หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ด C#
ดาวน์โหลด

กทช.64

ตัวลดเสียงซิสคอลของ Windows NT x64

โปรแกรมนี้อิงจาก NtCall โดย Peter Kosyh ไม่ใช่เวอร์ชันขั้นสูงและมีวัตถุประสงค์ - พอร์ตฟังก์ชัน NtCall สำหรับ x64 Windows NT 6+

ความต้องการของระบบ

  • x64 วินโดวส์ 7/8/8.1/10/11;
  • บัญชีที่มีสิทธิ์ระดับผู้ดูแลระบบ (ไม่บังคับ)

การใช้งาน

NTCALL64 -help[-win32k][-log][-call Id][-pc Value][-wt Value][-s]

  • -help - แสดงความช่วยเหลือเกี่ยวกับพารามิเตอร์ของโปรแกรม;
  • -log - เปิดใช้งานการบันทึกผ่านพอร์ต COM1 พารามิเตอร์บริการจะถูกบันทึก (ช้า) ปิดใช้งานค่าเริ่มต้น
  • -pname - ชื่อพอร์ตสำหรับการบันทึก, COM1 เริ่มต้น (จำเป็นต้องเปิดใช้งาน -log, ไม่รวมกันกับ -ofile);
  • -ofile - ชื่อไฟล์สำหรับการบันทึก, ค่าเริ่มต้น ntcall64.log (จำเป็นต้องเปิดใช้งาน -log, ไม่รวมกันกับ -pname);
  • -win32k - เปิดตัวบริการ W32pServiceTable fuzzing (บางครั้งเรียกว่า Shadow SSDT)
  • -call Id - fuzz syscall โดย id ที่ให้มา (id สามารถมาจากตาราง ntos/win32k ใดก็ได้)
  • -pc Value - ตั้งค่าจำนวนการส่งผ่านสำหรับแต่ละ syscall (ค่าสูงสุดถูกจำกัดไว้ที่ค่าสูงสุด ULONG64) ค่าเริ่มต้น 65536;
  • -wt Value - ตั้งค่าการหมดเวลารอสำหรับการเรียกเธรดในหน่วยวินาที (ยกเว้น fuzzing syscall เดียว) ค่าเริ่มต้นคือ 30
  • -start Id - ตาราง Fuzz syscall เริ่มต้นจาก syscall id ที่กำหนด ซึ่งไม่เกิดร่วมกันกับ -call;
  • -s - พยายามเรียกใช้โปรแกรมจากบัญชี LocalSystem

เมื่อใช้โดยไม่มีพารามิเตอร์ NtCall64 จะเริ่มบริการคลุมเครือใน KiServiceTable (ntos บางครั้งเรียกว่า SSDT)

การหมดเวลาเริ่มต้นของแต่ละเธรดแบบคลุมเครือถูกตั้งค่าเป็น 30 วินาที หากเปิดใช้งานการบันทึก การหมดเวลาจะขยายเป็น 120 วินาที

โปรดทราบว่าเมื่อใช้กับตัวเลือก -call บัญชีดำทั้งหมดจะถูกละเว้น และการหมดเวลาเธรดแบบคลุมเครือจะถูกตั้งค่าเป็น INFINITE

ตัวอย่าง:

  • ntcall64 -log
  • ntcall64 -บันทึก -พีซี 1234
  • ntcall64 -log -pc 1234 - โทร 4096
  • ntcall64 -log -ofile mylog.txt
  • ntcall64 -win32k -log -pname COM2
  • ntcall64 -win32k
  • ntcall64 -win32k -log
  • ntcall64 -win32k -บันทึก -พีซี 1234
  • ntcall64 - โทร 4097
  • ntcall64 - โทร 4097 -log
  • ntcall64 - โทร 4097 -log -pc 1,000
  • ntcall64 -พีซี 1,000
  • ntcall64 -s
  • ntcall64 -พีซี 1,000 -s

หมายเหตุ: ตรวจสอบให้แน่ใจว่าได้กำหนดการตั้งค่าการถ่ายโอนข้อมูลข้อขัดข้องของ Windows ก่อนที่จะลองใช้เครื่องมือนี้

