информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / operating systems
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Thanks! Во времена прошлой моей атаки нанего Википездии еще не было 09.02.13 12:49  Число просмотров: 4408
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Равно. как и приведенного мной сайта.
<operating systems>
Как подменить Ntoskrnl XP 05.02.13 09:50  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 05.02.13 16:14  Количество правок: 1
<"чистая" ссылка>
Вроде бы Ntldr такой финт допускает, даже синтаксис у него для этого описан, но, скажем, ядро Реактоса таким способом подсунуть не удается. Ntldr, как ядро его не опознает. В то же время, фирмы, создающие системы управления РВ, тот же Bekhoff, например, утверждают, что они это делают. Как? Кто что по этому поводу знает?

Там че, сигнатура какая-то, но не контрольная сумма, судя по тому, что заставку при загрузке поменять произвольно можно?
Прикол в тему: 05.02.13 10:07  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 05.02.13 16:11  Количество правок: 1
<"чистая" ссылка>
Гуглил искомое и наткнулся: http://vpavlino.ru/nadoela-zastavka-zagruzki-os-smeni/

Убила формулировка: "Файл ntoskrnl.exe – это исполняемый файл, который содержит заставку."

и еще один прикол: "Расшифровал код ошибки пишет: Драйвер причины ntoskrnl.exe. Что это за драйвер и как его поменять? Заранее спасибо!" Все, блин - "Причинный драйвер", так и приклеим.
Компьютерная археология какая-то… Ну да, тоже имеет право на существование ;) 05.02.13 20:54  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
А мы уже не хакеры? Реверс-инжиниринг это, вообще-то. 06.02.13 04:35  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Другое дело, что изобретать велосипед мне не охота, лучше к уже сделанному другими моторчик приделать... Пока увы по работе лоудера ничего внятного нагуглитьне могу. Дело осложняется ем, что это же не ехе, а черт-те что. Com? Где точка входа? Куда и по каким признакам бряки ставить? Он же как-то кернел и бут ини читает, значит, там какая-то имитация НТФС внутри есть, тада вообще не понятно, как вычислить момент обращения к кернелу и проверки сигнатуры...
Это обычный Windows PE, для своей работы требующий Native subsystem. Как его грузит ntloader, я не в курсе, к сожалению. 07.02.13 15:08  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Ntoskrnl - PE, а ntldr - что? 07.02.13 23:28  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 07.02.13 23:34  Количество правок: 1
<"чистая" ссылка>
Кернел я давно в EXEXplorer-е по косточкам разобрал. А как туда ntldr запихать? Где точка входа, где ресурсы, где импорт с Hall-а? Впрочем в связи с нижеописанным вариантом может быть и неактуально. Грузить Реактосное ядро сначала в Сэйв-моде, потом - подписать, когда заработает.

Счас готовлю плацдарм для эксперимента - пол-ночи потратил на то, чтобы ПартишенМэйджиком открэмсать от НТФСного рабочего загрузочного винта 3 Гига под ФАТ-32 для установки "подопытной крысы" .(помнится, Реактось с НТФС не дружит). Со страшным скрипом, падением системы и воссановлением ее спомощью кувалды, лома и какой-то матери, открэмсал.
Ntldr - это большей частью тоже pe. 08.02.13 13:04  
Автор: AlexD <Alexander> Статус: Member
<"чистая" ссылка>
Если полистать слегка от начала вниз, то найдём и буковки MZ, и PE.
Начальный кусок - совсем низкоуровневый загрузчик - нас не интересует. Всё интересное происходит уже в "PE".
Так что смело "отрезаем" и ковыряем в своё удовольствие:).
Википедия, не? 08.02.13 10:51  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>


ntldr
Thanks! Во времена прошлой моей атаки нанего Википездии еще не было 09.02.13 12:49  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Равно. как и приведенного мной сайта.
Начало запускаться! 13.02.13 04:00  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Пытается запустить в защищенном режиме, пишет:

Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll

Не удается запустить WINDOWS из-за ошибки
в программном обеспечении
Сообщите об этом, как об ошибке:
необходимы библиотеки DLL для ядра
Сообщите об этой ошибке в службу поддержки

Причем, ни в одной кодировке я последнего сообщения ни в каком файле найти не могу, хотя множество месаг в загрузчике хранятся открытым текстом.

Запускать пытаюсь под НТФС пока.
Продолжило запускаться! 13.02.13 09:11  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 13.02.13 09:23  Количество правок: 3
<"чистая" ссылка>
Скопировал драйверы из директории WINDOWS с установочного диска Реактоса. После этого стала загружаться куча драйверов, после чего в левом верхнем углу появляется мигающая черточка и на сем все виснет. Проблемы 3. В порядке возрастания гиморойности:

1. Пока все под НТФС - нет никакой гарантии, что виндовый драйвер НТФС подружится с Реактосным ядром - никто такого фокуса не предусматривал.
2. Не могу заставить Реактосное ядро писать лог загрузки.
3. Форматы реестра Реактоса и ХРюши - разные. На сем - полный облом, бо конечная задача именно в том, чтобы запихать реактосное ядро в сконгфигурированную винду с инсталлированными недостающими драйверами, чтобы Реактось "подхватила" конфигурацию.

Очень потенциальное решение последней проблемы - имплантация ф-ций обращения к реестру из тыренного исходника w2k. Тада придется подсаживать ядро не в ХР, а в w2k. А типа, ХР-шное ядро нынешнего Реактоса с w2k подружится? Или реестры w2k и ХРюнделя по формату совместимы?

И еще самый главный вопрос: Где заканчивается лоудер и начинается ядро? Кернел грузится 1м, а дальше? Кто продолжает грузить драйвера, лоудер или уже кернел? На сколько я знаю, базовые драйвера грузятся до запуска ядра, а остальные? Или ядро грузит только рантаймовые драйвера?

Судя по тому, что не появляется логотип Реактоса, ядро еще не запущено?

И еще 1 исключительно загадочный момент - все мозги мне загадил: где лежит список загружаемых лоудером драйверов? Почему Винда грузилась, а Реактос обламывался на 4м драйвере, пока я не скопировал его родные драйвера? Выходит тогда, что их грузит уже ядро? А откуда тогда виндовое сообщение:
"Не удается запустить WINDOWS из-за ошибки
в программном обеспечении
Сообщите об этом, как об ошибке:
необходимы библиотеки DLL для ядра
Сообщите об этой ошибке в службу поддержки"?
Во, че нарыл! 06.02.13 06:21  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 06.02.13 06:30  Количество правок: 2
<"чистая" ссылка>
"После любой модификации системных файлов необходимо пересчитать их контрольную сумму, иначе NT (в отличие от Windows 98) откажется их загружать (см. рис. 3), правда, в "безопасном режиме" по F8 они все-таки загружаются, но это все-таки не то."

Ни хрена! А через F8 грузить я не пробовал! Будем посмотреть...

Блин, у меня с Мелкомягкими восприятие прямо-противоположное - если мне говорят: "безопасный режим" - то я понмаю, что в нем ниче низзя, а то, что - зяяя, это - "суперопасный режим".
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach