コグノスケ


link 未来から過去へ表示(*)  link 過去から未来へ表示

link もっと前
2007年2月15日 >>> 2007年2月2日
link もっと後

2007年2月15日

ドコモ

明日までに作ります、と言ってしまったものを作りました。すごい眠くてやる気が出ません。たくさん寝たのになぜだ…、もしや寝過ぎ?

Windowsさーん!

MSDNにはカーネルモードドライバのサポートルーチンとして、スレッドを作ったときに通知される関数を登録するPsSetCreateThreadNotifyRoutineという関数と、通知関数を削除するPsRemoveCreateThreadNotifyRoutineという関数が載っています。

しかしWindows 2000にはPsRemove〜 がありません。じゃあPsSet〜 もないのかというと、なぜか存在します。なんだこの片手落ち。しっかり作れよ!!

仕方ないから自分で登録解除する方法を紹介します。
PspCreateThreadNotifyRoutineという配列に通知関数のアドレスが登録されているので、自分で登録した関数を探してNULLに変えます。さらにPspCreateThreadNotifyRoutineCountと言う変数をデクリメントすれば登録解除されます。

私の環境(Windows 2000 SP4最新パッチ適用済み)だと、0x80483200(RoutineCount) と0x804831a0(Routine) というアドレスで、Routineの配列長は8(合計32バイト)でした。

編集者:すずき(2007/02/16 03:15)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年2月14日

rootkit

昨日に続き某プロテクトを眺めていたら、もう一つ発見しました。

Windowsではプロセスの構造体をActive Listという双方向?リストで繋いでいます。ところが腐れプロテクトはリストを壊して自分の前と後ろを繋いでしまいます。そうすることで自分は居ないかのように見せかけています。

しかしそのままではOSからも見えないため、実行されなくなります。そのため自分のプロセスが持っているスレッドを、適当なプロセス(恐らくID:8のSystemプロセスだと思います)に押しつけて実行させます(※)。

SSDTに加え、カーネルオブジェクト書き換えと来たもんだ…。このゴミプログラムは何やってくれてるんでしょうね、ほんと最低です。

(※)カーネルオブジェクト書き換えはFu rootkitというrootkitが使用しているそうです。

編集者:すずき(2007/02/14 21:07)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年2月13日

送別会

今年でつくばを離れてしまう阿部さんのための、送別会が開かれました。修論、卒論生のみなさん、発表お疲れ様でした。という労いの会も兼ねています。

場所は灯禾軒でした。飲み会にありがちな、ご飯が大量に余る状況にはなりませんでした。料理が少なかったのか、単にみんなおなかが空いていただけかな。最近のOS研ではM1の人々の就職/進学の話しで持ちきりです。さて、来年どうなっているやら?
2次会は横にあるじんぱちでした。酒を飲まなかったせいか、かなり安かったです。

3次会というか既に3人しかいなかったんですが、STEPで卓球とカラオケをしました。

ドライバ

某プロテクトを殺せないかと思って、変なドライバを書いてみました。結果を先に言うと、うまくいきませんでした。

某の動きを観察してみると、SSDTを書き換えているようです。具体的には、NtDeviceIoControlFile, NtOpenProcess, NtProtectVirtualMemory, NtReadVirtualMemory, NtWriteVirtualMemoryの5つ(2/14 NtWriteVirtualMemoryを追記)にフックを入れています(Windows2000の場合)。このやり口はもはやrootkit以外の何者でもないですね。

まずは単純に、正しいSSDTを記録しておいて、書き換えられた後に元の値に戻してやりました。ところが強制リセットがかかってしまい、駄目でした。

次にプロテクトが使っているフックルーチンの先頭を無条件near jmpに書き換えて、正しい位置に飛ぶように書き換えたのですが、Windowsがハングアップしてしまって、うまくいきません。

何か間違ってるのでしょうけど、いまいちわかりません。難しいですね…。

編集者:すずき(2007/02/14 19:44)

コメント一覧

  • kawasakiさん(2007/02/14 11:11)
    Windows Vista ではSSDTの書き換えは出来ないという話を聞いたのですが、どうなってるんでしょうね。
  • すずきさん(2007/02/14 17:10)
    SSDT が載ってるページだけ、書き込みしたら例外が飛ぶようにするとか…?できるのかな。
    できたとしても解除できそうだなあ…。
open/close この記事にコメントする



2007年2月12日

キューバはどこだ

昼にキューバ料理の店に行こうと誘われて6号沿いのお店に行きました。そういえばキューバってどこだっけ?って思いながら店に入ったら、壁にでかでかと地図が書いてありました。ああそうか、カリブ海の島国でしたね。

料理は辛い物が基本らしいですが、店員さんに辛くないのありますかって聞いたらいくつか教えてくれました。その中から一つ頼んでみると、不思議な香りの肉野菜炒めが出てきました。なんのスパイスかわからないけど…、おいしかったです。

編集者:すずき(2007/02/13 05:19)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年2月11日

