الصفحة الرئيسية>المتعلقة بالبرمجة>كود مصدر C#
تنزيل

NTCALL64

Windows NT x64 syscall fuzzer.

يعتمد هذا البرنامج على NtCall بواسطة Peter Kosyh. إنه ليس إصدارًا متقدمًا والغرض منه - وظيفة منفذ NtCall لنظام التشغيل x64 Windows NT 6+.

متطلبات النظام

  • x64 ويندوز 7/8/8.1/10/11؛
  • حساب بامتيازات إدارية (اختياري).

الاستخدام

NTCALL64 - مساعدة [-win32k] [- سجل] [- معرف الاتصال] [- قيمة الكمبيوتر] [- قيمة الوزن] [- ق]

  • -مساعدة - إظهار تعليمات معلمات البرنامج؛
  • -log - تمكين التسجيل عبر منفذ COM1، سيتم تسجيل معلمات الخدمة (بطيئة)، وسيتم تعطيلها بشكل افتراضي؛
  • -pname - اسم المنفذ للتسجيل، COM1 الافتراضي (-يتطلب تمكين السجل، والحصر المتبادل مع -ofile)؛
  • -الملف - اسم الملف للتسجيل، ntcall64.log الافتراضي (-يتطلب تمكين السجل، والحصر المتبادل مع -pname)؛
  • -win32k - تشغيل خدمات W32pServiceTable الغامضة (يشار إليها أحيانًا باسم Shadow SSDT)؛
  • -معرف الاتصال - استدعاء نظام Fuzz بواسطة المعرف المقدم (يمكن أن يكون المعرف من أي جدول NTOS/WIN32K)؛
  • -قيمة الكمبيوتر - تعيين عدد التمريرات لكل مكالمة نظام (القيمة القصوى تقتصر على قيمة ULONG64 القصوى)، القيمة الافتراضية 65536؛
  • -wt Value - ضبط مهلة الانتظار لاستدعاء سلاسل الرسائل بالثواني (باستثناء تشويش النظام الفردي)، القيمة الافتراضية هي 30؛
  • -معرف البداية - يبدأ جدول Fuzz syscall من معرف syscall المحدد، حصريًا مع -call؛
  • -s - محاولة تشغيل البرنامج من حساب LocalSystem.

عند استخدامه بدون معلمات، سيبدأ NtCall64 في تشويش الخدمات في KiServiceTable (ntos، يُشار إليه أحيانًا باسم SSDT).

يتم تعيين المهلة الافتراضية لكل مؤشر ترابط غامض على 30 ثانية. إذا تم تمكين التسجيل، فسيتم تمديد المهلة إلى 120 ثانية.

لاحظ أنه عند استخدامه مع خيار -call سيتم تجاهل جميع القوائم السوداء وسيتم تعيين مهلة سلسلة الرسائل الغامضة على INFINITE.

مثال:

  • سجل ntcall64
  • ntcall64-سجل-كمبيوتر 1234
  • ntcall64 - سجل - كمبيوتر 1234 - اتصل بـ 4096
  • ntcall64 -log -ملف mylog.txt
  • ntcall64 -win32k -log -pname COM2
  • NTCALL64 -WIN32K
  • ntcall64 -win32k -log
  • NTcall64 -win32k -log -pc 1234
  • ntcall64 - اتصل بالرقم 4097
  • ntcall64 - اتصل بالرقم 4097 - سجل
  • ntcall64 - اتصل بالرقم 4097 - سجل - الكمبيوتر 1000
  • إن تي كول 64 - بي سي 1000
  • ntcall64 -s
  • ntcall64-pc 1000-s

ملاحظة: تأكد من تكوين إعدادات تفريغ الأعطال في Windows قبل تجربة هذه الأداة

(على سبيل المثال https://msdn.microsoft.com/en-us/library/windows/hardware/ff542953(v=vs.85).aspx).

كيف تعمل

إنه يفرض القوة الغاشمة على خدمات النظام ويتصل بها عدة مرات باستخدام معلمات الإدخال المأخوذة بشكل عشوائي من قائمة "الوسيطات السيئة" المحددة مسبقًا.

إعدادات

باستخدام ملف التكوين badcalls.ini يمكنك إدراج خدمات معينة في القائمة السوداء. للقيام بذلك - أضف اسم الخدمة (حساس لحالة الأحرف) إلى القسم المقابل من badcalls.ini، على سبيل المثال، إذا كنت تريد إدراج الخدمات من KiServiceTable في القائمة السوداء، فاستخدم القسم [ntos].

مثال على badcalls.ini (التكوين الافتراضي يأتي مع البرنامج)

 [إنتوس]
نت كلوز
NtInitiatePowerAction
NtRaiseHardError
NtReleaseKeyedEvent
NtPropagationComplete
NtShutdownSystem
NtSuspendProcess
NtSuspendThread
NtTerminateProcess
NtTerminateThread
نتوايتفوراليرتبيثريد
NtWaitForSingleObject
NtWaitForKeyedEvent

[WIN32K]
نتوسيريالويتميساجيكس
NtUserShowSystemCursor
NtUserSwitchDesktop
نتUserLockWorkStation
NtUserEnumDisplayMonitors
نتوسيرججيتميساج
NtUserWaitMessage
نتUserDoSoundConnect
نتوسيريالإنرنالجيتميساج
NtUserBroadcastThemeChangeEvent
NtUserWaitAvailableMessageEx
NtUserMsgWaitForMultipleObjectsEx

تحذير

قد يؤدي هذا البرنامج إلى تعطل نظام التشغيل، أو التأثير على استقراره، مما قد يؤدي إلى فقدان البيانات أو تعطل البرنامج نفسه. يمكنك استخدامه على مسؤوليتك الخاصة.

تم العثور على أخطاء في NtCall64

  • win32k!NtGdiDdDDISetHwProtectionTeardownRecovery
  • win32k!NtUserCreateActivationObject
  • Win32k!NtUserOpenDesktop
  • win32k!NtUserSetWindowsHookEx
  • win32k!NtUserInitialize->win32kbase!Win32kBaseUserInitialize
  • NT!NtLoadEnclaveData
  • NT!NtCreateIoRing
  • NT!NtQueryInformationCpuPartition

يبني

يأتي NTCALL64 مزودًا بكود مصدر كامل مكتوب بلغة C مع استخدام صغير للمجمع. من أجل البناء من المصدر، تحتاج إلى Microsoft Visual Studio 2017 والإصدارات الأحدث.

تعليمات

  • حدد Platform ToolSet أولاً للمشروع في الحل الذي تريد إنشاءه (المشروع->الخصائص->عام):
    • الإصدار 141 لبرنامج Visual Studio 2017؛
    • الإصدار 142 لبرنامج Visual Studio 2019؛
    • الإصدار 143 لبرنامج فيجوال ستوديو 2022.
  • بالنسبة للإصدار 140 وما فوق، قم بتعيين إصدار النظام الأساسي المستهدف (المشروع->الخصائص->عام):
    • إذا كان الإصدار 140، فاختر 8.1؛
    • إذا كان الإصدار 141 وما فوق، فاختر 10.
  • الحد الأدنى المطلوب من Windows SDK الإصدار 8.1

المؤلفون

(ج) مشروع NTCALL64 للفترة 2016-2023

NtCall الأصلي بقلم Peter Kosyh المعروف أيضًا باسم Gloomy (c) 2001، http://gl00my.chat.ru/

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل