Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | |
Ntldr - это большей частью тоже pe. 08.02.13 13:04 Число просмотров: 4531
Автор: AlexD <Alexander> Статус: Member
|
Если полистать слегка от начала вниз, то найдём и буковки MZ, и PE.
Начальный кусок - совсем низкоуровневый загрузчик - нас не интересует. Всё интересное происходит уже в "PE".
Так что смело "отрезаем" и ковыряем в своё удовольствие:).
|
|
<operating systems>
|
Как подменить Ntoskrnl XP 05.02.13 09:50
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 05.02.13 16:14 Количество правок: 1
|
Вроде бы Ntldr такой финт допускает, даже синтаксис у него для этого описан, но, скажем, ядро Реактоса таким способом подсунуть не удается. Ntldr, как ядро его не опознает. В то же время, фирмы, создающие системы управления РВ, тот же Bekhoff, например, утверждают, что они это делают. Как? Кто что по этому поводу знает?
Там че, сигнатура какая-то, но не контрольная сумма, судя по тому, что заставку при загрузке поменять произвольно можно?
|
|
Прикол в тему: 05.02.13 10:07
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 05.02.13 16:11 Количество правок: 1
|
Гуглил искомое и наткнулся: http://vpavlino.ru/nadoela-zastavka-zagruzki-os-smeni/
Убила формулировка: "Файл ntoskrnl.exe – это исполняемый файл, который содержит заставку."
и еще один прикол: "Расшифровал код ошибки пишет: Драйвер причины ntoskrnl.exe. Что это за драйвер и как его поменять? Заранее спасибо!" Все, блин - "Причинный драйвер", так и приклеим.
|
| |
Компьютерная археология какая-то… Ну да, тоже имеет право на существование ;) 05.02.13 20:54
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
| | |
А мы уже не хакеры? Реверс-инжиниринг это, вообще-то. 06.02.13 04:35
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
Другое дело, что изобретать велосипед мне не охота, лучше к уже сделанному другими моторчик приделать... Пока увы по работе лоудера ничего внятного нагуглитьне могу. Дело осложняется ем, что это же не ехе, а черт-те что. Com? Где точка входа? Куда и по каким признакам бряки ставить? Он же как-то кернел и бут ини читает, значит, там какая-то имитация НТФС внутри есть, тада вообще не понятно, как вычислить момент обращения к кернелу и проверки сигнатуры...
|
| | | |
Это обычный Windows PE, для своей работы требующий Native subsystem. Как его грузит ntloader, я не в курсе, к сожалению. 07.02.13 15:08
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
| | | | |
Ntoskrnl - PE, а ntldr - что? 07.02.13 23:28
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 07.02.13 23:34 Количество правок: 1
|
Кернел я давно в EXEXplorer-е по косточкам разобрал. А как туда ntldr запихать? Где точка входа, где ресурсы, где импорт с Hall-а? Впрочем в связи с нижеописанным вариантом может быть и неактуально. Грузить Реактосное ядро сначала в Сэйв-моде, потом - подписать, когда заработает.
Счас готовлю плацдарм для эксперимента - пол-ночи потратил на то, чтобы ПартишенМэйджиком открэмсать от НТФСного рабочего загрузочного винта 3 Гига под ФАТ-32 для установки "подопытной крысы" .(помнится, Реактось с НТФС не дружит). Со страшным скрипом, падением системы и воссановлением ее спомощью кувалды, лома и какой-то матери, открэмсал.
|
| | | | | |
Ntldr - это большей частью тоже pe. 08.02.13 13:04
Автор: AlexD <Alexander> Статус: Member
|
Если полистать слегка от начала вниз, то найдём и буковки MZ, и PE.
Начальный кусок - совсем низкоуровневый загрузчик - нас не интересует. Всё интересное происходит уже в "PE".
Так что смело "отрезаем" и ковыряем в своё удовольствие:).
|
| | | | | |
Википедия, не? 08.02.13 10:51
Автор: HandleX <Александр М.> Статус: The Elderman
|
ntldr
|
| | | | | | |
Thanks! Во времена прошлой моей атаки нанего Википездии еще не было 09.02.13 12:49
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
Равно. как и приведенного мной сайта.
|
| | | | | | | |
Начало запускаться! 13.02.13 04:00
Автор: Zef <Alloo Zef> Статус: Elderman
|
Пытается запустить в защищенном режиме, пишет:
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Не удается запустить WINDOWS из-за ошибки
в программном обеспечении
Сообщите об этом, как об ошибке:
необходимы библиотеки DLL для ядра
Сообщите об этой ошибке в службу поддержки
Причем, ни в одной кодировке я последнего сообщения ни в каком файле найти не могу, хотя множество месаг в загрузчике хранятся открытым текстом.
Запускать пытаюсь под НТФС пока.
|
| | | | | | | | |
Продолжило запускаться! 13.02.13 09:11
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 13.02.13 09:23 Количество правок: 3
|
Скопировал драйверы из директории WINDOWS с установочного диска Реактоса. После этого стала загружаться куча драйверов, после чего в левом верхнем углу появляется мигающая черточка и на сем все виснет. Проблемы 3. В порядке возрастания гиморойности:
1. Пока все под НТФС - нет никакой гарантии, что виндовый драйвер НТФС подружится с Реактосным ядром - никто такого фокуса не предусматривал.
2. Не могу заставить Реактосное ядро писать лог загрузки.
3. Форматы реестра Реактоса и ХРюши - разные. На сем - полный облом, бо конечная задача именно в том, чтобы запихать реактосное ядро в сконгфигурированную винду с инсталлированными недостающими драйверами, чтобы Реактось "подхватила" конфигурацию.
Очень потенциальное решение последней проблемы - имплантация ф-ций обращения к реестру из тыренного исходника w2k. Тада придется подсаживать ядро не в ХР, а в w2k. А типа, ХР-шное ядро нынешнего Реактоса с w2k подружится? Или реестры w2k и ХРюнделя по формату совместимы?
И еще самый главный вопрос: Где заканчивается лоудер и начинается ядро? Кернел грузится 1м, а дальше? Кто продолжает грузить драйвера, лоудер или уже кернел? На сколько я знаю, базовые драйвера грузятся до запуска ядра, а остальные? Или ядро грузит только рантаймовые драйвера?
Судя по тому, что не появляется логотип Реактоса, ядро еще не запущено?
И еще 1 исключительно загадочный момент - все мозги мне загадил: где лежит список загружаемых лоудером драйверов? Почему Винда грузилась, а Реактос обламывался на 4м драйвере, пока я не скопировал его родные драйвера? Выходит тогда, что их грузит уже ядро? А откуда тогда виндовое сообщение:
"Не удается запустить WINDOWS из-за ошибки
в программном обеспечении
Сообщите об этом, как об ошибке:
необходимы библиотеки DLL для ядра
Сообщите об этой ошибке в службу поддержки"?
|
| | | |
Во, че нарыл! 06.02.13 06:21
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 06.02.13 06:30 Количество правок: 2
|
"После любой модификации системных файлов необходимо пересчитать их контрольную сумму, иначе NT (в отличие от Windows 98) откажется их загружать (см. рис. 3), правда, в "безопасном режиме" по F8 они все-таки загружаются, но это все-таки не то."
Ни хрена! А через F8 грузить я не пробовал! Будем посмотреть...
Блин, у меня с Мелкомягкими восприятие прямо-противоположное - если мне говорят: "безопасный режим" - то я понмаю, что в нем ниче низзя, а то, что - зяяя, это - "суперопасный режим".
|
|
|
подробно о проекте
Анализ криптографических сетевых...
