Este programa é baseado no NtCall de Peter Kosyh. Não é uma versão avançada e sua finalidade é a funcionalidade de porta NtCall para x64 Windows NT 6+.
NTCALL64 -help[-win32k][-log][-call Id][-pc Value][-wt Value][-s]
Quando usado sem parâmetros, o NtCall64 iniciará a difusão de serviços no KiServiceTable (ntos, às vezes referido como SSDT).
O tempo limite padrão de cada thread de difusão é definido como 30 segundos. Se o registro estiver ativado, o tempo limite será estendido para 120 segundos.
Observe que quando usado com a opção -call, todas as listas negras serão ignoradas e o tempo limite do fuzzing thread será definido como INFINITO.
Exemplo:
Nota: certifique-se de definir as configurações de despejo de memória do Windows antes de tentar esta ferramenta
(por exemplo, https://msdn.microsoft.com/en-us/library/windows/hardware/ff542953(v=vs.85).aspx).
Ele faz força bruta através dos serviços do sistema e os chama várias vezes com parâmetros de entrada retirados aleatoriamente da lista predefinida de "argumentos incorretos".
Ao usar o arquivo de configuração badcalls.ini, você pode colocar determinados serviços na lista negra. Para fazer isso - adicione o nome do serviço (diferencia maiúsculas de minúsculas) à seção correspondente do badcalls.ini, por exemplo, se você deseja colocar serviços na lista negra do KiServiceTable, use a seção [ntos].
Exemplo de badcalls.ini (configuração padrão fornecida com o programa)
[ntos] NtFechar NtInitiatePowerAction NtRaiseHardError NtReleaseKeyedEvent NtPropagationComplete NtShutdownSystem NtSuspendProcess NtSuspendThread NtTerminateProcess NtTerminateThread NtWaitForAlertByThreadId NtWaitForSingleObject NtWaitForKeyedEvent [win32k] NtUserRealWaitMessageEx NtUserShowSystemCursor NtUserSwitchDesktop NtUserLockWorkStation Monitores NtUserEnumDisplay NtUserGetMessage NtUserWaitMessage NtUserDoSoundConnect NtUserRealInternalGetMessage NtUserBroadcastThemeChangeEvent NtUserWaitAvailableMessageEx NtUserMsgWaitForMultipleObjectsEx
Este programa pode travar o sistema operacional, afetar sua estabilidade, o que pode resultar na perda de dados ou na falha do próprio programa. Você o usa por sua própria conta e risco.
NTCALL64 vem com código-fonte completo escrito em C com pequeno uso de assembler. Para construir a partir do código-fonte, você precisa do Microsoft Visual Studio 2017 e versões posteriores.
(c) Projeto NTCALL64 2016 - 2023
NtCall original de Peter Kosyh, também conhecido como Gloomy (c) 2001, http://gl00my.chat.ru/