• XSS.stack #1 – первый литературный журнал от юзеров форума

Анализ системной службы Windows

Отслеживать
ppsmoke

ppsmoke

CD-диск
Пользователь
Регистрация
08.10.2024
Сообщения
18
Реакции
1
Добрый день, форумчане! В унике пишу курсовую по реверсу, и препод дал следующее задание как заключительную часть курсача: взять какую нибудь виндовую системную службу, которая принимает данные из сети чем то типо recv, найти в ней место приема данных и ветки выполнения в зависимости от того что прилетело, далее символьным движком проанализировать.

Так вот, знаю что среди вас много ребят, которые отлично разбираются в винде, буду очень благодарен если подскажете какой нибудь подходящий экзешник системный, где есть вот это самое место приема и рядышком сразу валидация данных, чтобы попроще было, поменьше дебрей и тд. СПАСИБО! 🙂
 
Пожалуйста, обратите внимание, что пользователь заблокирован
ping.exe, tracert.exe?
 
Последнее редактирование:
varwar сказал(а):
ping.exe, tracert.exe?
являются ли они службами? в моем понимании служба - Windows Service, фоновые штучки, не предполагающие вмешательства юзера. Хотя почему тогда RDP или Spooler называют службами... Запутался чутка! но думаю не страшно если я сделаю на пинге, спасибо 🙂
 
Пожалуйста, обратите внимание, что пользователь заблокирован
ppsmoke сказал(а):
являются ли они службами? в моем понимании служба - Windows Service, фоновые штучки, не предполагающие вмешательства юзера. Хотя почему тогда RDP или Spooler называют службами... Запутался чутка! но думаю не страшно если я сделаю на пинге, спасибо 🙂
Смотри сам. Если что, то можешь опираться на исходники ping в /XPSP1/NT/net/tcpip/commands/ping .Не думаю, что там как-то сильно они функциональность поменяли =)
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Если брать виндовые службы/сервисы, то тут алгоритм может быть такой

1. Получить для каждого сервиса исполняемый файл по PID
2. Отфильтровать файлы по размеру, API или библиотеке, работающей с сетевым стеком (можно yara заюзать)
3. Проверить есть ли исходники сервиса в утечках Windows XP
4. Реверсить и т.д.

1742405957709.png



P.S. Но я думаю там уже будет гемора поболее.
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
varwar сказал(а):
1. Получить для каждого сервиса исполняемый файл по PID
2. Отфильтровать файлы по размеру, API или библиотеке, работающей с сетевым стеком (можно yara заюзать)
3. Проверить есть ли исходники сервиса в утечках Windows XP
4. Реверсить и т.д.
Очень хорошая инструкция не только по теме ТС'а)
 
varwar сказал(а):
ping.exe
ping.exe is just a cmdline program that:
1. opens a raw socket / IcmpSendEcho
2. ICMP echo packet
3. calls some flavor of recvfrom
4. print reply



ppsmoke сказал(а):
Добрый день, форумчане! В унике пишу курсовую по реверсу, и препод дал следующее задание как заключительную часть курсача: взять какую нибудь виндовую системную службу, которая принимает данные из сети чем то типо recv, найти в ней место приема данных и ветки выполнения в зависимости от того что прилетело, далее символьным движком проанализировать.
Simple TCP/IP Services
tcpsvcs.exe

1. echo (TCP/UDP port 7)
2. discard (9)
3. daytime (13)
4. chargen (19)

PS. far simpler than TermService, the print spooler
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх