Stacker

décembre 31st, 2006 at 02:53 admin

Stacker est la version boostée de StackWatcher (nom de merde je sais, osef), elle utilise en effet le driver du tool Process Explorer de Mark Russinovich (sysinternals) pour retrouver la pile d’appel d’un thread jusque dans le noyau. Pour réaliser cela j’ai du reverse le binaire et réimplementer certaines fonctions et structures, ce qui donne un code pas très propre mais qui fonctionne ! Un exemple avec cmd.exe :

C:ProgHackc>stacker cmd.exe
Need to install service

Thread ID : 1804
Kernel Land Thread stack :
0x8056530a : ntoskrnl!NtWaitForSingleObject+0x9a
0x804de6f0 : ntoskrnl!KiFastCallEntry+0xf8
0x7c91eb94 : ntdll!KiFastSystemCallRet+0x4
User Land Thread stack :
0x7c91e9b4 : ntdll!ZwWaitForSingleObject+0xc
0x7c802540 : kernel32!WaitForSingleObjectEx+0xa8
0x7c802520 : kernel32!WaitForSingleObject+0x12
0x4ad02cf4 : CMD!WaitProc+0x18
0x4ad02ff8 : CMD!ExecPgm+0x3fa
0x4ad02d42 : CMD!ECWork+0x84
0x4ad02dcb : CMD!ExtCom+0x40
0x4ad0145d : CMD!FindFixAndRun+0xcf
0x4ad01375 : CMD!Dispatch+0x137
0x4ad03ff1 : CMD!main+0x216
0x4ad05056 : CMD!mainCRTStartup+0x125
0x7c816fb4 : kernel32!BaseProcessStart+0x23

Le pack est dispo ici :

http://ivanlef0u.fr/repo/Stacker.rar

Entry Filed under: Non classé

1 Comment

  • 1. Intox  |  janvier 2nd, 2007 at 00:27

    faut vraiment que t’apprenne a identer tes codes, espèce de sale tireur de charrette à bras mal leché .

    Nice work


Trackback this post


Calendar

octobre 2021
L Ma Me J V S D
« fév    
 123
45678910
11121314151617
18192021222324
25262728293031

Most Recent Posts