Ntoskrnl ida sigmaker yardım

GetHalPi · 3 Şub 2024

Merhabalar, IDA üzerinden bir kaç ntoskrnl fonksiyonunu (mi_allocate_vad, mi_insert_vad_charges, mi_insert_vad) ın siglerini bulmak istiyorum. Normalde win32k'da bir şeye bakacaksam çok rahat bir şekilde bulabiliyorum ama bunda beynim yetmedi.. Bilen arkadaşlar varsa lütfen yardım etsin böyle gözüküyor fonksiyonu incelediğimde hiç bir qword yok

Normalde proc nearın altında oluyordu win32k'da ama ntoskernel de öyle işlemiyor işler herhalde. (uc de sormak istemedim çünkü kitlesinin çok toxic oldugunu dusunuyorum buradada ilgilenen bir kaç arkadaş var bildiğim kadarıyla)

nolimitdestroye · 4 Şub 2024

ayarlarda disassembly kısımına orda number of opcode bytes var onu 0'dan 7 yap siglemek istedigin function'ın başından herhangi bir yere kadar olan opcode bytelarını kaydet

GetHalPi · 6 Şub 2024

nolimitdestroye' Alıntı:
ayarlarda disassembly kısımına orda number of opcode bytes var onu 0'dan 7 yap siglemek istedigin function'ın başından herhangi bir yere kadar olan opcode bytelarını kaydet

Olmuyor dostum ucdeki çözüm sigin doğru olup olmadıgına baktım 0x döndürdü

nolimitdestroye · 7 Şub 2024

GetHalPi' Alıntı:
Olmuyor dostum ucdeki çözüm sigin doğru olup olmadıgına baktım 0x döndürdü

dostum kendi ntoskrnl.exe'ni buraya yükle ben sana sig oluşturayım nasıl olmuyor anlamadım

propanereco · 8 Şub 2024

niye qword'la işin var fonksiyonun sigini arıyon fonksiyonun başında biraz ortasına kadar çek create sig from selection de
win32kda fonksiyon içerisinde ki data ptr'ı değiştirdiğin için oranın sigini alıyorsun onla bu farklı burda direkt fonksiyonun adresini bulmak için yapıyorsun hatta direkt offsetini bile alabilirsin

Ntoskrnl ida sigmaker yardım

GetHalPi

nolimitdestroye

GetHalPi

nolimitdestroye

propanereco

Şuanda konuyu görüntüleyen kullanıcılar