Что такое soft ice
Soft ICE
SoftICE — отладчик (дебаггер) режима ядра для Microsoft Windows. [1] Программа разработана для управления процессами на низком уровне Windows, причем таким образом, чтобы операционная система не распознавала работу отладчика. В отличие от прикладного отладчика, SoftICE способен приостановить все операции в Windows, что очень важно для отладки драйверов.
SoftICE был первоначально разработан компанией NuMega, которая включала его в пакет программ для быстрой разработки высокопроизводительных драйверов под названием Driver Studio, который впоследствии был приобретён Compuware.
Microsoft предлагает два отладчика режима ядра: WinDbg и KD. Однако, в отличие от SoftICE, полностью реализовать возможности WinDbg и KD можно только с двумя компьютерами.
Часть названия «ICE» является намёком на аббревиатуру от in-circuit emulator.
SoftICE очень популярен как инструмент взлома программного обеспечения.
Содержание
История
Оригинальный Soft-ICE для DOS был написан в 1987 году основателями NuMega: Франком Гроссманом и Джимом Москуном. Программа, написанная на 386 ассемблере, играла роль операционной системы и управляла программным обеспечением в режиме виртуального 8086 процессора. Она продавалась за 386 долларов.
Более новые версии SoftICE могут глубоко внедряться в Microsoft Windows. Даже старые версии SoftICE редко совместимы с новыми версиями Windows.
SoftICE поставлялся в составе NuMega DriverStudio, затем в составе Compuware DriverStudio.
С третьего апреля 2006 года, продажа продуктов семейства DriverStudio было прекращено из-за «множества технических и деловых проблем, а также общего состояния рынка». Поддержка завершилась 31 марта 2007.
Примечания
Ссылки
См. также
Полезное
Смотреть что такое «Soft ICE» в других словарях:
Soft-ice — SoftICE Отладка драйвера Тип отладчик уровня ядра Разработчик NuMega, Compuware ОС Windows Версия 4.2.7 … Википедия
soft ice — мягкое мороженое ice cand мороженое ice candy мороженое ice cream мороженое ice milk молочное мороженое apple ice яблочное мороженое … English-Russian travelling dictionary
Soft ice — Blød, halvfrossen iscreme … Danske encyklopædi
soft ice cream — noun dessert resembling ice cream but with a boiled custard base • Syn: ↑frozen custard • Hypernyms: ↑frozen dessert … Useful english dictionary
Ice fishing — is the activity of catching fish with lines and fish hooks or spears through an opening in the ice on a frozen body of water. Ice anglers may sit on the stool in the open on a frozen lake, or in a heated cabin on the ice, some with bunks and… … Wikipedia
Soft serve — A soft serve strawberry ice cream cone. Soft serve is a term used to describe a type of ice cream that is softer than regular ice cream and that has been sold commecially since the late 1930s.[1] Contents … Wikipedia
Ice cream — For other uses, see Ice cream (disambiguation). Ice cream or gelato in Rome, Italy … Wikipedia
soft drink — a beverage that is not alcoholic or intoxicating and is usually carbonated, as root beer or ginger ale. [1875 80] * * * Nonalcoholic beverage, usually carbonated, consisting of water (soda water), flavouring, and a sweet syrup or artificial… … Universalium
ice — n. 1) to form, make, produce ice 2) to melt ice 3) hard; soft ice 4) cracked; crushed; dry; water ice 5) pack ice 6) ice forms; melts 7) on the ice (to slip on the ice) 8) (misc.) to break the ice ( to create a more relaxed atmosphere ); to cut… … Combinatory dictionary
Ice Climber — This article is about the video game. For the activity in general, see Ice climbing. Ice Climber North American cover for the NES version Developer(s) Nintendo R D1 … Wikipedia
Softice
SoftICE — отладчик (дебаггер) режима ядра для Microsoft Windows. [1] Программа разработана для управления процессами на низком уровне Windows, причем таким образом, чтобы операционная система не распознавала работу отладчика. В отличие от прикладного отладчика, SoftICE способен приостановить все операции в Windows, что очень важно для отладки драйверов.
SoftICE был первоначально разработан компанией NuMega, которая включала его в пакет программ для быстрой разработки высокопроизводительных драйверов под названием Driver Studio, который впоследствии был приобретён Compuware.
Microsoft предлагает два отладчика режима ядра: WinDbg и KD. Однако, в отличие от SoftICE, полностью реализовать возможности WinDbg и KD можно только с двумя компьютерами.
Часть названия «ICE» является намёком на аббревиатуру от in-circuit emulator.
SoftICE очень популярен как инструмент взлома программного обеспечения.
Содержание
История
Оригинальный Soft-ICE для DOS был написан в 1987 году основателями NuMega: Франком Гроссманом и Джимом Москуном. Программа, написанная на 386 ассемблере, играла роль операционной системы и управляла программным обеспечением в режиме виртуального 8086 процессора. Она продавалась за 386 долларов.
