Architektura MS Windows — xp, vista, 2000 etc.

RAGNAROK --- --- 18:32:34 4.3.2009

Potreboval bych prikaz v cmd ktery rozbali svchost.exe instance na jednotlive procesy. Nekde jsem to videl na webu a uz to nemuzu najit.

_BENNY --- --- 18:19:51 4.3.2009

_BENNY: stroj Win2003 x64

_BENNY --- --- 18:19:17 4.3.2009

1 odpověď

_BENNY: 18:16:50 explorer.exe:2188 OPEN C:\WINDOWS\ServicePackFiles\amd64\netbt.sys:Raec25ph4sudbf0hAaq5ehw3Nf:$DATA NOT FOUND Options: Open Access: All

_BENNY --- --- 20:25:05 28.2.2009

JACHYMKO: nikomu nic necpu ;-)

jo, proste klasickej search na obsah

_BENNY --- --- 20:17:03 28.2.2009

JACHYMKO: mne zas prijdou odporny ty "vzdusny" kerneli zdrojaky ;)

_BENNY --- --- 20:16:32 28.2.2009

JACHYMKO: presne tak. explorer jen prohledava na obsah "x" v kazdym souboru a takhle se na kazdy soubor v obou variantach "dotazuje". neco pred nami skryvaji :)

_BENNY --- --- 20:08:40 28.2.2009

JACHYMKO: zaklad je de facto stejny jako minifilter samples "scanner" v IFSKitu. moje rutina na prevod jmena (ktera se vola v pre/post handlerech) je zde:

NTSTATUS ScannerGetDOSFileName(PUNICODE_STRING pUS, PCFLT_RELATED_OBJECTS pFltObjects, PFLT_FILE_NAME_INFORMATION pNameInfo) {

	NTSTATUS		status;
	UNICODE_STRING	us = {0,0,0};

	PAGED_CODE();

	if (!pFltObjects->FileObject->FileName.Length)
		return STATUS_BUFFER_TOO_SMALL;

	RtlInitUnicodeString(&us,NULL);

	if (!NT_SUCCESS(status = IoVolumeDeviceToDosName(pFltObjects->FileObject->DeviceObject,&us)))
		return status;
	if (!NT_SUCCESS(status = RtlAppendUnicodeStringToString(pUS,&us))) {
		RtlFreeUnicodeString(&us);
		return status;
	}
	RtlFreeUnicodeString(&us);
	if (pFltObjects->FileObject->RelatedFileObject) {
		if (!NT_SUCCESS(status = RtlAppendUnicodeStringToString(pUS,&pFltObjects->FileObject->RelatedFileObject->FileName)))
			return status;
		if (!NT_SUCCESS(status = RtlAppendUnicodeToString(pUS,L"\\")))
			return status;
		if (!NT_SUCCESS(status = RtlAppendUnicodeStringToString(pUS,&pNameInfo->FinalComponent)))
			return status;
	} else {
		if (!NT_SUCCESS(status = RtlAppendUnicodeStringToString(pUS,&pFltObjects->FileObject->FileName)))
			return status;
	}
	DbgPrint("string %S\n",pUS->Buffer);
	return status;
}

_BENNY --- --- 20:04:22 28.2.2009

JACHYMKO:

Plylst1.wpl:Raec25ph4sudbf0hAaq5ehw3Nf:$DATA
Plylst1.wpl:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

nemuze to byt jakousi nahodou dvoji interpretace tehoz?

_BENNY --- --- 18:44:11 28.2.2009

hlavne ten GUID mi tam bije do oci...

_BENNY --- --- 18:41:15 28.2.2009

JACHYMKO: explorer.exe - Start / Hledat / *.* / obsah "x" / vsechny pevne disky

nevim jestli neco zahlasi filemonitor, ale muj minifilter driver kazdopadne ano.

_BENNY --- --- 18:28:33 28.2.2009

JACHYMKO: mno, jsem holt taky s napadama v koncich :-)

_BENNY --- --- 18:25:21 28.2.2009

JACHYMKO: ok, v tom pripade jde asi o jakousi indexacni ficuru. indexing service mam vypnutou, proto se mu nikdy nepovede takovy soubor otevrit...

_BENNY --- --- 18:11:23 28.2.2009

JACHYMKO: ale windows search nepristupuje jen k WPL souborum, takto pristupuje uplne ke vsem souborum co vyhledava. muzes si pod tim predstavit treba kernel32.dll nebo i boot.ini. navic co je mi znamo, streamy prece nemohou byt vnorene (tedy blabla.txt:ahoj:nasrat).

JACHYMKO: zajimavy...

_BENNY --- --- 22:00:38 26.2.2009

JACHYMKO: no prave! ale kdyz das vyhledat pres integrovany windowsoidni search a zahookujes pristup k disku, zjistis ze se system snazi k temto souborum pristoupit. ten GUID a to druhe cosi bude patrne jine, ale to neva. neprijde ti alespon podezrely ten vnoreny stream? to vypada na neco "virtualniho"...

_BENNY --- --- 21:39:44 26.2.2009

JACHYMKO: bohuzel nemam, zkusim dodat

_BENNY --- --- 21:20:28 26.2.2009

1 odpověď

JACHYMKO: dik

pro ostatni: nenapada nekoho z vas k cemu by na NTFS disku mohlo byt tohle?

C:\Documents and Settings\All Users\Dokumenty\Hudba\Sample Playlists\0022A94A\Plylst1.wpl:Raec25ph4sudbf0hAaq5ehw3Nf:$DATA
C:\Documents and Settings\All Users\Dokumenty\Hudba\Sample Playlists\0022A94A\Plylst1.wpl\Plylst1.wpl:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

KOSTEJ --- --- 20:33:11 26.2.2009

JACHYMKO: to je ono, vyborny.

Zajimal by me treba ten win32k.sys, jak gdi32 vola jeho funkce, kdyz je neexportuje.
Dalsi hodne zajimava vec je startup, na wikipedii k tomu jsou dobre vypadajici clanky: Windows NT startup process, NTLDR, Session manager subsystem, Winlogon.

PEPUS --- --- 12:36:04 26.2.2009

btw to zakladni schema (z wikipedie?) neni uplne presne, vychazejme z oficialniho zdroje:

http://technet.microsoft.com/en-us/library/Cc768129.winarc01_big(en-us,TechNet.10).gif

_BENNY --- --- 23:14:27 25.2.2009

_BENNY: tedy neco jako "microsoft-windows-system-file-l1-1-0.dll" jaks psal

_BENNY --- --- 23:13:35 25.2.2009

1 odpověď

JACHYMKO: ad kernel32.dll - neslo by to disassemblnout nejakou nejmensi avsak logicky funkcni cast te DLLky pro W7? popr. mi to nejak dorucit? to by me fakt zajimalo

Kliknutím sem můžete změnit nastavení reklam

přezdívka
heslo

pamatuj si mě
registrace
ztracené heslo?