Commentaires sur : Plongeon dans les appels systèmes Windows https://www.segmentationfault.fr/reversing/plongeon-dans-les-appels-systemes-windows/ Projets d’un consultant en sécurité informatique Sat, 22 Aug 2015 12:46:18 +0000 hourly 1 http://wordpress.org/?v=3.4.2 Par : Ge0 https://www.segmentationfault.fr/reversing/plongeon-dans-les-appels-systemes-windows/comment-page-1/#comment-584 Ge0 Sat, 20 Aug 2011 12:54:04 +0000 http://www.segmentationfault.fr/?p=593#comment-584 Yo Trance, "lkd> u 80541520 80541520+100 //desassemble les 100 premiers octets" 100 est exprimé ici en hexadécimal, donc ça sera 256 premiers octets. ;) Je sais que ton article commence à dater un peu, mais il reste très utile (la preuve puisque je le continue de le consulter). Bonne continuation ! Ge0 Yo Trance,

« lkd> u 80541520 80541520+100 //desassemble les 100 premiers octets »

100 est exprimé ici en hexadécimal, donc ça sera 256 premiers octets. ;)

Je sais que ton article commence à dater un peu, mais il reste très utile (la preuve puisque je le continue de le consulter).

Bonne continuation !

Ge0

]]> Par : Léo https://www.segmentationfault.fr/reversing/plongeon-dans-les-appels-systemes-windows/comment-page-1/#comment-242 Léo Sun, 12 Apr 2009 11:45:36 +0000 http://www.segmentationfault.fr/?p=593#comment-242 Eh eh eh Aurais-je déteint sur toi Émilien ? Et dire qu'il fut une époque ou tu me considérais comme un maniaque du code... ;) Par contre, je suis d'accord, getchar n'est pas encore une solution parfaite. Sous linux, le mieux serait encore de se mettre en attente d'un signal quelconque, mais bon, sous windows il faut bien faire avec ce qu'on a sous la main ;) Eh eh eh
Aurais-je déteint sur toi Émilien ? Et dire qu’il fut une époque ou tu me considérais comme un maniaque du code… ;)
Par contre, je suis d’accord, getchar n’est pas encore une solution parfaite. Sous linux, le mieux serait encore de se mettre en attente d’un signal quelconque, mais bon, sous windows il faut bien faire avec ce qu’on a sous la main ;)

]]> Par : Emilien Girault https://www.segmentationfault.fr/reversing/plongeon-dans-les-appels-systemes-windows/comment-page-1/#comment-241 Emilien Girault Sun, 12 Apr 2009 09:02:58 +0000 http://www.segmentationfault.fr/?p=593#comment-241 Euh où as-tu vu une "comparaison avec zéro" ? Et je ne vois pas en quoi system("pause") serait plus "scientifique". Je n'utilise jamais cette méthode car je la considère comme pas propre (lancer un shell et faire exécuter une commande MS DOS juste pour mettre en pause un programme, vive l'usine à gaz). Enfin tout cela est personnel bien sur :) En tout cas ce n'était pas le but de l'article donc désolé si j'ai heurté ta sensibilité ! Euh où as-tu vu une « comparaison avec zéro » ?
Et je ne vois pas en quoi system(« pause ») serait plus « scientifique ». Je n’utilise jamais cette méthode car je la considère comme pas propre (lancer un shell et faire exécuter une commande MS DOS juste pour mettre en pause un programme, vive l’usine à gaz). Enfin tout cela est personnel bien sur :)
En tout cas ce n’était pas le but de l’article donc désolé si j’ai heurté ta sensibilité !

]]> Par : jehv https://www.segmentationfault.fr/reversing/plongeon-dans-les-appels-systemes-windows/comment-page-1/#comment-240 jehv Sat, 11 Apr 2009 22:53:05 +0000 http://www.segmentationfault.fr/?p=593#comment-240 Les mecs arretez avec vos getchar et comparaison avec zero pour finir une action en C , et tester system("PAUSE"); des comparaisons plus "scientifique" ;) en tout cas je comprends mieux trampoline mainant :) Les mecs arretez avec vos getchar et comparaison avec zero pour finir une action en C , et tester system(« PAUSE »); des comparaisons plus « scientifique » ;)

en tout cas je comprends mieux trampoline mainant :)

]]> Par : Ivanlef0u’s Blog » Return of the SMM https://www.segmentationfault.fr/reversing/plongeon-dans-les-appels-systemes-windows/comment-page-1/#comment-233 Ivanlef0u’s Blog » Return of the SMM Sun, 29 Mar 2009 14:24:36 +0000 http://www.segmentationfault.fr/?p=593#comment-233 [...] Plongeon dans les appels systèmes Windows [...] [...] Plongeon dans les appels systèmes Windows [...]