Более новые версии SoftICE могут глубоко внедряться в Microsoft Windows. Даже старые версии SoftICE редко совместимы с новыми версиями Windows.
SoftICE поставлялся в составе NuMega DriverStudio, затем в составе Compuware DriverStudio.
С третьего апреля 2006 года, продажа продуктов семейства DriverStudio было прекращено из-за «множества технических и деловых проблем, а также общего состояния рынка». Поддержка завершилась 31 марта 2007.
Примечания
Ссылки
См. также
Полезное
Смотреть что такое «Softice» в других словарях:
SoftICE — Отладка драйвера Тип отладчик уровня ядра Разработчик NuMega, Compuware … Википедия
SoftICE — is a kernel mode debugger for Microsoft Windows. Crucially, it is designed to run underneath Windows such that the operating system is unaware of its presence. Unlike an application debugger, SoftICE is capable of suspending all operations in… … Wikipedia
SoftICE — Desarrollador NuMega Información general Diseñador Frank Grossman / Jim Moskun Género Depurador … Wikipedia Español
SoftICE — est un débogueur en mode noyau pour Microsoft Windows. Les anciennes versions existent pour DOS et les systèmes d exploitation compatibles. SoftICE a été produit à l origine en 1987 par une société appelée NuMega, et a été plus tard acquis par… … Wikipédia en Français
SoftICE — программа декомпилиляции бинарных файлов (*.exe, *.dll и т.п.). Одна из наиболее популярных в хакерской среде. Производство компании NuMega. Для поиска на ftp: siw325w98.zip версия 3.25 См. тж. IDA … Hacker’s dictionary
Soft-ice — SoftICE Отладка драйвера Тип отладчик уровня ядра Разработчик NuMega, Compuware ОС Windows Версия 4.2.7 … Википедия
Soft ICE — SoftICE Отладка драйвера Тип отладчик уровня ядра Разработчик NuMega, Compuware ОС Windows Версия 4.2.7 … Википедия
Отладчик ядра — Отладчик ядра программное обеспечение, работающее на уровне ядра операционной системы и позволяющее отлаживать ядро и его компоненты. Содержание 1 Применение 2 Основные принципы функционирования … Википедия
Nu-Mega Technologies — NuMega Technologies (or NuMega) was a software company founded in 1987 by Frank Grossman and Jim Moskun in Nashua, New Hampshire, USA. The company developed Kernel mode debugger, now SoftICE, for DOS and the Windows NT family.[1] Mark Russinovich … Wikipedia
Soft-ice
SoftICE — отладчик (дебаггер) режима ядра для Microsoft Windows. [1] Программа разработана для управления процессами на низком уровне Windows, причем таким образом, чтобы операционная система не распознавала работу отладчика. В отличие от прикладного отладчика, SoftICE способен приостановить все операции в Windows, что очень важно для отладки драйверов.
SoftICE был первоначально разработан компанией NuMega, которая включала его в пакет программ для быстрой разработки высокопроизводительных драйверов под названием Driver Studio, который впоследствии был приобретён Compuware.
Microsoft предлагает два отладчика режима ядра: WinDbg и KD. Однако, в отличие от SoftICE, полностью реализовать возможности WinDbg и KD можно только с двумя компьютерами.
Часть названия «ICE» является намёком на аббревиатуру от in-circuit emulator.
SoftICE очень популярен как инструмент взлома программного обеспечения.
Содержание
История
Оригинальный Soft-ICE для DOS был написан в 1987 году основателями NuMega: Франком Гроссманом и Джимом Москуном. Программа, написанная на 386 ассемблере, играла роль операционной системы и управляла программным обеспечением в режиме виртуального 8086 процессора. Она продавалась за 386 долларов.
Более новые версии SoftICE могут глубоко внедряться в Microsoft Windows. Даже старые версии SoftICE редко совместимы с новыми версиями Windows.
SoftICE поставлялся в составе NuMega DriverStudio, затем в составе Compuware DriverStudio.
С третьего апреля 2006 года, продажа продуктов семейства DriverStudio было прекращено из-за «множества технических и деловых проблем, а также общего состояния рынка». Поддержка завершилась 31 марта 2007.
