NtCall64

Este programa está basado en NtCall de Peter Kosyh. No es una versión avanzada y su propósito es portar la funcionalidad NtCall para x64 Windows NT 6+.

• x64 Windows 7/8/8.1/10/11;
• Cuenta con privilegios administrativos (opcional).

NTCALL64 -help[-win32k][-log][-id de llamada][-valor de pc][-valor de wt][-s]

• -ayuda: muestra la ayuda sobre los parámetros del programa;
• -log: habilita el registro a través del puerto COM1, los parámetros del servicio se registrarán (lento), deshabilitado de forma predeterminada;
• -pname: nombre del puerto para el registro, COM1 predeterminado (se requiere -log habilitado, exclusivo mutuo con -ofile);
• -ofile: nombre de archivo para el registro, predeterminado ntcall64.log (se requiere -log habilitado, se excluye mutuamente con -pname);
• -win32k: inicia la confusión de servicios W32pServiceTable (a veces denominada Shadow SSDT);
• -call Id: llamada al sistema difusa según la identificación proporcionada (la identificación puede ser de cualquier tabla ntos/win32k);
• -pc Valor: establece el recuento de pases para cada llamada al sistema (el valor máximo está limitado al valor máximo de ULONG64), valor predeterminado 65536;
• -wt Valor: establece el tiempo de espera para llamar a subprocesos en segundos (excepto la confusión de llamadas al sistema únicas), el valor predeterminado es 30;
• -start Id: tabla de llamadas al sistema Fuzz que comienza a partir del ID de llamada al sistema dado, excluyente mutuamente con -call;
• -s: intenta ejecutar el programa desde la cuenta LocalSystem.

Cuando se usa sin parámetros, NtCall64 comenzará a fusionar servicios en KiServiceTable (ntos, a veces denominado SSDT).

El tiempo de espera predeterminado de cada subproceso de fuzzing se establece en 30 segundos. Si el registro está habilitado, el tiempo de espera se extiende a 120 segundos.

Tenga en cuenta que cuando se utiliza con la opción -call se ignorarán todas las listas negras y el tiempo de espera del subproceso difuso se establecerá en INFINITO.

Ejemplo:

• ntcall64-registro
• ntcall64-log-pc 1234
• ntcall64 -log -pc 1234 -llamada 4096
• ntcall64 -log -ofile milog.txt
• ntcall64 -win32k -log -pname COM2
• ntcall64-win32k
• ntcall64-win32k-log
• ntcall64-win32k-log-pc 1234
• ntcall64 -llamar al 4097
• ntcall64 -llamar 4097 -registro
• ntcall64 -llamada 4097 -log -pc 1000
• ntcall64-pc 1000
• ntcall64-s
• ntcall64 -pc 1000 -s

Nota: asegúrese de configurar los ajustes del volcado de memoria de Windows antes de probar esta herramienta

(por ejemplo, https://msdn.microsoft.com/en-us/library/windows/hardware/ff542953(v=vs.85).aspx).

Ejerce fuerza bruta a través de los servicios del sistema y los llama varias veces con parámetros de entrada tomados aleatoriamente de una lista predefinida de "argumentos incorrectos".

Al utilizar el archivo de configuración badcalls.ini, puede incluir ciertos servicios en la lista negra. Para hacer esto, agregue el nombre del servicio (distingue entre mayúsculas y minúsculas) a la sección correspondiente de badcalls.ini, por ejemplo, si desea incluir servicios en la lista negra de KiServiceTable, utilice la sección [ntos].

Ejemplo de badcalls.ini (configuración predeterminada incluida con el programa)

 [ntos]
NtCerrar
NtInitiatePowerAcción
NtRaiseHardError
NtReleaseKeyedEvent
Ntpropagación completa
NtShutdownSystem
Proceso NtSuspend
NtSuspendThread
Proceso NtTerminate
NtTerminateThread
NtWaitForAlertPorThreadId
NtWaitForSingleObject
NtWaitForKeyedEvent

[win32k]
NtUserRealWaitMessageEx
NtUserShowSystemCursor
NtUserSwitchEscritorio
Estación de trabajo NtUserLock
NtUserEnumDisplayMonitores
NtUserGetMessage
NtUsuarioEsperaMensaje
NtUserDoSoundConnect
NtUserRealInternalGetMessage
NtUserBroadcastTemaCambioEvento
NtUserWaitAvailableMessageEx
NtUserMsgWaitForMultipleObjectsEx

Este programa puede bloquear el sistema operativo y afectar su estabilidad, lo que puede provocar la pérdida de datos o el bloqueo del programa. Lo usas bajo tu propio riesgo.

• win32k!NtGdiDdDDISetHwProtectionTeardownRecovery
• win32k! NtUserCreateActivationObject
• win32k!NtUserOpenDesktop
• win32k!NtUserSetWindowsHookEx
• win32k!NtUserInitialize->win32kbase!Win32kBaseUserInitialize
• nt!NtLoadEnclaveData
• nt!NtCreateIoRing
• nt!NtQueryInformationCpuPartición

NTCALL64 viene con código fuente completo escrito en C con un uso mínimo de ensamblador. Para compilar desde el código fuente, necesita Microsoft Visual Studio 2017 y versiones posteriores.

• Seleccione Platform ToolSet primero para el proyecto de la solución que desea crear (Proyecto->Propiedades->General):
  • v141 para Visual Studio 2017;
  • v142 para Visual Studio 2019;
  • v143 para Visual Studio 2022.
• Para v140 y superiores, establezca la versión de la plataforma de destino (Proyecto->Propiedades->General):
  • Si es v140, seleccione 8.1;
  • Si es v141 y superior, seleccione 10.
• Versión mínima requerida del SDK de Windows 8.1

(c) Proyecto NTCALL64 2016 - 2023

NtCall original de Peter Kosyh, también conocido como Gloomy (c) 2001, http://gl00my.chat.ru/