NtCall64

Este programa é baseado no NtCall de Peter Kosyh. Não é uma versão avançada e sua finalidade é a funcionalidade de porta NtCall para x64 Windows NT 6+.

• x64 Windows 7/8/8.1/10/11;
• Conta com privilégios administrativos (opcional).

NTCALL64 -help[-win32k][-log][-call Id][-pc Value][-wt Value][-s]

• -help - mostra a ajuda dos parâmetros do programa;
• -log - habilita o log via porta COM1, os parâmetros de serviço serão registrados (lento), desabilitado por padrão;
• -pname - nome da porta para registro, padrão COM1 (-log habilitado obrigatório, mútuo exclusivo com -ofile);
• -ofile - nome do arquivo para registro, padrão ntcall64.log (-log habilitado obrigatório, mútuo exclusivo com -pname);
• -win32k - inicia a difusão dos serviços W32pServiceTable (às vezes referido como Shadow SSDT);
• -call Id - fuzz syscall pelo id fornecido (o id pode ser de qualquer tabela ntos/win32k);
• -pc Value - define a contagem de passagens para cada syscall (o valor máximo é limitado ao valor máximo ULONG64), valor padrão 65536;
• -wt Valor - define o tempo limite de espera para chamar threads em segundos (exceto fuzzing de syscall único), o valor padrão é 30;
• -start Id - tabela Fuzz syscall a partir de determinado id syscall, mútuo exclusivo com -call;
• -s – Tentativa de executar o programa da conta LocalSystem.

Quando usado sem parâmetros, o NtCall64 iniciará a difusão de serviços no KiServiceTable (ntos, às vezes referido como SSDT).

O tempo limite padrão de cada thread de difusão é definido como 30 segundos. Se o registro estiver ativado, o tempo limite será estendido para 120 segundos.

Observe que quando usado com a opção -call, todas as listas negras serão ignoradas e o tempo limite do fuzzing thread será definido como INFINITO.

Exemplo:

• ntcall64 -log
• ntcall64 -log -pc 1234
• ntcall64 -log -pc 1234 -call 4096
• ntcall64 -log -ofile meulog.txt
• ntcall64 -win32k -log -pname COM2
• ntcall64 -win32k
• ntcall64 -win32k -log
• ntcall64 -win32k -log -pc 1234
• ntcall64 -ligar para 4097
• ntcall64 -chamada 4097 -log
• ntcall64 -call 4097 -log -pc 1000
• ntcall64 -pc 1000
• ntcall64 -s
• ntcall64 -pc 1000 -s

Nota: certifique-se de definir as configurações de despejo de memória do Windows antes de tentar esta ferramenta

(por exemplo, https://msdn.microsoft.com/en-us/library/windows/hardware/ff542953(v=vs.85).aspx).

Ele faz força bruta através dos serviços do sistema e os chama várias vezes com parâmetros de entrada retirados aleatoriamente da lista predefinida de "argumentos incorretos".

Ao usar o arquivo de configuração badcalls.ini, você pode colocar determinados serviços na lista negra. Para fazer isso - adicione o nome do serviço (diferencia maiúsculas de minúsculas) à seção correspondente do badcalls.ini, por exemplo, se você deseja colocar serviços na lista negra do KiServiceTable, use a seção [ntos].

Exemplo de badcalls.ini (configuração padrão fornecida com o programa)

 [ntos]
NtFechar
NtInitiatePowerAction
NtRaiseHardError
NtReleaseKeyedEvent
NtPropagationComplete
NtShutdownSystem
NtSuspendProcess
NtSuspendThread
NtTerminateProcess
NtTerminateThread
NtWaitForAlertByThreadId
NtWaitForSingleObject
NtWaitForKeyedEvent

[win32k]
NtUserRealWaitMessageEx
NtUserShowSystemCursor
NtUserSwitchDesktop
NtUserLockWorkStation
Monitores NtUserEnumDisplay
NtUserGetMessage
NtUserWaitMessage
NtUserDoSoundConnect
NtUserRealInternalGetMessage
NtUserBroadcastThemeChangeEvent
NtUserWaitAvailableMessageEx
NtUserMsgWaitForMultipleObjectsEx

Este programa pode travar o sistema operacional, afetar sua estabilidade, o que pode resultar na perda de dados ou na falha do próprio programa. Você o usa por sua própria conta e risco.

• win32k!NtGdiDdDDISetHwProtectionTeardownRecovery
• win32k!NtUserCreateActivationObject
• win32k!NtUserOpenDesktop
• win32k!NtUserSetWindowsHookEx
• win32k!NtUserInitialize->win32kbase!Win32kBaseUserInitialize
• nt!NtLoadEnclaveData
• nt!NtCreateIoRing
• nt!NtQueryInformationCpuPartition

NTCALL64 vem com código-fonte completo escrito em C com pequeno uso de assembler. Para construir a partir do código-fonte, você precisa do Microsoft Visual Studio 2017 e versões posteriores.

• Selecione Platform ToolSet primeiro para o projeto na solução que você deseja construir (Projeto->Propriedades->Geral):
  • v141 para Visual Studio 2017;
  • v142 para Visual Studio 2019;
  • v143 para Visual Studio 2022.
• Para v140 e superior, defina a versão da plataforma de destino (Projeto->Propriedades->Geral):
  • Se for v140, selecione 8.1;
  • Se for v141 e superior, selecione 10.
• Versão mínima necessária do Windows SDK 8.1

(c) Projeto NTCALL64 2016 - 2023

NtCall original de Peter Kosyh, também conhecido como Gloomy (c) 2001, http://gl00my.chat.ru/