Сабж. Вопрос к знатокам, как при реверсе ядра вы получаете недокументированные структуры? Подразумевается что никаких упоминаний их в открытом доступе нету.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
[HELP] Получение внутренних ядерных структур
Решение
Vergilius Project
Take a look into the depths of Windows kernels and reveal more than 60000 undocumented structures.
www.vergiliusproject.com
Т.к. в Windows принято структуры обозначать с нижнего подчеркивания и заглавными буквами, то можно использовать.
найдет все структуры.
Если нужно что-то конкретное, то можно искать поточнее типа
Код:
dt nt!_*Если нужно что-то конкретное, то можно искать поточнее типа
Код:
dt nt!_*ALPC*- Автор темы
- Добавить закладку
- #4
Нет, я об именно внутренних структурах. Например структуры внутри ntoskrnl или tcpip, который ими используются (структуры пакетов и тд).
Не совсем понял, что ты подразумеваешь под внутренними структурами.
dt tcpip!_*PACKET*
dt tcpip!_*PCK*
и т.д.
Вопрос всегда в том в какой функции и каким аргументом эта структура будет, а так инфа вся о структурах лежит в .pdb. Если чего-то нет, то руками по RFC (если какой-то протокол) или искать в слитых исходах.
Вот пример как я восстанавливал одну из
https://xss.pro/threads/67784/
- Автор темы
- Добавить закладку
- #6
Я про структуры, которые передаются где то в аргументах, их обычно нету в .pdb файлах. Вот например здесь упоминается структура Reassemble_t и Packet_t, они же 100% не содержатся в .pdb.