информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеГде водятся OGRыСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 8 уязвимостей в Bluetooth ставят... 
 Человек, из-за которого нас заставляют... 
 Взломано популярное расширение... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / operating systems
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Во, че нарыл! 06.02.13 06:21  Число просмотров: 1378
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 06.02.13 06:30  Количество правок: 2
<"чистая" ссылка>
"После любой модификации системных файлов необходимо пересчитать их контрольную сумму, иначе NT (в отличие от Windows 98) откажется их загружать (см. рис. 3), правда, в "безопасном режиме" по F8 они все-таки загружаются, но это все-таки не то."

Ни хрена! А через F8 грузить я не пробовал! Будем посмотреть...

Блин, у меня с Мелкомягкими восприятие прямо-противоположное - если мне говорят: "безопасный режим" - то я понмаю, что в нем ниче низзя, а то, что - зяяя, это - "суперопасный режим".
<operating systems>
Как подменить Ntoskrnl XP 05.02.13 09:50  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 05.02.13 16:14  Количество правок: 1
<"чистая" ссылка>
Вроде бы Ntldr такой финт допускает, даже синтаксис у него для этого описан, но, скажем, ядро Реактоса таким способом подсунуть не удается. Ntldr, как ядро его не опознает. В то же время, фирмы, создающие системы управления РВ, тот же Bekhoff, например, утверждают, что они это делают. Как? Кто что по этому поводу знает?

Там че, сигнатура какая-то, но не контрольная сумма, судя по тому, что заставку при загрузке поменять произвольно можно?
Прикол в тему: 05.02.13 10:07  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 05.02.13 16:11  Количество правок: 1
<"чистая" ссылка>
Гуглил искомое и наткнулся: http://vpavlino.ru/nadoela-zastavka-zagruzki-os-smeni/

Убила формулировка: "Файл ntoskrnl.exe – это исполняемый файл, который содержит заставку."

и еще один прикол: "Расшифровал код ошибки пишет: Драйвер причины ntoskrnl.exe. Что это за драйвер и как его поменять? Заранее спасибо!" Все, блин - "Причинный драйвер", так и приклеим.
Компьютерная археология какая-то… Ну да, тоже имеет право на существование ;) 05.02.13 20:54  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
А мы уже не хакеры? Реверс-инжиниринг это, вообще-то. 06.02.13 04:35  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Другое дело, что изобретать велосипед мне не охота, лучше к уже сделанному другими моторчик приделать... Пока увы по работе лоудера ничего внятного нагуглитьне могу. Дело осложняется ем, что это же не ехе, а черт-те что. Com? Где точка входа? Куда и по каким признакам бряки ставить? Он же как-то кернел и бут ини читает, значит, там какая-то имитация НТФС внутри есть, тада вообще не понятно, как вычислить момент обращения к кернелу и проверки сигнатуры...
Это обычный Windows PE, для своей работы требующий Native subsystem. Как его грузит ntloader, я не в курсе, к сожалению. 07.02.13 15:08  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
Ntoskrnl - PE, а ntldr - что? 07.02.13 23:28  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 07.02.13 23:34  Количество правок: 1
<"чистая" ссылка>
Кернел я давно в EXEXplorer-е по косточкам разобрал. А как туда ntldr запихать? Где точка входа, где ресурсы, где импорт с Hall-а? Впрочем в связи с нижеописанным вариантом может быть и неактуально. Грузить Реактосное ядро сначала в Сэйв-моде, потом - подписать, когда заработает.

