R7flex
Banned
- Katılım
- 7 Haz 2020
- Mesajlar
- 3,314
- Beğeniler
- 1,740
Biliyorsunuz kernel mode üzerinde manual map felan yapıcaksanız ya da diskdrive gibi idleri değiştirmek için bir kernel spoofer yapcaksanız bazı offsetlere ihtiyacınız vardır bazıları storport.sys bazıları disk.sys bazıları ntoskrnl.exe içinde bulunur bunları offset yerine direk signaturenı bulmak daha mantıklıdır. Bu gün sizlere Windows Architecture üzerinde signature nasıl bulunur onu söylücem çok detaylı gösteremem ama biraz göstercem xD
İlk önce ben örnek ntoskrnl.exe üzerinden MiAllocateVad fonksiyonunun signaturenı bulmak istiyorum bunun için napıcaz?
İlk IDA Freeware'ı sitesinden indirin sonra
IDAyı açın sonra Windows/System32/ntoskrnl.exe yi koplayın ve masaüstüne atın ve ida içine sürükleyin. OK diyin sonra sonra size ntoskrnl.pdb indirmeyi sorucak buna kesinlikle Evet diyin .pdb sini otomatik indiricek ve tüm fonksiyonları net şekilde görücez. İndirme uzun sürebilir sonra .exeyi biraz loadlıcaktır bunun loadladığını an alt sağ köşede 011212112 gibi adres saymaları bitmesi lazım idle yazar. (Eğer pdb indirmesinden sonra ntddk hataları verirse ok diyip geçin.)
Her şey bittikten sonra solda ki functionslardan bi tanesine random tıklayıp yukardan search girin ve kendi fonksiyonunuzu yazın. Sonra solda çıkan fonksiyona 2 kere tıklayın ve sizi ortada bir grafiğe atcak o grafiğe sağ tılayıp text view girin.
MiAllocateVad tıklayın sonra yukardan Edit kısmına gelin aşağıda plugins kısmına gelin orda SigMakera tıklayıp Auto create code pattern tıklayın altta terminal yerinde size signature ı vericektir ve signaturenız hazır hatta xxx templatenide yanına yazar hadi size iyi modmap veya diğer pasteler.
İlk önce ben örnek ntoskrnl.exe üzerinden MiAllocateVad fonksiyonunun signaturenı bulmak istiyorum bunun için napıcaz?
İlk IDA Freeware'ı sitesinden indirin sonra
Linkleri görebilmek için kayıt olmanız gerekmektedir
sağdan releaseden 2 dllide indirin sonra kurduğunuz idanın klasörüne girin pluginsin içine atın.IDAyı açın sonra Windows/System32/ntoskrnl.exe yi koplayın ve masaüstüne atın ve ida içine sürükleyin. OK diyin sonra sonra size ntoskrnl.pdb indirmeyi sorucak buna kesinlikle Evet diyin .pdb sini otomatik indiricek ve tüm fonksiyonları net şekilde görücez. İndirme uzun sürebilir sonra .exeyi biraz loadlıcaktır bunun loadladığını an alt sağ köşede 011212112 gibi adres saymaları bitmesi lazım idle yazar. (Eğer pdb indirmesinden sonra ntddk hataları verirse ok diyip geçin.)
Her şey bittikten sonra solda ki functionslardan bi tanesine random tıklayıp yukardan search girin ve kendi fonksiyonunuzu yazın. Sonra solda çıkan fonksiyona 2 kere tıklayın ve sizi ortada bir grafiğe atcak o grafiğe sağ tılayıp text view girin.
MiAllocateVad tıklayın sonra yukardan Edit kısmına gelin aşağıda plugins kısmına gelin orda SigMakera tıklayıp Auto create code pattern tıklayın altta terminal yerinde size signature ı vericektir ve signaturenız hazır hatta xxx templatenide yanına yazar hadi size iyi modmap veya diğer pasteler.