]]> Par : Emilien Girault https://www.segmentationfault.fr/reversing/plongeon-dans-les-appels-systemes-windows/comment-page-1/#comment-232 Emilien Girault Sun, 29 Mar 2009 14:20:21 +0000 http://www.segmentationfault.fr/?p=593#comment-232 En effet. Pour moi la SSDT c'était justement la table des adresses de fonctions, mais tu as raison. Désolé de cette erreur de vocabulaire :) Et merci pour les compliments, ça fait plaisir ! En effet. Pour moi la SSDT c’était justement la table des adresses de fonctions, mais tu as raison. Désolé de cette erreur de vocabulaire :)
Et merci pour les compliments, ça fait plaisir !

]]> Par : 0vercl0k https://www.segmentationfault.fr/reversing/plongeon-dans-les-appels-systemes-windows/comment-page-1/#comment-231 0vercl0k Sun, 29 Mar 2009 13:09:17 +0000 http://www.segmentationfault.fr/?p=593#comment-231 Hello Trance, Tout d'abord merci pour cette article, tu présentes très bien le passage userland/kerneland, c'est très detaillés, bien expliqué ! Cependant, il y a une petite bourde, tu parles à un moment d'un symbole pointant sur la SSDT, tu parles alors de KiServiceTable ! Ce n'est pas vraiment le symbole pointant sur la SSDT. Si l'on regarde la structure de la SSDT on peut voir: typedef struct ServiceDescriptorEntry { PDWORD ServiceTable; PDWORD CounterTableBase; DWORD ServiceLimit; PBYTE ArgumentTable; } SSDT; lkd> dd nt!KeServiceDescriptorTable l 4 8055b6e0 80503960 00000000 0000011c 80503dd4 On repère bien sur le nombre de syscall 0x11c, le pointeur sur le tableau des adresses des fonctions 80503960. lkd> dds nt!KeServiceDescriptorTable l 4 8055b6e0 80503960 nt!KiServiceTable 8055b6e4 00000000 8055b6e8 0000011c 8055b6ec 80503dd4 nt!KiArgumentTable On constate juste que KiServiceTable est un symbole pointant sur la table des adresses des fonctions, et non la SSDT ! Voilà, bonne continuation. Cordialement, 0vercl0k. Hello Trance,
Tout d’abord merci pour cette article, tu présentes très bien le passage userland/kerneland, c’est très detaillés, bien expliqué !
Cependant, il y a une petite bourde, tu parles à un moment d’un symbole pointant sur la SSDT, tu parles alors de KiServiceTable !

Ce n’est pas vraiment le symbole pointant sur la SSDT.
Si l’on regarde la structure de la SSDT on peut voir:

typedef struct ServiceDescriptorEntry {
PDWORD ServiceTable;
PDWORD CounterTableBase;
DWORD ServiceLimit;
PBYTE ArgumentTable;
} SSDT;

lkd> dd nt!KeServiceDescriptorTable l 4
8055b6e0 80503960 00000000 0000011c 80503dd4

On repère bien sur le nombre de syscall 0x11c, le pointeur sur le tableau des adresses des fonctions 80503960.

lkd> dds nt!KeServiceDescriptorTable l 4
8055b6e0 80503960 nt!KiServiceTable
8055b6e4 00000000
8055b6e8 0000011c
8055b6ec 80503dd4 nt!KiArgumentTable

On constate juste que KiServiceTable est un symbole pointant sur la table des adresses des fonctions, et non la SSDT !
Voilà, bonne continuation.
Cordialement, 0vercl0k.

]]> Par : JoE https://www.segmentationfault.fr/reversing/plongeon-dans-les-appels-systemes-windows/comment-page-1/#comment-230 JoE Sat, 28 Mar 2009 17:45:15 +0000 http://www.segmentationfault.fr/?p=593#comment-230 Good work, clair, as usual ;-) Good work, clair, as usual ;-)

]]>