NtCall64

Dieses Programm basiert auf NtCall von Peter Kosyh. Es handelt sich nicht um eine erweiterte Version und ihr Zweck besteht darin, die NtCall-Funktionalität für x64 Windows NT 6+ zu portieren.

• x64 Windows 7/8/8.1/10/11;
• Konto mit Administratorrechten (optional).

NTCALL64 -help[-win32k][-log][-call Id][-pc Value][-wt Value][-s]

• -help – Hilfe zu Programmparametern anzeigen;
• -log – Protokollierung über COM1-Port aktivieren, Dienstparameter werden protokolliert (langsam), standardmäßig deaktiviert;
• -pname – Portname für die Protokollierung, Standard COM1 (-log aktiviert erforderlich, gegenseitiger Ausschluss mit -ofile);
• -ofile – Dateiname für die Protokollierung, Standard ntcall64.log (-log aktiviert erforderlich, gegenseitiger Ausschluss mit -pname);
• -win32k – W32pServiceTable-Dienste-Fuzzing starten (manchmal auch als Shadow SSDT bezeichnet);
• -call Id – Fuzz-Systemaufruf anhand der angegebenen ID (ID kann aus jeder Tabelle ntos/win32k stammen);
• -pc-Wert – Durchlaufanzahl für jeden Systemaufruf festlegen (maximaler Wert ist auf ULONG64-Maximalwert begrenzt), Standardwert 65536;
• -wt Wert – Wartezeitüberschreitung für aufrufende Threads in Sekunden festlegen (außer beim Fuzzing einzelner Systemaufrufe), der Standardwert ist 30;
• -start Id – Fuzz-Systemaufruftabelle beginnend mit der angegebenen Systemaufruf-ID, gegenseitiges Ausschließen mit -call;
• -s – Versuch, das Programm über das LocalSystem-Konto auszuführen.

Bei Verwendung ohne Parameter beginnt NtCall64 mit dem Fuzzing von Diensten in KiServiceTable (ntos, manchmal auch als SSDT bezeichnet).

Das Standard-Timeout jedes Fuzzing-Threads ist auf 30 Sekunden eingestellt. Wenn die Protokollierung aktiviert ist, wird die Zeitüberschreitung auf 120 Sekunden verlängert.

Beachten Sie, dass bei Verwendung mit der Option -call alle Blacklists ignoriert werden und das Fuzzing-Thread-Timeout auf UNENDLICH gesetzt wird.

Beispiel:

• ntcall64 -log
• ntcall64 -log -pc 1234
• ntcall64 -log -pc 1234 -call 4096
• ntcall64 -log -ofile mylog.txt
• ntcall64 -win32k -log -pname COM2
• ntcall64 -win32k
• ntcall64 -win32k -log
• ntcall64 -win32k -log -pc 1234
• ntcall64 -call 4097
• ntcall64 -call 4097 -log
• ntcall64 -call 4097 -log -pc 1000
• ntcall64 -pc 1000
• ntcall64 -s
• ntcall64 -pc 1000 -s

Hinweis: Stellen Sie sicher, dass Sie die Windows-Absturzspeicherauszugseinstellungen konfigurieren, bevor Sie dieses Tool ausprobieren

(z. B. https://msdn.microsoft.com/en-us/library/windows/hardware/ff542953(v=vs.85).aspx).

Es durchsucht Systemdienste brutal und ruft sie mehrmals auf, wobei die Eingabeparameter zufällig aus der vordefinierten Liste „schlechter Argumente“ entnommen werden.

Mithilfe der Konfigurationsdatei badcalls.ini können Sie bestimmte Dienste auf die schwarze Liste setzen. Fügen Sie dazu den Dienstnamen (Groß- und Kleinschreibung beachten) zum entsprechenden Abschnitt der badcalls.ini hinzu. Wenn Sie beispielsweise Dienste aus KiServiceTable auf die schwarze Liste setzen möchten, verwenden Sie den Abschnitt [ntos].

Beispiel für badcalls.ini (Standardkonfiguration im Lieferumfang des Programms enthalten)

 [ntos]
NtClose
NtInitiatePowerAction
NtRaiseHardError
NtReleaseKeyedEvent
NtPropagationComplete
NtShutdownSystem
NtSuspendProcess
NtSuspendThread
NtTerminateProcess
NtTerminateThread
NtWaitForAlertByThreadId
NtWaitForSingleObject
NtWaitForKeyedEvent

[win32k]
NtUserRealWaitMessageEx
NtUserShowSystemCursor
NtUserSwitchDesktop
NtUserLockWorkStation
NtUserEnumDisplayMonitors
NtUserGetMessage
NtUserWaitMessage
NtUserDoSoundConnect
NtUserRealInternalGetMessage
NtUserBroadcastThemeChangeEvent
NtUserWaitAvailableMessageEx
NtUserMsgWaitForMultipleObjectsEx

Dieses Programm kann das Betriebssystem zum Absturz bringen und seine Stabilität beeinträchtigen, was zu Datenverlust oder zum Absturz des Programms selbst führen kann. Die Nutzung erfolgt auf eigene Gefahr.

• win32k!NtGdiDdDDISetHwProtectionTeardownRecovery
• win32k!NtUserCreateActivationObject
• win32k!NtUserOpenDesktop
• win32k!NtUserSetWindowsHookEx
• win32k!NtUserInitialize->win32kbase!Win32kBaseUserInitialize
• nt!NtLoadEnclaveData
• nt!NtCreateIoRing
• nt!NtQueryInformationCpuPartition

NTCALL64 verfügt über einen vollständigen, in C geschriebenen Quellcode mit minimalem Assembler-Einsatz. Zum Erstellen aus dem Quellcode benötigen Sie Microsoft Visual Studio 2017 und spätere Versionen.

• Wählen Sie zuerst Platform ToolSet für das Projekt in der Lösung aus, die Sie erstellen möchten (Projekt->Eigenschaften->Allgemein):
  • v141 für Visual Studio 2017;
  • v142 für Visual Studio 2019;
  • v143 für Visual Studio 2022.
• Für v140 und höher legen Sie die Zielplattformversion fest (Projekt->Eigenschaften->Allgemein):
  • Wenn v140, dann wählen Sie 8.1;
  • Wenn v141 und höher, wählen Sie 10.
• Mindestens erforderliche Windows SDK-Version 8.1

(c) 2016–2023 NTCALL64-Projekt

Original NtCall von Peter Kosyh aka Gloomy (c) 2001, http://gl00my.chat.ru/