Форум 'Низкоуровневое программирование' на RSDN.RU

Ram disk.

Mon, 21 May 2012 19:49:10 GMT

Есть большой файл в специальном сжатом формате. Нужно сделать на основе этого файла рамдиск, тк формат достаточно сложный и плюс многопоточный необходимо весь функционал оставить в юзер моде. Есть ли типовые решения данной задачи. Т.е. написать драйвер рам диска, который будит делать запросы к юзерскому коду. Вопросы следующие: где лучше организовать юзерский код? В сервисе? Как лучше сделать общение между драйвером и юзер моде? При стандартной схеме передачи данных ring3->ring0->ring3 будит несколкьо копирований.

Поиск шестнадцатеричных чисел в файле по шаблону

Mon, 21 May 2012 19:10:18 GMT

Кто-нибудь видел утилиту, умеющую искать шестнадцатеричные шаблоны в файле?

Например, "b? 37 16 ?? 5e". Или через RegEx.

Можно, конечно, преобразовывать каждый файл в текстовую форму и искать обычными средствами, но для поиска в куче из нескольких сотен файлов это сильно неудобно.

... << RSDN@Home 1.1.4 stable SR1 rev. 568>>

хочется перехватить файловый поток на запись

Thu, 17 May 2012 13:56:09 GMT

и в итоге написать модифицированную (более компактную версий) ткните меня в подобный код pleasse.

Хардварная эмуляция HID

Thu, 17 May 2012 07:38:20 GMT

Вопрос к USB-гуру.

Вводные.
Задача: разработать эмулятор HID под винду (мышка и клава), который невозможно обнаружить анализом установленного софта. Т.е. никаких фильтров и проч, эмулятор должен представлять собой хардварный black box с USB шнуриком, определяться виндой как православный HID-девайс. Входные данные на эмулятор должны поступать по TCP-сокету (то есть, пользователь эмулятора пишет в сокет данные о перемещении мыши/нажатиях клавиш, эмулятор эти данные передаёт по USB на целевой комп, где они воспринимаются как реальные данные от мышки/клавы).
Бюджет не особо ограничен. Время разработки сильно ограничено, скиллы для программирования AVR-ов и т.д. уже утеряны, поэтому вижу такой вариант решения задачи:
берем бюджетный неттоп, libusb-win, находим или паяем подходящий бридж-кабель, соединяем неттоп и цетевой комп, и просто со стороны неттопа эмулируем работу нужного HID устройства, и на нём же делаем TCP-серверок, который будет получать данные о "нажатиях клавиш" и "движениях мыши".

Вопрос(ы).
Будет ли данная схема работать?
Если да, то может есть какая-нибудь альтернативная схема с меньшими затратами или более быстрой разработкой?
Если нет, то предложите рабочую схему.

Открытие дескриптора устройства в Vista+ (CreateFile)

Wed, 16 May 2012 12:41:14 GMT

Добрый день.
Наверное, я запутался или действительно-это сложно...не смог найти решения.

Собственно, есть WDM-драйвер, обслуживающий PCI-устройство.
Windows 7 (x86), UAC работает.
Пользовательское приложение обращается к драйверу через дескриптор, получаемый через CreateFile.

Для Windows 7 (x86) все работает под учетной записью Администратор при повышении уровня прав, что соответствует вот этому
"This has changed on Vista, Windows 7 (UAC) where you MUST have administrator rights to obtain device handles"
http://msdn.microsoft.com/en-us/library/windows/desktop/aa363216(v=vs.85).aspx

Правда, не удалось подтвердить вот это высказывание (по вышеуказанной ссылке )
"You can still open a device handle using FILE_READ_ATTRIBUTES without administrative rights"
При любом значении флага DesiredAccess для не-административных прав у меня GetLastError == 5 (Access is denied)

Собственно, вопрос:
— как получить дескриптор устройства для Приложения, которое запускается под учетной записью, не имеющей административных прав, не отображая
диалог UAC по вводу пароля Администратора? UAC должен остаться включенным,текущий уровень прав — уровень Пользователь, доступ к профилю Администраторе есть.

Или, даже — вот так: нужно запустить Пользовательское приложение в указанных условиях для уровня прав-Пользователь (может, и для хождения IOCTL нужны
особые права?!?)

PS: В тех.форумах Microsoft рекомендуют посмотреть в сторону:
-Windows Service Applications
-COM Elevation Moniker
-Application Manifest (UAC)
но я не могу сообразить — как это может мне помочь: пробовал Manifest, но там можно лишь указать требуемый уровень доступа, UAC все равно "всплывает"

http://social.msdn.microsoft.com/Forums/zh/windowsgeneraldevelopmentissues/thread/9b7615b1-e0a9-4188-82c5-06073f21d5e9

PPS: Наверное, вопрос не совсем по теме "Низкоуровневое программирование", но для меня он показался более правильным в этой теме, если что.

попытка принудительного закрытия файлов

Sat, 12 May 2012 10:53:25 GMT

По мотивам этого топика
Проблема так и не решена, после закрытия всех хендлов, fileobj продолжает использоваться системой (похоже для целей кеширования). Единственное более-менее работающее рещение — это эксклюзивное открытие тома и последующее его закрытие. Но тут есть свои проблемы, основная из них — это можно сделать только из kernel-mode, а хотелось бы иметь аналогичный функционал в user-mode для сервиса (под system). Или может есть альтернативные методы ?
Спасибо

Что такое \Device\Ide?

Sat, 12 May 2012 09:48:58 GMT

Как узнать, что такое \Device\Ide?
Чем нибудь подключиться и пообщаться?
Что такое \Device\Ide\IdePortХ где Х = 0 или 1 или 2 или 3
ОС Windows 2003 srv.

Как определить время подключения PnP устройства (конкретно USB HID).

Thu, 10 May 2012 03:48:22 GMT

Добрый день.
Как можно получить информацию о времени (моменте) подключения USB HID устройства?

как wdf драйвером инициализировать несколько одинаковых ус-в

Sun, 06 May 2012 12:34:15 GMT

Здравствуйте, столкнулся с такой проблемой. Надо два абсолютно одинаковых ус-ва инициализировать одним драйвером.
Раньше, когда было одно ус-во, всё делал как в примере RamDisk
#define NT_DEVICE_NAME L"\\Device\\Ramdisk"
#define DOS_DEVICE_NAME L"\\DosDevices\\"

NTSTATUS RamDiskEvtDeviceAdd(...){
...
DECLARE_CONST_UNICODE_STRING(ntDeviceName, NT_DEVICE_NAME);
status = WdfDeviceInitAssignName(DeviceInit, &ntDeviceName);
if (!NT_SUCCESS(status)) {
return status;
}
...
}

я представляю это так — к имени ус-ва будет добавлен индекс: Ramdisk0, Ramdisk1.
индеск — глобальную переменную нет проблем создать, но
т.к. это wdf, то нельзя делать в addDevice никаких циклов с увеличением этого индекса, ос должна сама вызывать addDevice с разными именами.
Но как это реализовать не понимаю.
Подскажите пожалуйста.
Спасибо.

Вопрос на тестовом задании

Fri, 04 May 2012 23:04:47 GMT

Прошу подсказать плз. — в одной интересной конторке на тестовом заданиии задали такой вот вопрос

Suppose you are given a task to write a simple debugger (for a proprietary operating system) that is capable of setting a break-point in an application and running it. What would be key design decisions you make in such a task?

Я честно говоря в сильном затруднении видимо просто не знаю сепецифику чего то — я понимаю надо писать кернел модуль, который "захватывает" другой процесс вмешивается в его код, INT 3 и все такое — теорию я более менее знаю но мне кажется что тут ключ в том что система proprietary — в чем тут может быть тот самый кей дизайн.

05.05.12 21:59: Перенесено модератором из 'C/C++. Прикладные вопросы' — Кодт

шифрующие legacy-фильтры

Thu, 03 May 2012 12:18:46 GMT

Привет, всем читающим тему!

Коллеги, поделитесь, пожалуйста, опытом написания шифрующего legacy-фильтра. Конкретно интересует то, как реализовывалась работа (чтение данных) с memory mapped файлами. Проблема в том, что в своем фильтре я не вижу запросов на чтение данных из зашифрованного файла. Тестовое приложение, маппирующее файл и выводящее его содержимое на экран, выводит истинное содержимое — нерасшифрованное, хотя по логике должно выводить расшифрованное содержимое. С мини-фильтрами пока завязываться не хочу, поэтому советы по переходу на них лучше не давать. Отмечу, что FastIo не поддерживаю — возвращаю FALSE везде. Я уже писал по этому поводу сообщение сюда на форум, были разные мысли-предложения, но ничего не помогло. Вопрос мой можно сформулировать так:
что необходимо и достаточно учесть в реализации шифрующего фильтр-драйвера, чтобы корректно работать с memory-mapped файлами?

Заранее спасибо.

Сделать за минимальное число операций

Sat, 28 Apr 2012 03:20:41 GMT

Добрый день, как сделать быстро такое:

x != 0 -> x = 1, т.е. получить признак ненулёвости регистра/переменной в виде единицы в регистре/переменной.
Чем меньше шагов, тем лучше Может как-нить шифтом влево через переполнение?...

Подсунуть список файлов для виртуального диска

Thu, 26 Apr 2012 21:11:07 GMT

Всем привет, возникла необходимость в создании виртуального диска с контентом не с образа, а имея дерево файлов. Возможно ли без извратов с генерацией данных файловой системы подсказать ОС какие файлы где лежат. Варианты и хуками функций не подходят. Что-то мне подсказывает что фильтр для ФС должен помочь, но с ними никогда не работал.

Исполнение кода в стэке.

Thu, 26 Apr 2012 14:21:38 GMT

Приветствую.

Есть платформа WIN32. Как выяснилось, можно в стэк загрузить исполняемый код,пригнуть,вызвать его и всё будет ОК.
А теперь вопросы:
1. Какого черта? Кто-же такой умный так сделал? Кому ручки оборвать за "наше счастливое детство"?
2. И всё-таки непонятно почему оно работает.
Sysinternals VMMAP говорить что стек под защитой Read/Write/Commit.
VirtualQuery говорит то же самое.
Так почему я не получаю исключение неправильного доступа к паямти?
3. Я пробовал на Win XP x32. Остались ли так на 2K3, Vista/7/8/2K8? Как оно ведет себя на x64?

Спасибо

Что-то типа снифера для драйверов под Win

Wed, 25 Apr 2012 15:28:40 GMT

Всем привет!

Подскажите пожалуйста, нет ли в природе какой-нить утили для "мониторинга" обмена между софтом и драйвером?
А может ещё подскажете способ как можно проследить диалог драйвера и устройства?

ЗЫ. Речь идёт о TV/FM/DVB Tuner PCIx

Есть ли патчи для Win, отучающие ее требовать подписи?

Tue, 24 Apr 2012 10:55:10 GMT

Вообще есть ли в дикой природе и чтобы легко найти было такие патчи/кряки, которые отучили бы 64-битные версии виндов от проверок цифровых подписей драйверов или лучше, чтобы она любые подписи стала считать валидными. Нужно, чтобы не морочить голову и не имея сертификата от Verisign или еще кого, на своей машине ставить свои драйвера не в тестовом режиме или не в режиме специальной загрузки. Да я понимаю, что MS EULA это противоречит, но мне как-то посрать на нее, мой комп, что хочу то и делаю К тому же студенту никто сертификат не даст, как я понимаю.

Идеально было бы ссылку на такое подкинуть, но если это правилам форума противоречит, хотя бы просто просветить можно ли найти или не стоит тратить время.

NTFS - одинаковые аттрибуты

Mon, 23 Apr 2012 19:19:58 GMT

В одном файле NTFS может быть несколько $FILE_NAME аттрибутов (жесткие ссылки), которые имеют одинаковые тип ($FILE_NAME) и имя (безымянны).
Вопрос: могут ли другие аттрибуты тоже быть в множественном числе и иметь одинаковый тип и имя? Если да, то какие?

