NtCall64

Program ini berdasarkan NtCall oleh Peter Kosyh. Ini bukan versi lanjutan dan tujuannya - fungsionalitas port NtCall untuk x64 Windows NT 6+.

• x64 Windows 7/8/8.1/10/11;
• Akun dengan hak administratif (opsional).

NTCALL64 -bantuan[-win32k][-log][-Id panggilan][-Nilai pc][-Nilai berat][-s]

• -bantuan - tampilkan bantuan parameter program;
• -log - aktifkan logging melalui port COM1, parameter layanan akan dicatat (lambat), default dinonaktifkan;
• -pname - nama port untuk logging, COM1 default (-log diaktifkan diperlukan, saling eksklusif dengan -ofile);
• -ofile - nama file untuk logging, default ntcall64.log (-log diaktifkan diperlukan, saling eksklusif dengan -pname);
• -win32k - meluncurkan layanan fuzzing W32pServiceTable (terkadang disebut sebagai Shadow SSDT);
• -call Id - fuzz syscall berdasarkan id yang diberikan (id dapat dari tabel mana pun ntos/win32k);
• -Nilai pc - tetapkan jumlah pass untuk setiap syscall (nilai maksimum dibatasi pada nilai maks ULONG64), nilai default 65536;
• -wt Value - atur waktu tunggu untuk memanggil thread dalam hitungan detik (kecuali fuzzing syscall tunggal), nilai defaultnya adalah 30;
• -start Id - Tabel syscall fuzz dimulai dari id syscall yang diberikan, saling eksklusif dengan -call;
• -s - Mencoba menjalankan program dari akun LocalSystem.

Ketika digunakan tanpa parameter, NtCall64 akan memulai layanan fuzzing di KiServiceTable (ntos, terkadang direferensikan sebagai SSDT).

Batas waktu default untuk setiap thread fuzzing diatur ke 30 detik. Jika logging diaktifkan maka batas waktu diperpanjang hingga 120 detik.

Perhatikan bahwa ketika digunakan dengan opsi -call, semua daftar hitam akan diabaikan dan batas waktu thread fuzzing akan disetel ke INFINITE.

Contoh:

• ntcall64 -log
• ntcall64 -log -pc 1234
• ntcall64 -log -pc 1234 -panggilan 4096
• ntcall64 -log -ofile mylog.txt
• ntcall64 -win32k -log -pname COM2
• ntcall64 -win32k
• ntcall64 -win32k -log
• ntcall64 -win32k -log -pc 1234
• ntcall64 -panggilan 4097
• ntcall64 -panggilan 4097 -log
• ntcall64 -panggilan 4097 -log -pc 1000
• ntcall64 -pc 1000
• ntcall64 -s
• ntcall64 -pc 1000 -dtk

Catatan: pastikan untuk mengonfigurasi pengaturan crash dump Windows sebelum mencoba alat ini

(misalnya https://msdn.microsoft.com/en-us/library/windows/hardware/ff542953(v=vs.85).aspx).

Ini melakukan brute force melalui layanan sistem dan memanggilnya beberapa kali dengan parameter input yang diambil secara acak dari daftar "argumen buruk" yang telah ditentukan sebelumnya.

Dengan menggunakan file konfigurasi badcalls.ini Anda dapat memasukkan layanan tertentu ke dalam daftar hitam. Untuk melakukan hal ini - tambahkan nama layanan (peka huruf besar-kecil) ke bagian yang sesuai pada badcalls.ini, misalnya jika Anda ingin memasukkan layanan ke daftar hitam dari KiServiceTable, gunakan bagian [ntos].

Contoh badcalls.ini (konfigurasi default dikirimkan bersama program)

 [tidak]
Tidak Tutup
NtInitiatePowerAction
NtRaiseHardError
NtReleaseKenedEvent
NtPropagationComplete
NtShutdownSystem
Proses NtSuspend
NtSuspendThread
Proses NtTerminate
NtTerminateThread
NtWaitForAlertByThreadId
NtWaitForSingleObject
NtWaitForKeyedEvent

[menang32k]
NtUserRealWaitMessageEx
NtUserShowSystemCursor
NtUserSwitchDesktop
NtUserLockWorkStation
NtUserEnumDisplayMonitor
NtUserGetMessage
NtUserWaitMessage
NtUserDoSoundConnect
NtUserRealInternalGetMessage
Acara Perubahan Tema NtUserBroadcast
NtUserWaitAvailableMessageEx
NtUserMsgWaitForMultipleObjectsEx

Program ini dapat menyebabkan crash pada sistem operasi, mempengaruhi stabilitasnya, yang dapat mengakibatkan hilangnya data atau crash program itu sendiri. Anda menggunakannya dengan risiko Anda sendiri.

• win32k!NtGdiDdDDISetHwProtectionTeardownRecovery
• win32k!NtUserCreateActivationObject
• win32k!NtUserOpenDesktop
• win32k!NtUserSetWindowsHookEx
• win32k!NtUserInitialize->win32kbase!Win32kBaseUserInitialize
• nt!NtLoadEnclaveData
• nt!NtCreateIoRing
• nt!NtQueryInformationCpuPartition

NTCALL64 hadir dengan kode sumber lengkap yang ditulis dalam C dengan penggunaan assembler kecil. Untuk membangun dari sumber, Anda memerlukan Microsoft Visual Studio 2017 dan versi yang lebih baru.

• Pilih Platform ToolSet terlebih dahulu untuk proyek dalam solusi yang ingin Anda bangun (Proyek->Properti->Umum):
  • v141 untuk Visual Studio 2017;
  • v142 untuk Visual Studio 2019;
  • v143 untuk Visual Studio 2022.
• Untuk v140 dan yang lebih baru, tetapkan Versi Platform Target (Proyek->Properti->Umum):
  • Jika v140 maka pilih 8.1;
  • Jika v141 ke atas maka pilih 10.
• Persyaratan minimum Windows SDK versi 8.1

(c) Proyek NTCALL64 2016 - 2023

NtCall asli oleh Peter Kosyh alias Gloomy (c) 2001, http://gl00my.chat.ru/