Ошибка: Failed to parse the Currency Converter XML document.
$13 696.80


Ошибка: Failed to parse the Currency Converter XML document.
$58 734.91


Ошибка: Failed to parse the Currency Converter XML document.
$20 228.02


Цветной экран смерти

Если ты кодил под Ring 0, то знаешь, что за показ экрана смерти ответственны функции ядра KeBugCheck и KeBugCheckEx.

Правда, это реализовано немного по-разному в Windows 2000 и ниже и в Windows XP и выше.

В Windows 2000 всю работу делает KeBugCheckEx, а KeBugCheck — обертка.

В Windows XP KeBugCheckEx и KeBugCheck — обертки, всю работу делает внутренняя неэкспортируемая функция ядра KeBugCheck2.

Где-то в теле функции происходит задание фона для экрана смерти. Мы попробуем его найти и пропатчить прямо в памяти. Для простоты мы будем писать для Windows XP, а отчасти и из-за того, что сейчас она установлена на большем числе компьютеров, чем Windows 2000.


Поскольку все смещения и т.п. сильно зависят от билда, тут есть два пути — прописать смещения жестко для каждого билда или искать нужные данные динамически. Чтобы не усложнять себе жизнь, мы выберем первый вариант и пропишем смещения только для системы «Windows XP build 2600».

Посмотрим на код функции KeBugCheck2:

//

// Enable InbvDisplayString calls to make it through to bootvid driver.

//

if (InbvIsBootDriverInstalled()) {

InbvAcquireDisplayOwnership();


InbvResetDisplay();

InbvSolidColorFill(0,0,639,479,4); // make the screen blue

InbvSetTextColor(15);

InbvInstallDisplayStringFilter((INBV_DISPLAY_STRING_FILTER)NULL);

InbvEnableDisplayString(TRUE); // enable display string

InbvSetScrollRegion(0,0,639,479); // set to use entire screen

}

интересующую нас строчку я выделил. тут происходит задание цвета фона.

Нам надо только лишь его поменять. Поехали!

Итак, мы пишем под Windows XP 2600. Откроем в IDA Pro код KeBugCheckEx:

.text:0045C303 _KeBugCheckEx@20 proc near
.text:0045C303 BugCheckCode = dword ptr 8
.text:0045C303 BugCheckParameter1= dword ptr 0Ch
.text:0045C303 BugCheckParameter2= dword ptr 10h
.text:0045C303 BugCheckParameter3= dword ptr 14h
.text:0045C303 BugCheckParameter4= dword ptr 18h
.text:0045C303
.text:0045C303 mov edi, edi
.text:0045C305 push ebp
.text:0045C306 mov ebp, esp
.text:0045C308 push 0; int
.text:0045C30A push [ebp+BugCheckParameter4]; int
.text:0045C30D push [ebp+BugCheckParameter3]; int
.text:0045C310 push [ebp+BugCheckParameter2]; int
.text:0045C313 push [ebp+BugCheckParameter1]; int
.text:0045C316 push [ebp+BugCheckCode]; int
.text:0045C319 call _KeBugCheck2@24; KeBugCheck2(x,x,x,x,x,x)

Вот тут как раз и вызывается внутренняя функция KeBugCheck2. Опкод этой команды CALL выглядит так: E8 9CF4FFFF. E8 - код команды call, 9CF4FFFF — смещение KeBugCheck2 относительно следующей команды. Адрес команды call равен 0045C319, + 1 байт, мы получим 0045C31A — адрес смещения.
0045C31Ah — 0045C303h (адрес KeBugCheckEx) = 17h — то есть адрес смещения функции KeBugCheck2 лежит через 17h байт после начала KeBugCheckEx.

Что ж.. нам это пригодится. Глянем внутрь KeBugCheck2 и найдем вызов InbvSolidColorFill, устанавливающей цвет фона экрана:

.text:0045BDA3 push 4

.text:0045BDA5 push 1DFh

.text:0045BDAA mov ebx, 27Fh

.text:0045BDAF push ebx

.text:0045BDB0 push esi

.text:0045BDB1 push esi

.text:0045BDB2 call _InbvSolidColorFill@20; InbvSolidColorFill(x,x,x,x,x)

Так-так. PUSH 4 - как раз заталкивание в стек цвета фона (4 - синий). Опкод команды PUSH 4 выглядит так: 6A 04 PUSH 4. Нам нужно изменить операнд команды PUSH. Адрес начала KeBugCheck2 — 0045B7BA, адрес операнда команды PUSH — 0045BDA4. Не нужно быть гением, чтобы посчитать разницу — 5EA.