(เช่น https://msdn.microsoft.com/en-us/library/windows/hardware/ff542953(v=vs.85).aspx)

มันทำงานอย่างไร

มันบังคับเดรัจฉานผ่านบริการของระบบและเรียกพวกเขาหลายครั้งด้วยพารามิเตอร์อินพุตที่สุ่มมาจากรายการ "อาร์กิวเมนต์ที่ไม่ถูกต้อง" ที่กำหนดไว้ล่วงหน้า

การกำหนดค่า

การใช้ไฟล์กำหนดค่า badcalls.ini คุณสามารถขึ้นบัญชีดำบริการบางอย่างได้ ในการดำเนินการนี้ - เพิ่มชื่อบริการ (คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่) ไปยังส่วนที่เกี่ยวข้องของ badcalls.ini เช่น หากคุณต้องการขึ้นบัญชีดำบริการจาก KiServiceTable ให้ใช้ส่วน [ntos]

ตัวอย่างของ badcalls.ini (การกำหนดค่าเริ่มต้นที่มาพร้อมกับโปรแกรม)

 [นทอส]
Ntปิด
NtInitiatePowerAction
NtRaiseHardError
NtReleaseKeyedEvent
Ntการขยายพันธุ์เสร็จสมบูรณ์
NtShutdownSystem
NtSuspendProcess
NtSuspendThread
NtTerminateProcess
NtTerminateThread
NtWaitForAlertByThreadId
NtWaitForSingleObject
NtWaitForKeyedEvent

[win32k]
NtUserRealWaitMessageเช่น
NtUserShowSystemCursor
NtUserSwitchDesktop
NtUserLockWorkStation
NtUserEnumDisplayMonitors
NtUserGetMessage
NtUserรอข้อความ
NtUserDoSoundConnect
NtUserRealInternalGetMessage
NtUserBroadcastThemeChangeEvent
NtUserWaitAvailableMessageEx
NtUserMsgWaitForหลายวัตถุเช่น

คำเตือน

โปรแกรมนี้อาจขัดข้องระบบปฏิบัติการ ส่งผลต่อความเสถียร ซึ่งอาจส่งผลให้ข้อมูลสูญหายหรือตัวโปรแกรมขัดข้อง คุณใช้มันด้วยความเสี่ยงของคุณเอง

พบข้อบกพร่องใน NtCall64

  • win32k!NtGdiDdDDISetHwProtectionTeardownRecovery
  • win32k!NtUserCreateActivationObject
  • win32k!NtUserOpenDesktop
  • win32k!NtUserSetWindowsHookEx
  • win32k!NtUserInitialize->win32kbase!Win32kBaseUserInitialize
  • nt!NtLoadEnclaveData
  • nt!NtCreateIoRing
  • nt!NtQueryInformationCpuPartition

สร้าง

NTCALL64 มาพร้อมกับซอร์สโค้ดแบบเต็มที่เขียนด้วยภาษา C พร้อมการใช้งานแอสเซมเบลอร์เพียงเล็กน้อย ในการสร้างจากแหล่งที่มา คุณต้องมี Microsoft Visual Studio 2017 และเวอร์ชันที่ใหม่กว่า

คำแนะนำ

  • เลือก Platform ToolSet ก่อนสำหรับโปรเจ็กต์ในโซลูชันที่คุณต้องการสร้าง (โปรเจ็กต์->คุณสมบัติ->ทั่วไป):
    • v141 สำหรับ Visual Studio 2017;
    • v142 สำหรับ Visual Studio 2019;
    • v143 สำหรับ Visual Studio 2022
  • สำหรับ v140 และสูงกว่า ให้ตั้งค่าเวอร์ชันแพลตฟอร์มเป้าหมาย (โครงการ->คุณสมบัติ->ทั่วไป):
    • ถ้า v140 ให้เลือก 8.1;
    • หากเป็น v141 ขึ้นไป ให้เลือก 10
  • Windows SDK เวอร์ชัน 8.1 ที่จำเป็นขั้นต่ำ

ผู้เขียน

(ค) ปี 2559 - 2566 โครงการ NTCALL64

NtCall ดั้งเดิมโดย Peter Kosyh หรือที่รู้จักว่า Gloomy (c) 2001, http://gl00my.chat.ru/

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด