NtCall64

このプログラムは Peter Kosyh による NtCall に基づいています。これは高度なバージョンではなく、その目的は x64 Windows NT 6 以降に NtCall 機能を移植することです。

• x64 Windows 7/8/8.1/10/11;
• 管理者権限を持つアカウント (オプション)。

NTCALL64 -help[-win32k][-log][-call ID][-pc 値][-wt 値][-s]

• -help - プログラムパラメータのヘルプを表示します。
• -log - COM1 ポート経由のログを有効にします。サービス パラメータはログに記録されます (低速)。デフォルトは無効です。
• -pname - ログ記録用のポート名、デフォルトの COM1 (-log の有効化が必須、-ofile とは相互に排他的)。
• -ofile - ログ記録用のファイル名、デフォルトの ntcall64.log (-log の有効化が必須、-pname とは相互に排他的)。
• -win32k - W32pServiceTable サービスのファジングを起動します (シャドウ SSDT と呼ばれることもあります)。
• -call Id - 指定された ID によるシステムコールをファズします (ID は任意のテーブル ntos/win32k から取得できます)。
• -pc 値 - 各 syscall のパス数を設定します (最大値は ULONG64 の最大値に制限されます)、デフォルト値は 65536;
• -wt 値 - スレッド呼び出しの待機タイムアウトを秒単位で設定します (単一の syscall ファジングを除く)。デフォルト値は 30 です。
• -start Id - 指定されたシステムコール ID から始まるファズ システムコール テーブル。-call と相互排他的です。
• -s - LocalSystem アカウントからプログラムの実行を試みます。

パラメーターなしで使用すると、NtCall64 は KiServiceTable (ntos、SSDT と呼ばれることもあります) でファジング サービスを開始します。

各ファジング スレッドのデフォルトのタイムアウトは 30 秒に設定されています。ロギングが有効な場合、タイムアウトは 120 秒に延長されます。

-call オプションと一緒に使用すると、すべてのブラックリストが無視され、ファジング スレッドのタイムアウトが INFINITE に設定されることに注意してください。

例：

• ntcall64 -ログ
• ntcall64 -log -pc 1234
• ntcall64 -log -pc 1234 -call 4096
• ntcall64 -log -ofile mylog.txt
• ntcall64 -win32k -log -pname COM2
• ntcall64 -win32k
• ntcall64 -win32k -ログ
• ntcall64 -win32k -log -pc 1234
• ntcall64 - 4097 に電話する
• ntcall64 -call 4097 -log
• ntcall64 -call 4097 -log -pc 1000
• ntcall64 -pc 1000
• ntcall64 -s
• ntcall64 -pc 1000 -s

注: このツールを試す前に、必ず Windows クラッシュ ダンプ設定を構成してください。

(例: https://msdn.microsoft.com/en-us/library/windows/hardware/ff542953(v=vs.85).aspx)。

システム サービスを総当たり攻撃し、事前定義された「不正な引数」リストからランダムに取得された入力パラメータを使用してサービスを複数回呼び出します。

badcalls.ini 設定ファイルを使用すると、特定のサービスをブラックリストに登録できます。これを行うには、サービス名 (大文字と小文字を区別) を badcalls.ini の対応するセクションに追加します。たとえば、KiServiceTable のサービスをブラックリストに登録したい場合は、[ntos] セクションを使用します。

badcalls.ini の例 (プログラムに付属のデフォルト設定)

 [ntos]
NtClose
NtInitiatePowerAction
NtRaiseHardError
NtReleaseKeyedEvent
NtPropagationComplete
NtShutdownSystem
NtSuspendProcess
NtSuspendスレッド
NtTerminateプロセス
NtTerminateスレッド
NtWaitForAlertByThreadId
NtWaitForSingleObject
NtWaitForKeyedEvent

[win32k]
NtUserRealWaitMessageEx
NtUserShowSystemCursor
NtUserSwitchDesktop
NtUserLockワークステーション
NtUserEnumDisplayMonitors
NtUserGetMessage
NtUserWaitMessage
NtUserDoSoundConnect
NtUserRealInternalGetMessage
NtUserBroadcastThemeChangeEvent
NtUserWaitAvailableMessageEx
NtUserMsgWaitForMultipleObjectsEx

このプログラムはオペレーティング システムをクラッシュさせ、安定性に影響を与え、データの損失やプログラム自体のクラッシュを引き起こす可能性があります。ご自身の責任でご使用ください。

• win32k!NtGdiDdDDISSetHw保護ティアダウン回復
• win32k!NtUserCreateActivationObject
• win32k!NtUserOpenDesktop
• win32k!NtUserSetWindowsHookEx
• win32k!NtUserInitialize->win32kbase!Win32kBaseUserInitialize
• nt!NtLoadEnclaveData
• nt!NtCreateIoRing
• nt!NtQueryInformationCpuPartition

NTCALL64 には、C で書かれた完全なソース コードが付属しており、アセンブラはわずかに使用されます。ソースからビルドするには、Microsoft Visual Studio 2017 以降のバージョンが必要です。

• ビルドするソリューション内のプロジェクトに対して、最初にプラットフォーム ツールセットを選択します (プロジェクト -> プロパティ -> 一般)。
  • Visual Studio 2017 の場合は v141。
  • Visual Studio 2019 の場合は v142。
  • Visual Studio 2022 の v143。
• v140 以降の場合は、ターゲット プラットフォームのバージョンを設定します (プロジェクト -> プロパティ -> 一般):
  • v140 の場合は 8.1 を選択します。
  • v141 以降の場合は 10 を選択します。
• 最低限必要な Windows SDK バージョン 8.1

(c) 2016 - 2023 NTCALL64 プロジェクト

オリジナルの NtCall 別名 Gloomy による Peter Kosyh (c) 2001、http://gl00my.chat.ru/