Вот мы и собрали все нужные нам данные. Приступим к кодерской части.

Реализация будет такова — мы напишем драйвер ядра, у которого по DeviceIoControl можно вызвать 2 функции — прочитать текущий цвет и записать новый.

С учетом всего вышенаписнаного, вот вспомогательная функция для получения адреса байта, где лежит цвет фона:

PUCHAR GetBugcheckColorAddress()

{

DWORD addr = (DWORD) &KeBugCheckEx;

addr += 0x17;

addr = addr + 4 + *(DWORD*)addr;

addr += 0x5EA;

return (PUCHAR) addr;

}

Определим следующие два кода для DeviceIoControl:

#define IOCTL_FAULTDRIVER_GET_BUGCHECK_COLOR 0x0014
#define IOCTL_FAULTDRIVER_SET_BUGCHECK_COLOR 0x0024

Проследим, чтобы младшие 2 бита были сброшены — они показывают тип ввода-вывода при DeviceIoControl. 00 означает буферизированный ввод-вывод, он нам и нужен. Диспетчер ввода-вывода выделит системный буфер, скопирует пользовательский буфер в системный, мы его будем изменять как хотим, а потом системный буфер скопируется обратно в выходной.

Напишем вот такую функцию для обработки IRP_MJ_DEVICE_CONTROL:

NTSTATUS DriverIoControl(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
PIO_STACK_LOCATION pisl = IoGetCurrentIrpStackLocation(Irp);
NTSTATUS status = STATUS_UNSUCCESSFUL;
ULONG BuffSize = pisl->Parameters.DeviceIoControl.InputBufferLength;
PUCHAR pBuff = (PUCHAR)Irp->AssociatedIrp.SystemBuffer;

Irp->IoStatus.Information = 0;

switch(pisl->Parameters.DeviceIoControl.IoControlCode)
{
case IOCTL_FAULTDRIVER_GET_BUGCHECK_COLOR:
if (pBuff && pisl->Parameters.DeviceIoControl.OutputBufferLength >= 1)
{
DPRINT(«[~] DeviceIoControl : IOCTL_FAULTDRIVER_GET_BUGCHECK_COLOR»);

__try
{
if(*NtBuildNumber != 2600)
{
DPRINT(«[!] This driver supports only Windows XP build 2600, current build is %d», *NtBuildNumber);
status = STATUS_ILLEGAL_FUNCTION;
break;
}
PUCHAR lpBugcheckColor = GetBugcheckColorAddress();
*pBuff = *lpBugcheckColor;

DPRINT(«[+] Search completed. Address is 0x%08x, bugcheck color is %02x», lpBugcheckColor, *pBuff);

Irp->IoStatus.Information = 1;
status = STATUS_SUCCESS;
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
Irp->IoStatus.Status = status = GetExceptionCode();
Irp->IoStatus.Information = 0;

DPRINT(«[!] Unhandled exception %.x», status);
break;
}
}
break;

case IOCTL_FAULTDRIVER_SET_BUGCHECK_COLOR:
DPRINT(«Buffer size = %d», BuffSize);

if (pBuff && BuffSize >= 1 && pisl->Parameters.DeviceIoControl.OutputBufferLength >= 1)
{
DPRINT(«[~] DeviceIoControl : IOCTL_FAULTDRIVER_SET_BUGCHECK_COLOR»);

__try
{
if(*NtBuildNumber != 2600)
{
DPRINT(«[!] This driver supports only Windows XP build 2600, current build is %d», *NtBuildNumber);
status = STATUS_ILLEGAL_FUNCTION;
break;
}
PUCHAR lpBugcheckColor = GetBugcheckColorAddress();
BYTE oldcolor = *lpBugcheckColor;

DPRINT(«[+] Search completed. Address is 0x%08x, bugcheck color is %02x», lpBugcheckColor, oldcolor);
DPRINT(«[~] Requested color is %02x», *pBuff);

*lpBugcheckColor = *pBuff;
*pBuff = oldcolor;

DPRINT(«[+] New color set: %02x, color returned: %02x», *lpBugcheckColor, *pBuff);

Irp->IoStatus.Information = 1;
status = STATUS_SUCCESS;
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
Irp->IoStatus.Status = status = GetExceptionCode();
Irp->IoStatus.Information = 0;

DPRINT(«[!] Unhandled exception %.x», status);
break;
}
}
break;
}

Irp->IoStatus.Status = status;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return status;
}

Я думаю, стоит кое-что пояснить. Сначала мы получаем текущий стек ввода-вывода, адрес системного буфера и размеры входного и выходного буферов.

Дальше смотрим, что же от нас хотят — прочитать или установить новый цвет. Основной код обернут в __try/__except, чтобы, не дай Бог, случайно не уронить систему, если что.

Мы проверяем NtBuildNumber — номер билда ОС и ругаемся, если он не 2600. Дальше мы получаем адрес байта с цветом фона и химичим с ним. Выставляем в Irp->IoStatus.Information число байт, которое нужно скопировать в пользовательский буфер из системного.

Остальной код драйвера комментировать, думаю, не стоит:

#define _X86_
#include

#define DPRINT DbgPrint

UNICODE_STRING DeviceName;
UNICODE_STRING SymbolicLinkName;
PDEVICE_OBJECT deviceObject;

void DriverUnload(IN PDRIVER_OBJECT DriverObject)
{
IoDeleteSymbolicLink (&SymbolicLinkName);
if(deviceObject)
IoDeleteDevice (deviceObject);

DPRINT («[+] Driver unloaded»);
}

extern «C» PUSHORT NtBuildNumber;

NTSTATUS DriverIoControl(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);

NTSTATUS DriverCreateClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
Irp->IoStatus.Information = 0;
Irp->IoStatus.Status = STATUS_SUCCESS;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
NTSTATUS status;

DPRINT(«[~] Driver loading»);

RtlInitUnicodeString(&DeviceName, L«\Device\faultdriver»);
RtlInitUnicodeString(&SymbolicLinkName, L«\DosDevices\faultdriver»);

status = IoCreateDevice(DriverObject,
0,
&DeviceName,
FILE_DEVICE_UNKNOWN,
0,
TRUE,
&deviceObject);

if (!NT_SUCCESS(status))
{
DPRINT(«[-] Failed to create device. IoCreateDevice returned %x», status);
return STATUS_UNSUCCESSFUL;
}

deviceObject->Flags |= DO_BUFFERED_IO;
status = IoCreateSymbolicLink(&SymbolicLinkName, &DeviceName);
if (!NT_SUCCESS(status))
{
DPRINT(«[-] Failed to create symbolic link. IoCreateSymbolicLink returned %x», status);
IoDeleteDevice(deviceObject);
return STATUS_UNSUCCESSFUL;
}

// Set dispath routines
DriverObject->DriverUnload = DriverUnload;

DriverObject->MajorFunction [IRP_MJ_CREATE] =
DriverObject->MajorFunction [IRP_MJ_CLOSE ] = DriverCreateClose;
DriverObject->MajorFunction [IRP_MJ_DEVICE_CONTROL ] = DriverIoControl;

DPRINT(«[+] Driver initialization successful»);

return STATUS_SUCCESS;
}

Теперь у нас готов работающий драйвер, который умеет оперировать с цветом фона для экрана смерти.

Напишем несложное GUI для этого. Я приведу только код юзермодных функций для работы с цветом:

// User mode API

#define IOCTL_FAULTDRIVER_GET_BUGCHECK_COLOR 0x0014
#define IOCTL_FAULTDRIVER_SET_BUGCHECK_COLOR 0x0024

UCHAR GetCurrentBugcheckColor()
{
HANDLE hDevice = CreateFile(«\.\faultdriver», GENERIC_READ, FILE_SHARE_READ|FILE_SHARE_WRITE, 0, OPEN_EXISTING, 0, 0);
if(hDevice == INVALID_HANDLE_VALUE)
return — 1;

