Nolife :(

décembre 13th, 2007 at 02:12 admin

Brrr fait froid, tient en parlant de ca, le nouvel opus du zine venu du québec vient de sortir. Mindkind, hé oui ils récidivent. On se retrouve avec un zine plus orienté « journal et enquête » avec des morceaux de scène under info, de l’humour et du clash, d’ailleurs je prend encore cher dans le mag, extrait : « Assaye pas de nous convaincre que t’as une vie Ivan… ça fit pas :-P », excusez les, ils ne savent pas ce qu’ils disent, je me demande si les fautes sont faites exprès ou si elles sont dues à l’accent :p. Sinon l’article de Wyzeman « The circle of lost 3 hacker », la suite de son enquête sur la team devhell et de son rapprochement avec le phrack staff, le fameux « Circle of Lost Hackers », j’adore :). Bon je ne vais pas troller plus dessus sinon je vais encore me faire défacer …

Pendant que j’y suis, j’aimerais pour faire découvrir une série de scripts pour WinDbg fait par le grand et discret Yolejedi. Labo Windbg Script est une bibliothèque permettant d’éffectuer des opérations sur des composants noyau sans se prendre la tête avec la doc de WinDbg. On peut dumper l’IDT, la GDT, les MSR, les syscalls à la fois de ntsokrnl et de win32k, retrouver des process cachés avec une simple petite commande ! Exemple :

kd> ad /q *; $$><script\\@@init_cmd.wdbg;

Labo Windbg Script : Ok :)
('al' for display all commands)
kd> al
  Alias            Value
 -------          -------
 !!display_all_gdt               $$><script\display_all_gdt.wdbg;>
 !!display_all_idt               $$><script\display_all_idt.wdbg;>
 !!display_all_msrs              $$><script\display_all_msrs.wdbg;>
 !!display_current_gdt           $$><script\display_current_gdt.wdbg;>
 !!display_current_idt           $$><script\display_current_idt.wdbg;>
 !!display_current_msrs          $$><script\display_current_msrs.wdbg;>
 !!display_system_call           $$><script\display_system_call.wdbg;>
 !!hide_current_process          $$><script\hide_current_process.wdbg;>
 !!save_all_reports              $$><script\save_all_reports.wdbg;>
 !!search_hidden_process         $$><script\search_hidden_process.wdbg;>
 !@check_msr_and_printf_name     $$><script\check_msr_and_printf_name.wdbg;>
 !@display_gdt                   $$><script\display_gdt.wdbg;>
 !@display_idt                   $$><script\display_idt.wdbg;>
 !@display_msrs                  $$><script\display_msrs.wdbg;>
 !@display_thread_process_info   $$><script\display_thread_process_info.wdbg;>
 !@get_debug_mode                $$><script\get_debug_mode.wdbg;>
 !@get_original_ntcall           $$><script\get_original_ntcall.wdbg;>
 !@get_original_win32kcall       $$><script\get_original_win32kcall.wdbg;>
 !@get_system_version            $$><script\get_system_version.wdbg;>
 !@hide_process                  $$><script\hide_process.wdbg;>
 !@is_hidden_process             $$><script\is_hidden_process.wdbg;>
 !@printf_state_name_of_thread   $$><script\printf_state_name_of_thread.wdbg;>
 rep_root         script
kd> !!display_all_gdt

#################################
# Global Descriptor Table (GDT) #
#################################

Processor 00
Base : 8003F000    Limit : 03FF

Off.  Sel.  Type      Sel.:Base      Limit     Present  DPL  AVL  Informations
----  ----  --------  -------------  --------  -------  ---  ---  ------------

