NtCall64

Ce programme basé sur NtCall de Peter Kosyh. Il ne s'agit pas d'une version avancée et de son objectif - la fonctionnalité du port NtCall pour Windows NT 6+ x64.

• x64 Windows 7/8/8.1/10/11 ;
• Compte avec privilèges administratifs (facultatif).

NTCALL64 -help[-win32k][-log][-call Id][-pc Value][-wt Value][-s]

• -help - affiche l'aide sur les paramètres du programme ;
• -log - active la journalisation via le port COM1, les paramètres de service seront enregistrés (lents), désactivés par défaut ;
• -pname - nom du port pour la journalisation, COM1 par défaut (-log activé requis, exclusivité mutuelle avec -ofile) ;
• -ofile - nom du fichier pour la journalisation, ntcall64.log par défaut (-log activé requis, exclusivité mutuelle avec -pname) ;
• -win32k - lance le fuzzing des services W32pServiceTable (parfois référencé comme Shadow SSDT) ;
• -call Id - appel système fuzz par identifiant fourni (l'identifiant peut provenir de n'importe quelle table ntos/win32k) ;
• -pc Value - définit le nombre de passes pour chaque appel système (la valeur maximale est limitée à la valeur maximale ULONG64), valeur par défaut 65536 ;
• -wt Value - définit le délai d'attente pour l'appel des threads en secondes (sauf fuzzing d'appel système unique), la valeur par défaut est 30 ;
• -start Id - Table d'appel système Fuzz à partir de l'identifiant d'appel système donné, mutuelle exclusive avec -call ;
• -s - Tentative d'exécution du programme à partir du compte LocalSystem.

Lorsqu'il est utilisé sans paramètres, NtCall64 démarrera le fuzzing des services dans KiServiceTable (ntos, parfois référencé comme SSDT).

Le délai d'expiration par défaut de chaque thread fuzzing est défini sur 30 secondes. Si la journalisation est activée, le délai d'attente est prolongé à 120 secondes.

Notez que lorsqu'elle est utilisée avec l'option -call, toutes les listes noires seront ignorées et le délai d'expiration du thread fuzzing sera défini sur INFINITE.

Exemple:

• ntcall64 -journal
• ntcall64-log-pc 1234
• ntcall64 -log -pc 1234 -appel 4096
• ntcall64 -log -ofile monlog.txt
• ntcall64 -win32k -log -pname COM2
• ntcall64-win32k
• ntcall64-win32k-log
• ntcall64-win32k-log-pc 1234
• ntcall64 -appel 4097
• ntcall64 -appel 4097 -journal
• ntcall64 -appel 4097 -log -pc 1000
• ntcall64-pc 1000
• ntcall64 -s
• ntcall64 -pc 1000 -s

Remarque : assurez-vous de configurer les paramètres de vidage sur incident de Windows avant d'essayer cet outil.

(par exemple https://msdn.microsoft.com/en-us/library/windows/hardware/ff542953(v=vs.85).aspx).

Il force brute les services système et les appelle plusieurs fois avec des paramètres d'entrée pris au hasard dans la liste prédéfinie des "mauvais arguments".

En utilisant le fichier de configuration badcalls.ini, vous pouvez mettre certains services sur liste noire. Pour ce faire, ajoutez le nom du service (sensible à la casse) à la section correspondante du badcalls.ini, par exemple si vous souhaitez mettre sur liste noire les services de KiServiceTable, utilisez la section [ntos].

Exemple de badcalls.ini (configuration par défaut livrée avec le programme)

 [nos]
NtFermer
NtInitiatePowerAction
NtRaiseHardError
NtReleaseKeyedEvent
NtPropagationComplete
NtShutdownSystème
NtSuspendProcess
NtSuspendThread
NtTerminateProcess
NtTerminateThread
NtWaitForAlertByThreadId
NtWaitForSingleObject
NtWaitForKeyedEvent

[win32k]
NtUserRealWaitMessageEx
NtUserShowSystemCursor
NtUserSwitchDesktop
NtUserLockWorkStation
NtUserEnumDisplayMonitors
NtUserGetMessage
NtUserWaitMessage
NtUserDoSoundConnect
NtUserRealInternalGetMessage
NtUserBroadcastThemeChangeEvent
NtUserWaitAvailableMessageEx
NtUserMsgWaitForMultipleObjectsEx

Ce programme peut faire planter le système d'exploitation, affecter sa stabilité, ce qui peut entraîner une perte de données ou un crash du programme lui-même. Vous l'utilisez à vos propres risques.

• win32k!NtGdiDdDDISetHwProtectionTeardownRécupération
• win32k!NtUserCreateActivationObject
• win32k!NtUserOpenDesktop
• win32k!NtUserSetWindowsHookEx
• win32k!NtUserInitialize->win32kbase!Win32kBaseUserInitialize
• nt!NtLoadEnclaveData
• nt!NtCreateIoRing
• nt!NtQueryInformationCpuPartition

NTCALL64 est livré avec un code source complet écrit en C avec une utilisation minuscule en assembleur. Pour créer à partir des sources, vous avez besoin de Microsoft Visual Studio 2017 et des versions ultérieures.

• Sélectionnez d'abord Platform ToolSet pour le projet dans la solution que vous souhaitez créer (Projet-> Propriétés-> Général) :
  • v141 pour Visual Studio 2017 ;
  • v142 pour Visual Studio 2019 ;
  • v143 pour Visual Studio 2022.
• Pour la version 140 et supérieure, définissez la version de la plate-forme cible (Projet-> Propriétés-> Général) :
  • Si v140, sélectionnez 8.1 ;
  • Si v141 et supérieur, sélectionnez 10.
• Kit de développement logiciel Windows version 8.1 minimale requise

(c) 2016 - 2023 Projet NTCALL64

NtCall original de Peter Kosyh alias Gloomy (c) 2001, http://gl00my.chat.ru/