Wagner Drachinski

Boa tarde Percebi algumas falhas aí na minha colocação acima! Mas entendi o que você passou como início. Muito obrigado pelas dicas! Vlw Otávio!

Opa, boa noite Otávio. Tudo certo? Desculpa a demora para responder aí! Beleza, vou dar uma olhada no OpenProcess e como ele se comunica com o NtOpenProcess. Essa passo a passo pode ser feito pelo WinDbg? Quanto a essa parte de recursos controlados e escassos, está ligado a que tudo precisa ser solicitado ao modo kernel, a aí sim, ele que faz a parada de verdade. Na verdade, pelo o que eu já percebi, não é nem o kernel na verdade, pois o kernel passa para o driver e o driver passa para o HAL e daí o HAL é que faz o que precisa ser feito e depois avisa o kernel que está pronto. É mais ou menos isso? Então, quanto aos processos e threads, eu estava vendo (estava pq o curso acabou o prazo grátis e agora eu tenho que esperar para comprar.....rsrsrs) é que o processo é um objeto do kernel que dá recursos para as threads poderem executar. Aí o processo em kernel modo é dividido em EPROCESS (executivo) e KPROCESS (kernel) e se não me engano o EPROCESS contém o KPROCESS. O mesmo processo acontece com o ETHREAD e KTHREAD. Só que cada um contém informações diferentes. Aí depois que toda essa parada rola, o subsistema de ambiente Windows (csrss.exe) é avisado de que o processo e thread do lado kernel está pronto, aí ele pode criar as suas informações no lado cliente. Acho que é mais ou menos isso também? Cara, se eu estiver falando besteira, dá um grito aí que daí eu já apago tudo aí!! kkkkk Aí quanto ao processo conversar com outro é por IPC. Aí uma parada que eu não entendi, pipe nomeado, fila de mensagem e memória compartilhadas são formas de IPC? (foi mal se a pergunta é muito básica) Então, se eu estiver no caminho do entendimento das coisas aí, eu ainda não consegui olhar com o olhos de um atacante ainda, pois eu estou pegando os conceitos ainda e vendo como o Windows funciona certinnho, tipo, como inicia um processo, ou como termina o processo. Mas ainda não estou conseguindo ter um olhar de atacante. Na verdade, só tipo tendo umas ideias, tipo, aqui provavelmente pode ser que dá pra fazer algo, aqui também. Tipo, eu estava vendo sobre o Windows Graphics (win32k.sys) e que ele é acessado direito pelo modo usuário, sem passar pelo executivo. Aí deve da pra fazer alguma coisa. Fui dar uma pesquisada e tem uma falha recente no GDI aí. Também estou estudando o protocolo SMB para entender como ele funciona. Então, tudo isso é da hora mesmo cara, tipo, tu ver as coisas acontecendo e você ver que está entendo tudo. Cara, se eu estiver no caminho dá um toque aí. Outra coisa, tu me permite ir estudando e te perguntando quando surgir dúvidas? Obrigado novamente Otávio!

Boa noite Otávio. Tudo certo? Cara, primeiramente, muito obrigado pelo retorno. Então, eu vi que ele entende da parte interna do Windows pra caramba, por isso que eu estou focando nas aulas dele. Ter uma base forte do Windows. O cara é top mesmo! Quanto a sua dica, obrigado! Vou começar por aí mesmo! Começar pelo ntdll.dll de cara é uma boa? Tipo debugando ele com o Windbg ou desassemblando ele? Quanto tu diz injetor de código de dll, desculpa a pergunta, mas com qual finalidade? Tipo já injetar dll mesmo e estudar o que acontece? Obrigado Otávio.

Bom dia Otavio. Primeiramente, parabéns pela apresentação, foi show de bola. Eu estou estudando o Windows Internal com o livro e o curso do Pavel Yosifovich. O que tu podes indicar para começar a entender melhor e poder buscar falhas? Agradeço desde já.

.