0000  0000  NullDesc  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
0008  0008  Code32         00000000  FFFFFFFF  YES      0    0    Execute/Read, accessed  (Ring 0)CS=0008
0010  0010  Data32         00000000  FFFFFFFF  YES      0    0    Read/Write, accessed  (Ring 0)DS/SS/ES=0010
0018  001B  Code32         00000000  FFFFFFFF  YES      3    0    Execute/Read, accessed  (Ring 3)CS=001B
0020  0023  Data32         00000000  FFFFFFFF  YES      3    0    Read/Write, accessed  (Ring 3)DS/SS/ES=0023
0028  0028  TSS32          80042000  000020AB  YES      0    0    (Busy) Eip = 0c4d8b51
0030  0030  Data32         FFDFF000  00001FFF  YES      0    0    Read/Write, accessed  (Ring 0)FS=0030  FS:0->(KPCR*)FFDFF000
0038  003B  Data32         00000000  00000FFF  YES      3    0    Read/Write, accessed  (Ring 3)FS=003B  FS:0->(TEB*) 00000000
0040  0043  Data16         00000400  0000FFFF  YES      3    0    Read/Write
0048  0048  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
0050  0050  TSS32          80550880  00000068  YES      0    0    (Available) Eip = nt!KiTrap08 (804e069d)
0058  0058  TSS32          805508E8  00000068  YES      0    0    (Available) Eip = nt!KiTrap02 (804df5b6)
0060  0060  Data16         00022F30  0000FFFF  YES      0    0    Read/Write, accessed
0068  0068  Data16         000B8000  00003FFF  YES      0    0    Read/Write
0070  0070  Data16         FFFF7000  000003FF  YES      0    0    Read/Write
0078  0078  Code16         80400000  0000FFFF  YES      0    0    Execute/Read
0080  0080  Data16         80400000  0000FFFF  YES      0    0    Read/Write
0088  0088  Data16         00000000  00000000  YES      0    0    Read/Write
0090  0090  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
0098  0098  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00A0  00A0  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00A8  00A8  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00B0  00B0  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00B8  00B8  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00C0  00C0  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00C8  00C8  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00D0  00D0  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00D8  00D8  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 00000000 00000000
00E0  00E0  Code16         FA7B5000  0000FFFF  YES      0    0    Execute/Read, accessed
00E8  00E8  Data16         00000000  0000FFFF  YES      0    0    Read/Write
00F0  00F0  Code16         804D8B28  0003B337  YES      0    0    Execute-Only
00F8  00F8  Data16         00000000  0000FFFF  YES      0    0    Read/Write
0100  0100  Data32         FA7C5000  0000FFFF  YES      0    0    Read/Write, accessed
0108  0108  Data32         FA7C5000  0000FFFF  YES      0    0    Read/Write, accessed
0110  0110  Data32         FA7C5000  0000FFFF  YES      0    0    Read/Write, accessed
0118  0118  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 8003F120 00000000
0120  0120  Reserved  ....:........  ........  NO       0    0    Raw Descriptor : 8003F128 00000000
[...]

C’est beau ! La doc est bien faite en plus, je vous laisse donc vous amusez avec le travail du mâitre :
http://ivanlef0u.fr/repo/labo_windbg_script.zip

Yolejedi si tu lis ça, revient :(

Entry Filed under: C:

5 Comments

  • 1. mxatone  |  décembre 13th, 2007 at 15:57

    Comment ils se prennent la tete dans ce zine … Incroyable ;)


  • 2. LastCall_  |  décembre 14th, 2007 at 01:36

    ouais c’est à cause de l’accent ivan, c du perfect québécois :-P


  • 3. admin  |  décembre 24th, 2007 at 11:48

    Merci Yo d’avoir répondu :]

    http://www.laboskopia.com
    http://yolejedi.free.fr


  • 4. YoLeJedi  |  décembre 29th, 2007 at 17:54

    Salut Ivan,

    Merci à toi pour ton petit mot sympa.
    Merci aussi de parler de ma lib de script ;)

    Pour info, je l’ai mise à jour et elle fonctionne maintenant avec Vista.

    La nouvelle version a changé de nom et se trouve maintenant ici : http://www.syseclabs.com/software/SysecLabs-Windbg-Script.zip

    Bonne continuation Ivan !
    Lionel


  • 5. admin  |  décembre 29th, 2007 at 18:20

    Yo,
    Merci surtout d’avoir remit en lignes tes sites, c’est cool :]

    Je note l’url pour surveiller les tools à sortir. Le Symbol Type Viewer est vraiment sympa aussi.

    Merci encore
    A+


Trackback this post


Calendar

octobre 2021
L Ma Me J V S D
« fév    
 123
45678910
11121314151617
18192021222324
25262728293031

Most Recent Posts