NtCall64

Эта программа основана на NtCall Петра Косых. Это не расширенная версия, а ее цель - портировать функциональность NtCall для x64 Windows NT 6+.

• х64 Windows 7/8/8.1/10/11;
• Учетная запись с правами администратора (необязательно).

NTCALL64 -help[-win32k][-log][идентификатор-call][значение -pc][значение -wt][-s]

• -help — показать справку по параметрам программы;
• -log — включить ведение журнала через порт COM1, параметры сервиса будут регистрироваться (медленно), по умолчанию отключено;
• -pname — имя порта для журналирования, по умолчанию COM1 (требуется включение -log, взаимоисключающее с -ofile);
• -ofile — имя файла для журналирования, по умолчанию ntcall64.log (требуется включенный -log, взаимоисключающий с -pname);
• -win32k — запустить фаззинг сервисов W32pServiceTable (иногда называемый Shadow SSDT);
• -call Id - системный вызов fuzz по предоставленному идентификатору (id может быть из любой таблицы ntos/win32k);
• -pc Value — установить количество проходов для каждого системного вызова (максимальное значение ограничено максимальным значением ULONG64), значение по умолчанию 65536;
• -wt Value — установить таймаут ожидания для вызова потоков в секундах (кроме фаззинга одиночных системных вызовов), значение по умолчанию — 30;
• -start Id — таблица нечетких системных вызовов, начиная с заданного идентификатора системного вызова, взаимоисключающая с -call;
• -s — попытаться запустить программу из учетной записи LocalSystem.

При использовании без параметров NtCall64 начнет фаззинг сервисов в KiServiceTable (ntos, иногда называемый SSDT).

Таймаут по умолчанию для каждого потока фаззинга установлен на 30 секунд. Если ведение журнала включено, время ожидания увеличивается до 120 секунд.

Обратите внимание, что при использовании с опцией -call все черные списки будут игнорироваться, а время ожидания потока фаззинга будет установлено на БЕСКОНЕЧНОЕ значение.

Пример:

• ntcall64 -лог
• ntcall64 -log -pc 1234
• ntcall64 -log -pc 1234 -call 4096
• ntcall64 -log -ofile mylog.txt
• ntcall64 -win32k -log -pname COM2
• ntcall64 -win32k
• ntcall64 -win32k -log
• ntcall64 -win32k -log -pc 1234
• ntcall64 -вызов 4097
• ntcall64 -вызов 4097 -журнал
• ntcall64 -call 4097 -log -pc 1000
• ntcall64 -ПК 1000
• ntcall64 -s
• ntcall64 -pc 1000 -s

Примечание. Обязательно настройте параметры аварийного дампа Windows, прежде чем использовать этот инструмент.

(например, https://msdn.microsoft.com/en-us/library/windows/hardware/ff542953(v=vs.85).aspx).

Он перебирает системные службы и вызывает их несколько раз с входными параметрами, случайно взятыми из предопределенного списка «плохих аргументов».

Используя файл конфигурации badcalls.ini, вы можете внести в черный список определенные службы. Для этого добавьте имя службы (с учетом регистра) в соответствующий раздел badcalls.ini, например, если вы хотите занести службы в черный список из KiServiceTable, используйте раздел [ntos].

Пример badcalls.ini (конфигурация по умолчанию, поставляемая с программой)

 [нтос]
NtClose
НтинитиатеPowerAction
НтРаисехардеррор
NtReleaseKeyedEvent
NtPropagationComplete
НтШутдаунСистема
Нтсуспендпроцесс
Нтсуспендтред
Нттерминатпроцесс
NtTerminateThread
NtWaitForAlertByThreadId
НтВаитфорсинглеобжект
НтВаитфоркейедевент

[win32k]
NtUserRealWaitMessageEx
Нтусершоусистемекурсор
Нтусерсвичдесктоп
Нтусерлоккворкстанция
Нтусеренумдисплеймониторс
Нтусержетмессаже
NtUserWaitMessage
Нтусердосаундконнект
Нтусерреалинтерналжетмессаже
NtUserBroadcastThemeChangeEvent
NtUserWaitAvailableMessageEx
NtUserMsgWaitForMultipleObjectsEx

Эта программа может привести к сбою операционной системы, повлиять на ее стабильность, что может привести к потере данных или сбою самой программы. Вы используете его на свой страх и риск.

• win32k!NtGdiDddDDISetHwProtectionTeardownRecovery
• win32k!NtUserCreateActivationObject
• win32k!NtUserOpenDesktop
• win32k!NtUserSetWindowsHookEx
• win32k!NtUserInitialize->win32kbase!Win32kBaseUserInitialize
• nt!NtLoadEnclaveData
• nt!NtCreateIoRing
• nt!NtQueryInformationCpuPartition

NTCALL64 поставляется с полным исходным кодом, написанным на C, с небольшим использованием ассемблера. Для сборки из исходного кода вам потребуется Microsoft Visual Studio 2017 и более поздние версии.

• Сначала выберите Platform ToolSet для проекта в решении, которое вы хотите создать (Проект->Свойства->Общие):
  • v141 для Visual Studio 2017;
  • v142 для Visual Studio 2019;
  • v143 для Visual Studio 2022.
• Для версии 140 и выше установите версию целевой платформы (Проект->Свойства->Общие):
  • Если v140, то выберите 8.1;
  • Если версия 141 и выше, выберите 10.
• Минимальная необходимая версия Windows SDK 8.1.

(c) Проект NTCALL64, 2016–2023 гг.

Оригинал NtCall от Петра Косых aka Gloomy (c) 2001, http://gl00my.chat.ru/