Archive for décembre 13th, 2007

Nolife :(

Brrr fait froid, tient en parlant de ca, le nouvel opus du zine venu du québec vient de sortir. Mindkind, hé oui ils récidivent. On se retrouve avec un zine plus orienté « journal et enquête » avec des morceaux de scène under info, de l’humour et du clash, d’ailleurs je prend encore cher dans le mag, extrait : « Assaye pas de nous convaincre que t’as une vie Ivan… ça fit pas :-P », excusez les, ils ne savent pas ce qu’ils disent, je me demande si les fautes sont faites exprès ou si elles sont dues à l’accent :p. Sinon l’article de Wyzeman « The circle of lost 3 hacker », la suite de son enquête sur la team devhell et de son rapprochement avec le phrack staff, le fameux « Circle of Lost Hackers », j’adore :). Bon je ne vais pas troller plus dessus sinon je vais encore me faire défacer …

Pendant que j’y suis, j’aimerais pour faire découvrir une série de scripts pour WinDbg fait par le grand et discret Yolejedi. Labo Windbg Script est une bibliothèque permettant d’éffectuer des opérations sur des composants noyau sans se prendre la tête avec la doc de WinDbg. On peut dumper l’IDT, la GDT, les MSR, les syscalls à la fois de ntsokrnl et de win32k, retrouver des process cachés avec une simple petite commande ! Exemple :

kd> ad /q *; $$><script\\@@init_cmd.wdbg;

Labo Windbg Script : Ok :)
('al' for display all commands)
kd> al
  Alias            Value
 -------          -------
 !!display_all_gdt               $$><script\display_all_gdt.wdbg;>
 !!display_all_idt               $$><script\display_all_idt.wdbg;>
 !!display_all_msrs              $$><script\display_all_msrs.wdbg;>
 !!display_current_gdt           $$><script\display_current_gdt.wdbg;>
 !!display_current_idt           $$><script\display_current_idt.wdbg;>
 !!display_current_msrs          $$><script\display_current_msrs.wdbg;>
 !!display_system_call           $$><script\display_system_call.wdbg;>
 !!hide_current_process          $$><script\hide_current_process.wdbg;>
 !!save_all_reports              $$><script\save_all_reports.wdbg;>
 !!search_hidden_process         $$><script\search_hidden_process.wdbg;>
 !@check_msr_and_printf_name     $$><script\check_msr_and_printf_name.wdbg;>
 !@display_gdt                   $$><script\display_gdt.wdbg;>
 !@display_idt                   $$><script\display_idt.wdbg;>
 !@display_msrs                  $$><script\display_msrs.wdbg;>
 !@display_thread_process_info   $$><script\display_thread_process_info.wdbg;>
 !@get_debug_mode                $$><script\get_debug_mode.wdbg;>
 !@get_original_ntcall           $$><script\get_original_ntcall.wdbg;>
 !@get_original_win32kcall       $$><script\get_original_win32kcall.wdbg;>
 !@get_system_version            $$><script\get_system_version.wdbg;>
 !@hide_process                  $$><script\hide_process.wdbg;>
 !@is_hidden_process             $$><script\is_hidden_process.wdbg;>
 !@printf_state_name_of_thread   $$><script\printf_state_name_of_thread.wdbg;>
 rep_root         script
kd> !!display_all_gdt

#################################
# Global Descriptor Table (GDT) #
#################################

Processor 00
Base : 8003F000    Limit : 03FF

Off.  Sel.  Type      Sel.:Base      Limit     Present  DPL  AVL  Informations
----  ----  --------  -------------  --------  -------  ---  ---  ------------

0000  0000  NullDesc  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
0008  0008  Code32         00000000  FFFFFFFF  YES      0    0    Execute/Read, accessed  (Ring 0)CS=0008
0010  0010  Data32         00000000  FFFFFFFF  YES      0    0    Read/Write, accessed  (Ring 0)DS/SS/ES=0010
0018  001B  Code32         00000000  FFFFFFFF  YES      3    0    Execute/Read, accessed  (Ring 3)CS=001B
0020  0023  Data32         00000000  FFFFFFFF  YES      3    0    Read/Write, accessed  (Ring 3)DS/SS/ES=0023
0028  0028  TSS32          80042000  000020AB  YES      0    0    (Busy) Eip = 0c4d8b51
0030  0030  Data32         FFDFF000  00001FFF  YES      0    0    Read/Write, accessed  (Ring 0)FS=0030  FS:0->(KPCR*)FFDFF000
0038  003B  Data32         00000000  00000FFF  YES      3    0    Read/Write, accessed  (Ring 3)FS=003B  FS:0->(TEB*) 00000000
0040  0043  Data16         00000400  0000FFFF  YES      3    0    Read/Write
0048  0048  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
0050  0050  TSS32          80550880  00000068  YES      0    0    (Available) Eip = nt!KiTrap08 (804e069d)
0058  0058  TSS32          805508E8  00000068  YES      0    0    (Available) Eip = nt!KiTrap02 (804df5b6)
0060  0060  Data16         00022F30  0000FFFF  YES      0    0    Read/Write, accessed
0068  0068  Data16         000B8000  00003FFF  YES      0    0    Read/Write
0070  0070  Data16         FFFF7000  000003FF  YES      0    0    Read/Write
0078  0078  Code16         80400000  0000FFFF  YES      0    0    Execute/Read
0080  0080  Data16         80400000  0000FFFF  YES      0    0    Read/Write
0088  0088  Data16         00000000  00000000  YES      0    0    Read/Write
0090  0090  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
0098  0098  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00A0  00A0  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00A8  00A8  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00B0  00B0  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00B8  00B8  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00C0  00C0  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00C8  00C8  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00D0  00D0  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00D8  00D8  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00E0  00E0  Code16         FA7B5000  0000FFFF  YES      0    0    Execute/Read, accessed
00E8  00E8  Data16         00000000  0000FFFF  YES      0    0    Read/Write
00F0  00F0  Code16         804D8B28  0003B337  YES      0    0    Execute-Only
00F8  00F8  Data16         00000000  0000FFFF  YES      0    0    Read/Write
0100  0100  Data32         FA7C5000  0000FFFF  YES      0    0    Read/Write, accessed
0108  0108  Data32         FA7C5000  0000FFFF  YES      0    0    Read/Write, accessed
0110  0110  Data32         FA7C5000  0000FFFF  YES      0    0    Read/Write, accessed
0118  0118  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 8003F120 00000000
0120  0120  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 8003F128 00000000
[...]

C’est beau ! La doc est bien faite en plus, je vous laisse donc vous amusez avec le travail du mâitre :
http://ivanlef0u.fr/repo/labo_windbg_script.zip

Yolejedi si tu lis ça, revient :(

5 comments décembre 13th, 2007


Calendar

décembre 2007
L Ma Me J V S D
« nov   jan »
 12
3456789
10111213141516
17181920212223
24252627282930
31  

Posts by Month

Posts by Category