Анализатор файлов YARA

Sun, 22 Apr 2012 09:01:53 GMT

Всем привет!

Не знаю, в эту ли ветку пишу... Перенесите, если что.
Набрел тут на разработку с открытым кодом YARA (C, Python) для помощи, по словам создателей, в исследовании малварей.
Имеет свой, довольно гибкий, язык описания сигнатур (шаблонов).
Вот оттуда:

/*
   YARA is a tool aimed at helping malware researchers to identify and classify malware samples. 
   With YARA you can create descriptions of malware families based on textual or binary patterns contained on 
   samples of those families. Each description consists of a set of strings and a Boolean expression
   which determines its logic. Let's see an example:
*/

rule silent_banker : banker
{
    meta:                                        
        description = "This is just an example"
        thread_level = 3
        in_the_wild = true

    strings: 
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}  
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}

Может кому интересно будет.
Если кто еще владеет информацией о подобных открытых библиотеках, киньте ссылочки плз.

Как отловить OutOfMemory в Винде?

Sun, 22 Apr 2012 07:02:29 GMT

SystemTap — рулит. Сегодня понадобилось решить задачу — есть узлы, на которых выполняются вычислительные задачи.

Там чудовищный (до 20 раз) oversubscripton по памяти из-за того, что многие задачи резервируют память на худший возможный случай. Оно обычно работает вполне пристойно. Дополнительно, мы их с помощью cgroup разбиваем на иерархии и ведём учёт по ним.

Но при таком oversubscription'е, естественно, иногда в гости к какому-нибудь процессору приходит out-of-memory киллер. А дальше начинаются проблемы.

У нас при смерти какой-либо задачи надо её мигрировать на отдельный хост и перезапустить её и все другие задачи, которые были с ней в том же листе иерархии cgroup. Но проблема в том, что:
1) Событие OOM, вообще-то, напрямую отловить нельзя.
2) Даже если заниматься разбором логов, то в логи не выводится те cgroups, к которым принадлежал убитый процесс. Что для нас является критичным (иначе мы не знаем что перезапускать!).

Решение было найдено с помощью SystemTap:

#!/usr/bin/env stap -g
%{
#include <linux/cgroup.h>
%}

function find_mem_cgroup:string(task:long) %{  /* pure */
    struct cgroup *cgrp;
    struct task_struct *tsk = (struct task_struct *)((long)THIS->task);

    /* Initialize with an empty value */ 
    strcpy(THIS->__retvalue, "NULL");

    cgroup_lock();
    cgrp = task_cgroup(tsk, mem_cgroup_subsys_id);
    if (cgrp)
        cgroup_path(cgrp, THIS->__retvalue, MAXSTRINGLEN);
    cgroup_unlock();
%}

probe kernel.function("oom_kill_task") {
    cgroup = find_mem_cgroup($p)
    exename = kernel_string($p->comm)
    printf("pid\t%d\tmem-cgroup\t%s\texe-name\t%s\n", $p->pid, cgroup, exename)
}

Т.е. я создаю хук на функцию oom_kill_task ядра (исходники рулят!), во время которого выполняется функция find_mem_cgroup и выводит (точнее, передаёт по netlink-сокету в front-end) какой процесс только что умер и его cgroup.

Работает просто супер!

cyberax@cybnb:~/work/custer/runtools/shell$ sudo stap -g oom.stap
pid    3966    mem-cgroup    /task1/1/    exe-name    oom_generator.p

(я вообще фигею — это я динамически в runtime патчу ядро, причём ставлю хук на неэкспортируемую функцию). Прямо статью хочется написать.

А теперь вопрос — как сделать аналог в Винде? Т.е. надо как-то отлавливать OOM и диагностировать в каком дереве процессов оно случилось. Заодно, как ещё настроить overcommit?

Что с wasm?

Sat, 21 Apr 2012 10:07:10 GMT

Куда пропал wasm ? опять что ли за очередного кидалу наказывают ?