, или — еще лучше — есть ли у кого-нибудь исходники этой части библиотеки ADVAPI?

Происходит вызов RPC процедуры. Гуглить {367abb81-9844-35f1-ad32-98f038001003}, описание интерфейса есть в исходниках samba (файл svcctl.idl), примеры использования — в samba и nessus, попытка реализации NdrClientCall2 есть в wine (winehq.org).