Счас готовлю плацдарм для эксперимента - пол-ночи потратил на то, чтобы ПартишенМэйджиком открэмсать от НТФСного рабочего загрузочного винта 3 Гига под ФАТ-32 для установки "подопытной крысы" .(помнится, Реактось с НТФС не дружит). Со страшным скрипом, падением системы и воссановлением ее спомощью кувалды, лома и какой-то матери, открэмсал.
Ntldr - это большей частью тоже pe. 08.02.13 13:04  
Автор: AlexD <Alexander> Статус: Member
<"чистая" ссылка>
Если полистать слегка от начала вниз, то найдём и буковки MZ, и PE.
Начальный кусок - совсем низкоуровневый загрузчик - нас не интересует. Всё интересное происходит уже в "PE".
Так что смело "отрезаем" и ковыряем в своё удовольствие:).
Википедия, не? 08.02.13 10:51  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>


ntldr
Thanks! Во времена прошлой моей атаки нанего Википездии еще не было 09.02.13 12:49  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Равно. как и приведенного мной сайта.
Начало запускаться! 13.02.13 04:00  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Пытается запустить в защищенном режиме, пишет:

Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll

Не удается запустить WINDOWS из-за ошибки
в программном обеспечении
Сообщите об этом, как об ошибке:
необходимы библиотеки DLL для ядра
Сообщите об этой ошибке в службу поддержки

Причем, ни в одной кодировке я последнего сообщения ни в каком файле найти не могу, хотя множество месаг в загрузчике хранятся открытым текстом.

Запускать пытаюсь под НТФС пока.
Продолжило запускаться! 13.02.13 09:11  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 13.02.13 09:23  Количество правок: 3
<"чистая" ссылка>
Скопировал драйверы из директории WINDOWS с установочного диска Реактоса. После этого стала загружаться куча драйверов, после чего в левом верхнем углу появляется мигающая черточка и на сем все виснет. Проблемы 3. В порядке возрастания гиморойности:

1. Пока все под НТФС - нет никакой гарантии, что виндовый драйвер НТФС подружится с Реактосным ядром - никто такого фокуса не предусматривал.
2. Не могу заставить Реактосное ядро писать лог загрузки.
3. Форматы реестра Реактоса и ХРюши - разные. На сем - полный облом, бо конечная задача именно в том, чтобы запихать реактосное ядро в сконгфигурированную винду с инсталлированными недостающими драйверами, чтобы Реактось "подхватила" конфигурацию.

Очень потенциальное решение последней проблемы - имплантация ф-ций обращения к реестру из тыренного исходника w2k. Тада придется подсаживать ядро не в ХР, а в w2k. А типа, ХР-шное ядро нынешнего Реактоса с w2k подружится? Или реестры w2k и ХРюнделя по формату совместимы?

И еще самый главный вопрос: Где заканчивается лоудер и начинается ядро? Кернел грузится 1м, а дальше? Кто продолжает грузить драйвера, лоудер или уже кернел? На сколько я знаю, базовые драйвера грузятся до запуска ядра, а остальные? Или ядро грузит только рантаймовые драйвера?

Судя по тому, что не появляется логотип Реактоса, ядро еще не запущено?

И еще 1 исключительно загадочный момент - все мозги мне загадил: где лежит список загружаемых лоудером драйверов? Почему Винда грузилась, а Реактос обламывался на 4м драйвере, пока я не скопировал его родные драйвера? Выходит тогда, что их грузит уже ядро? А откуда тогда виндовое сообщение:
"Не удается запустить WINDOWS из-за ошибки
в программном обеспечении
Сообщите об этом, как об ошибке:
необходимы библиотеки DLL для ядра
Сообщите об этой ошибке в службу поддержки"?
Во, че нарыл! 06.02.13 06:21  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 06.02.13 06:30  Количество правок: 2
<"чистая" ссылка>
"После любой модификации системных файлов необходимо пересчитать их контрольную сумму, иначе NT (в отличие от Windows 98) откажется их загружать (см. рис. 3), правда, в "безопасном режиме" по F8 они все-таки загружаются, но это все-таки не то."

Ни хрена! А через F8 грузить я не пробовал! Будем посмотреть...

Блин, у меня с Мелкомягкими восприятие прямо-противоположное - если мне говорят: "безопасный режим" - то я понмаю, что в нем ниче низзя, а то, что - зяяя, это - "суперопасный режим".
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2017 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach