Mensajes

Bueno, no es para tanto, digo.. Bueno. 

Tenes algo de los sockets echos ?

Personalmente no me gustan mucho las interfaces gráficas, prefiero hacerlo todo por consola

Yo lo mismo, no porque no me gusten las ventanas, mi problema es que con la API de windows es cansador!

Bueno si es para Windows, con Win32 podes hacer todo lo que se puede imaginar mirar en la pantalla

Si que se puede, pero es la muerte hacer una ventana con botones, textboxes, labels, etc, etc..

Nunca probe con Qt, ni otras librerias del estilo, ¿Dejan muy pesado al programa? En cualquier momento me paso a esa tecnologia..

Na, por que voy a tener problemas en decir de donde lo saque?
Esta claro que no lo hice yo.. de ser asi, no estaria preguntando tanto.. lo saque de un rootkit, te paso el autor, esta su firma en el codigo..

           Agony rootkit
           
               by Intox

Yo intento aprender EI, nada mas..

Saludos!

Es muy sencillo: ¿De donde salio?

Haa,, si.. seguro es sencillo, no entendia por que usaba asi a la funcion..

Si es una funcion de hook para NtQuerySystemInformation, Se pasa a la funcion original los parametros que son pasados al hook

Exactamente

Lo que hace, que me maree era esto:

un casting del puntero a la función si la variable ya es declarada como tal

No seria usar las Nt's desde modo kernel:

Tengo que aprender a usar Windbg urgente.. 

¿Es o no es codigo basura ese?

Por que codigo basura?

Bueno, si Eternal.. creo que ahora puedo empezar con WDK. Convengamos que el WDK no tiene nada de teoría, es como ir a la guerra con un palito..

Saludos!

cuando llamas desde modo Kernel tenes que usar Zw (en modo Usuario una es alias de la otra, tienen la misma direccion).

Okk! Esto se empieza a aclara 

Una ultima cosa, y sigo estudiando.. por la vuelta he visto este tipo de funciones:

ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformationAddress = NULL;

   status = ((ZWQUERYSYSTEMINFORMATION)(ZwQuerySystemInformationAddress)) (
               SystemInformationClass,
               SystemInformation,
               SystemInformationLength,
               ReturnLength );

Por que va entre parentesis? No se usa igual que las funciones en modo usuario.. 

Por lo que leo en la wiki, parece mas un problema que una solución  
y solo en 64bits, en fin.. supongo que debe haber formas de saltarse eso.. cuando me complique ese asunto lo estudio mejor, esta bueno saberlo...
Por el momento, me queda mucho por aprender de las tablas, estructuras, y funciones para dar los primeros pasos con los drivers..

Otra cosa que no me queda claro son las funciones tipo Zw* y Nt*, esas funciones salen de otros drivers, no? Digamos, son exportadas por otros drivers? (Ahora no tengo el PE Explorer para fijarme), ya leí la wiki, pero no es muy clara, al parecer no existe mayor diferencia entre unas y otras,, ( Zw y Nt )

Editado:

Nt or Zw are system calls declared in ntdll.dll and ntoskrnl.exe. When called from ntdll.dll in user mode, these groups are almost exactly the same; they trap into kernel mode and call the equivalent function in ntoskrnl.exe via the SSDT. When calling the functions directly in ntoskrnl.exe (only possible in kernel mode), the Zw variants ensure kernel mode, whereas the Nt variants do not.[3] The Zw prefix does not stand for anything.

Antes no me habia quedado claro, ahora si.. Listo!

Ajam.. interesante... lo voy a ver con el Pe Explorer.. por ende, supongo que puedo ver que funciones exporta..
En realidad, estaba por poner que mas que una duda, una confirmación.. por tener extensión .exe, esperaba que fuera un PE, pero no se carga como los demas PE's.. otra cosa es que ese .exe no se muestra en la lista de procesos, (por ser el mismo kernel, calculo..)
Se podra inyectar? 

Mmmm.. el ejercicio no sera ponerle comentarios al programa, no?
Aun así, me parece que tendrías que enfocarlo de otra forma.. O sea, comprendes algo del código?
Si estas comenzando a aprender, te va a convenir aprender sobre funciones, variables, bucles (si es que no sabes, claro) y entonces, hacer una consulta mas puntual.

Saludos!