ものづくり大国

国立科学博物館に行って、ものづくり展を見てきました。前のばけもの展が失敗感漂う感じで微妙だったのに対し、今回の展示は科博の本領発揮と言ったところでしょうか。面白かったです。

ニュースにもなっていた表面が磨かれたピッカピカの車もありましたよ。残念なことに時間が経ってしまって若干曇っていました。

工業製品の原料とか部品が多いのですが、車の部品、携帯の外装なども展示してあります。これらは身近にあるものですが、作るとなると結構複雑で難しいらしいのです。すげー複雑で細かい部品とか、何に使うのかわからなくても製品の形、材質を見て、これが一発で作れるか?と考えてみるとその技術力に感動します。

科学系の展示では珍しく、あちこちのパネルで「職人が〜」「熟練の技で〜」といったフレーズを見かけます。工作機械では到底なし得ない精度の加工も、熟練工がやれば一発というのは珍しくないようです。ものづくりには理屈じゃない技も必要ですね。

編集者:すずき(2007/02/11 23:42)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年2月9日

卒業旅行

僕の卒業旅行は横須賀で仕事になりそうです。南無三。

編集者:すずき(2007/02/10 17:25)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年2月8日

修士論文審査会

質疑応答の時に突っ込まれてちょっと固まりましたが、無事に終了しました。学生生活に一区切り付いた感じです。

朝イチだったので事務にプロジェクタを借りに行ったら、返すときも同じ人が返さなきゃだめだと言われた。何それ。俺だけ最初から最後まで居なさいってか。

自分たちが使っていた部屋は15:40で終わりだったのでまだ良い方で、18:00までやっていた部屋は一体どうなっていることやら。偶然一番手だったというだけで、9時間も拘束(9:00〜18:00)され、挙げ句に事務やってないから次の日返しに行くなんて、おかしいよね?

ドコモ

作業を頑張りましたが、眠いので無理ぽでした。

やっぱり思い直して頑張りました。徹夜でござる。

編集者:すずき(2007/02/09 07:33)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年2月7日

明日は発表

明日は修士論文の発表会です。自分の順番は一番目なので、会場の準備をしなければならないそうです。頑張って早起きします。

明日の修士論文発表を乗り切った後は、明後日のドコモミーティングのために作業しなければならないです。終わったのになんで…、ってちょっと暗い気持ちになりそうです。

編集者:すずき(2007/02/07 23:05)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年2月6日

さらにスライド

大量に入った直しを反映しつつ、頑張って作ったよ!(`・ω・´)
明日隙を見て、スライドをチェックしてもらおうかな。

編集者:すずき(2007/02/07 03:54)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年2月5日

ありえない×3

昼頃起きて、服を着替えたらずいぶんズボンがきつくなってて、これが噂のメタボ?とか思ったら、パジャマの上から着てました。ありえねー。

机の上の携帯を見ると不在着信があったので、かけ直しました。そしたら何を間違ったか、着信履歴の次のページにあった塚田氏にかけてしまった。これもありえねー。

当然ながら(俺)「電話の用件はなんでしょう?」(塚田氏)「いや、かけてませんよ?」(二人)「ええ??」という、全く意味のわからん会話となった。

会話終了後にちゃんと見たら、不在着信は非通知のワン切りでした。もうね、何も合ってない、そもそもかけてきた人すら合ってない。これが一番ありえねー。

しかしなぜか電話をかけたときは、塚田氏だと確信していたんだ…。むしゃくしゃしてやったわけではないが、今は反省している。

公開延期して下さい

修論の公開延期願いという書類を出すことになりました。特許に絡むかも知れないからだそうです。

書類はWebに載っているのですが、リンク切れで落とせなかったため、F棟9階の事務(CS専攻事務)に聞きに行きました。そうしたら、え?そんな書類あった?とか言われて、あせりました。えぇー、提出先ここなんですけどー…。

んで、書類のリンク切れの件を話したら、技官さんに連絡が行ってすぐにリンクが復活しました。これはつまり今まで誰も出したことがない、ってことでファイナルアンサー?

編集者:すずき(2007/02/06 04:11)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年2月4日

真のフィルタドライバ

DDKに付いているフィルタドライバのサンプルを見てみると、自分が書いているやり方と全然違いました。しかもクラスとかデバイスとか、色々別れていて良くわからんす。本買おうかなあ。

普通、キーボードフィルタドライバというと、全てのキーボードに対して作用しますが、自分の書いたドライバは 1つめのキーボードにしか作用しません。これだとフィルタドライバとは呼ばないんだろうな。しかしこれはこれで使い道が有りそうなので、取っておきます。

スライド

明日の発表練習に向けてスライドを作りました。発表は20分、スライドは26枚…完全に時間オーバーです。明日、練習前にまた直そう。

編集者:すずき(2007/02/04 23:48)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



2007年2月3日

スニッファドライバ

腐れプロテクトに邪魔されずにマウスやキーボードをいじってみたくて、キーボードのフィルタドライバを書いています。ざっと見た感じでは、押したか離したかという情報やキーコードが取れているようです。

キーボードから来た情報は読めますが、新たに何かしたよという情報をどうやって作るのかイマイチわかりません。しかもアンロード処理がうまくないらしくて、フィルタドライバを削除した後にキーを押すとBoD します。これが俺クオリティ。

どうやらドライバを削除した後なのにI/O完了通知ルーチンに登録していた関数(IoSetCompletionRoutineでセットしたやつ)が呼ばれて、落ちているようです。

MSDNを見るとIoSetCompletionRoutineExなる関数があって、上記のようにドライバを削除する場合はこれを使え、とあります。しかし良く見るとWindows XP専用とあります。俺は2000なんだよ。惜しい、惜しいよ!

