Stacker
Stacker est la version boostée de StackWatcher (nom de merde je sais, osef), elle utilise en effet le driver du tool Process Explorer de Mark Russinovich (sysinternals) pour retrouver la pile d’appel d’un thread jusque dans le noyau. Pour réaliser cela j’ai du reverse le binaire et réimplementer certaines fonctions et structures, ce qui donne un code pas très propre mais qui fonctionne ! Un exemple avec cmd.exe :
C:ProgHackc>stacker cmd.exe Need to install service Thread ID : 1804 Kernel Land Thread stack : 0x8056530a : ntoskrnl!NtWaitForSingleObject+0x9a 0x804de6f0 : ntoskrnl!KiFastCallEntry+0xf8 0x7c91eb94 : ntdll!KiFastSystemCallRet+0x4 User Land Thread stack : 0x7c91e9b4 : ntdll!ZwWaitForSingleObject+0xc 0x7c802540 : kernel32!WaitForSingleObjectEx+0xa8 0x7c802520 : kernel32!WaitForSingleObject+0x12 0x4ad02cf4 : CMD!WaitProc+0x18 0x4ad02ff8 : CMD!ExecPgm+0x3fa 0x4ad02d42 : CMD!ECWork+0x84 0x4ad02dcb : CMD!ExtCom+0x40 0x4ad0145d : CMD!FindFixAndRun+0xcf 0x4ad01375 : CMD!Dispatch+0x137 0x4ad03ff1 : CMD!main+0x216 0x4ad05056 : CMD!mainCRTStartup+0x125 0x7c816fb4 : kernel32!BaseProcessStart+0x23
Le pack est dispo ici :
http://ivanlef0u.fr/repo/Stacker.rar
1 comment décembre 31st, 2006