DWORD ret;
char buffer;
if(!DeviceIoControl(
hDevice,
IOCTL_FAULTDRIVER_GET_BUGCHECK_COLOR,
&buffer, sizeof(buffer),
&buffer, sizeof(buffer),
&ret,
0
))
{
CloseHandle(hDevice);
return — 1;
}
else
{
CloseHandle(hDevice);
return buffer;
}
}

UCHAR SetCurrentBugcheckColor(UCHAR cNew)
{
HANDLE hDevice = CreateFile(«\.\faultdriver», GENERIC_READ, FILE_SHARE_READ|FILE_SHARE_WRITE, 0, OPEN_EXISTING, 0, 0);
if(hDevice == INVALID_HANDLE_VALUE)
return — 1;

DWORD ret;
char buffer = cNew;
if(!DeviceIoControl(
hDevice,
IOCTL_FAULTDRIVER_SET_BUGCHECK_COLOR,
&buffer, sizeof(buffer),
&buffer, sizeof(buffer),
&ret,
0
))
{
CloseHandle(hDevice);
return — 1;
}
else
{
CloseHandle(hDevice);
return buffer;
}
}

Вот и все Бинарники и сорсы можно найти тут: http://cribble.by.ru/bugcheck.rar
Для запуска нужно распаковать GUI-программку и бинарник драйвера в одну директорию и запустить EXEшник (он сам загрузит драйвер и выгрузит по окончании работы).

В соотв. каталогах в rar'e находятся проекты с сорцами для компилера Microsoft Visual C++ 6.0
Для тестирования пригодится программка М.Руссиновича «NotMyFault», которую можно скачать тут: http://www.sysinternals.com/Files/Notmyfault.zip

Удачи, пока!

 

Интересное

АнтиОМОН v.1.0
Представь такую ситуацию, ты сидишь перед телеком, смотришь Санта Барбару и тут раздаётся звонок. Ты открываешь дверь и в квартиру входят несколько амбалов, представившись сотрудниками ФСБ =)Они...
Подробнее...
Основные факторы, влияющие...
1. Примерный алгоритм определения релевантности документа запросу.Довольно часто, особенно от людей, недавно занявшихся поисковой оптимизацией, приходится слышать просьбу раскрыть...
Подробнее...
Уязвимость в приложении...
Microsoft предупредила пользователей Windows о появлении вируса, поражающего компьютеры через уязвимость в приложении для создания презентаций PowerPoint.При открытии зараженного файла формата РРТ...
Подробнее...
SSH - доступ. Crontab....
Закачивать сайт можно по протоколу FTP, соединяясь с сервером, где расположен ваш сайт, с помощью FTP-клиента. Но бывают ситуации, когда нужно отладить работу скрипта непосредственно на сервере...
Подробнее...
Если необходим склад, что...
Практически всем предприятиям требуются складские помещения, как малому бизнесу, так и крупному. Что касается поиска помещений, то, обычно, сложности в этом не бывает, так как предложения на этом...
Подробнее...
Использование OpenGL в Java
Принципы реализации OpenGL в JavaВ настоящее время Java очень широко распространена и все больше и больше различных технологий переносятся на этот язык. Не исключением является и OpenGL. OpenGL...
Подробнее...
Как узнать информацию о...
Вы, возможно, видели нестандартные дельфийские компоненты, позволяющие сделать лог системы. Сейчас мы самостоятельно реализуем что-нибудь не хуже.Прежде всего, где хранится эта самая системная...
Подробнее...
Раскрутка это еще и заработок
Странно. Но многие вебмастера разделяют понятия раскрутка и заработок. Т.е. все понимают, что если ресурс будет раскручен, с него можно будет и деньги получить.Но вот, к сожалению, почему-то почти...
Подробнее...
Продвижение сайта
Для того чтобы привлечь посетителей на созданный вами сайт, недостаточно только лишь презентабельного дизайна вашего ресурса. Необходимо проведения ряда определенных мероприятий, которые...
Подробнее...
Поиск файлов с расширением...
Чтобы убедиться в этом, создайте текстовый файл и запишите в него одно слово (например, «поиск»). Сохраните этот файл с расширением log или cpp. Теперь запустите поиск файлов (Пуск > Поиск),...
Подробнее...