今日は時間切れなので、またいつか。

愛は分割払いできますか?

ブックマークに入っていて思い出したので、リンク張っておきます。QUOQのショートフィルム bunkatsu 全4話です。最初は頭おかしいって思ったけど、最後は頭良いなあって思いました。あまり書くとネタバレするので書きません。気になる方は見てくださいな。

編集者:すずき(2007/02/04 02:47)

コメント一覧

  • 黒翼猫さん(2009/02/22 20:30)
    こんばんわ
    はて、IoSetCompletionRoutine の方も Windows 2000で使えましたっけ?
  • すずきさん(2009/02/22 21:52)
    >黒翼猫さん
    こんばんは。Windows 2000 でも使えますよ。
    MSDN の IoSetCompletionRoutineEx の説明は、
    http://msdn.microsoft.com/en-us/library/ms801477.aspx
    にあります。
    IoSetCompletionRoutineEx の説明
    http://msdn.microsoft.com/en-us/library/ms801214.aspx
    と違って versions の項がありませんので、2000 でも問題ないと思います。

    MS のテクニカルサポートでも、
    http://support.microsoft.com/kb/262305/ja
    のサンプルで使用していまして、
    対象製品に Microsoft Windows 2000 Professional が挙げられています。
open/close この記事にコメントする



2007年2月2日

卒論生を眺める

卒論生達が大変そうだったので何か手伝おうと思ったのですが、スーパーバイザーたるいけじやhdk氏がいるし、特に仕事はなさそうでした。

ドコモのプログラムを進めてみたら結構めんどくさいことがわかってしまって、徹夜の作業になりました。これがミーティングの直前だったらやばかったなあ。今気づいて良かったか…。

出来たところメモ。fp-treeもどきの構築/解放、ファイルからの読み込み/保存、それとスタックリストの読み込みです。

編集者:すずき(2007/02/04 02:23)

コメント一覧

  • コメントはありません。
open/close この記事にコメントする



link もっと前
2007年2月15日 >>> 2007年2月2日
link もっと後

管理用メニュー

link 記事を新規作成

<2007>
<<<02>>>
----123
45678910
11121314151617
18192021222324
25262728---

最近のコメント5件

  • link 24年10月1日
    すずきさん (10/06 03:41)
    「xrdpで十分動作しているので、Wayl...」
  • link 24年10月1日
    hdkさん (10/03 19:05)
    「GNOMEをお使いでしたら今はWayla...」
  • link 24年10月1日
    すずきさん (10/03 10:12)
    「私は逆にVNCサーバーに繋ぐ使い方をした...」
  • link 24年10月1日
    hdkさん (10/03 08:30)
    「おー、面白いですね。xrdpはすでに立ち...」
  • link 14年6月13日
    2048player...さん (09/26 01:04)
    「最後に、この式を出すのに紙4枚(A4)も...」

最近の記事3件

  • link 24年10月31日
    すずき (11/04 15:17)
    「[DENSOの最終勤務日] 最終勤務日でした、入門カードや会社のPCを返却してきました。在籍期間はNSITEXE(品川のオフィ...」
  • link 22年7月8日
    すずき (11/02 20:34)
    「[マンガ紹介 - まとめリンク] 目次: マンガ紹介一覧が欲しくなったので作りました。5作品乙女ゲームの破滅フラグしかない悪役...」
  • link 24年10月30日
    すずき (11/02 20:33)
    「[マンガ紹介] 目次: マンガ紹介お気に入りのマンガ紹介シリーズ。最近完結した短めの作品を紹介します。マイナススキル持ち四人が...」
link もっとみる

こんてんつ

open/close wiki
open/close Linux JM
open/close Java API

過去の日記

open/close 2002年
open/close 2003年
open/close 2004年
open/close 2005年
open/close 2006年
open/close 2007年
open/close 2008年
open/close 2009年
open/close 2010年
open/close 2011年
open/close 2012年
open/close 2013年
open/close 2014年
open/close 2015年
open/close 2016年
open/close 2017年
open/close 2018年
open/close 2019年
open/close 2020年
open/close 2021年
open/close 2022年
open/close 2023年
open/close 2024年
open/close 過去日記について

その他の情報

open/close アクセス統計
open/close サーバ一覧
open/close サイトの情報

合計:  counter total
本日:  counter today

link About www2.katsuster.net
RDFファイル RSS 1.0

最終更新: 11/04 15:17