Примечания
Ссылки
См. также
Полезное
Смотреть что такое «Soft-ice» в других словарях:
Soft ICE — SoftICE Отладка драйвера Тип отладчик уровня ядра Разработчик NuMega, Compuware ОС Windows Версия 4.2.7 … Википедия
soft ice — мягкое мороженое ice cand мороженое ice candy мороженое ice cream мороженое ice milk молочное мороженое apple ice яблочное мороженое … English-Russian travelling dictionary
Soft ice — Blød, halvfrossen iscreme … Danske encyklopædi
soft ice cream — noun dessert resembling ice cream but with a boiled custard base • Syn: ↑frozen custard • Hypernyms: ↑frozen dessert … Useful english dictionary
Ice fishing — is the activity of catching fish with lines and fish hooks or spears through an opening in the ice on a frozen body of water. Ice anglers may sit on the stool in the open on a frozen lake, or in a heated cabin on the ice, some with bunks and… … Wikipedia
Soft serve — A soft serve strawberry ice cream cone. Soft serve is a term used to describe a type of ice cream that is softer than regular ice cream and that has been sold commecially since the late 1930s.[1] Contents … Wikipedia
Ice cream — For other uses, see Ice cream (disambiguation). Ice cream or gelato in Rome, Italy … Wikipedia
soft drink — a beverage that is not alcoholic or intoxicating and is usually carbonated, as root beer or ginger ale. [1875 80] * * * Nonalcoholic beverage, usually carbonated, consisting of water (soda water), flavouring, and a sweet syrup or artificial… … Universalium
ice — n. 1) to form, make, produce ice 2) to melt ice 3) hard; soft ice 4) cracked; crushed; dry; water ice 5) pack ice 6) ice forms; melts 7) on the ice (to slip on the ice) 8) (misc.) to break the ice ( to create a more relaxed atmosphere ); to cut… … Combinatory dictionary
Ice Climber — This article is about the video game. For the activity in general, see Ice climbing. Ice Climber North American cover for the NES version Developer(s) Nintendo R D1 … Wikipedia
SoftICE
SoftICE — отладчик (дебаггер) режима ядра для Microsoft Windows. [1] Программа разработана для управления процессами на низком уровне Windows, причем таким образом, чтобы операционная система не распознавала работу отладчика. В отличие от прикладного отладчика, SoftICE способен приостановить все операции в Windows, что очень важно для отладки драйверов.
SoftICE был первоначально разработан компанией NuMega, которая включала его в пакет программ для быстрой разработки высокопроизводительных драйверов под названием «Driver Studio», который впоследствии был приобретён Compuware.
Microsoft предлагает два отладчика режима ядра: WinDbg и KD. Однако, в отличие от SoftICE, полностью реализовать возможности WinDbg и KD можно только с двумя связанными линком (кабелем) компьютерами. Следовательно, SoftICE является исключительно полезным инструментом для трудных проблем в разработке драйверов. Последняя версия была выпущена для Windows XP.
Часть названия «ICE» является намёком на аббревиатуру от in-circuit emulator.
SoftICE очень популярен как инструмент для взлома программного обеспечения.
Содержание
История
SoftICE/W (for Windows) для ОС Windows был разработан в 1990-х годах и сыграл важную роль в написании книги «Undocumented Windows» [2] Эндрю Чулмана (en:Andrew Schulman), Девида Максли (en:David Maxey) и Метта Питрека (en:Matt Pietrek). SoftIce/W базировался на раннем малоизвеcтном продукте SoftICE for Netware, работающем в защищённом режиме на 32-х битных процессорах. Одним из улучшений SoftIce/W была возможность работы на одной машине. В то время для отладки с помощью средств Microsoft требовалось соединить две машины с помощью последовательного порта.
NuMega выпускала SoftIce в составе пакета для разработки драйверов, который назывался «NuMega DriverStudio».
Основными разработчиками SoftICE были Дом Бэзил (en:Dom Basile, ‘Mr. SoftICE’), Том Гьюнтер (en:Tom Guinther, en:Kitchen Sink, символьный движок), Джеральд Райкман (en:Gerald Ryckman, видео драйвер и en:Kitchen Sink), Рей Хсу (Ray Hsu, видео драйвер для Windows 95) и Ден Бебкок (en:Dan Babcock, SoftICE/NT 3.1/3.5: универсальный видео драйвер, символьный движок), а также несколько разработчиков NuMega, включая Френка Гроссмана (en:Frank Grossman), Джима Москана (en:Jim Moskun) и Метта Питрека (en:Matt Pietrek).
В 1995 году код SoftICE/95 был портирован на платформу Windows NT.
В 1997 году компания en:Compuware поглотила NuMega и переименовала пакет в «Compuware DriverStudio».
SoftIce использовала недокументированные низкоуровневые возможности Microsoft Windows, поэтому редко работала на новых версиях Windows.
Последняя версия «Compuware DriverStudio» была выпущена для ОС Windows XP.
В 2009 году Compuware продала исходный код и патенты компании Micro Focus. В настоящее время Micro Focus не поддерживает продукт «по различным техническим и коммерческим причинам».
Жизнь после Soft-Ice
Содержание статьи
Ранние версии WinDbg‘а от Microsoft не пользовались у хакеров большой популярностью и все дружно налегали на Soft-Ice, но теперь, когда поддержка последнего прекращена и он обречен на медленное, но неотвратимое умирание, возникает вопрос: как дальше жить и чем ломать? Тем временем WinDbg сильно повзрослел, и хотя он и отстой, но по целому ряду характеристик он обгоняет Soft-Ice. Сейчас я покажу, как использовать WinDbg в качестве API- и RPC-шпиона.
API- и RPC-шпионы входят в активный инструментарий хакера. Эти орудия борьбы должны быть всегда остро заточены и стоять наготове к десантированию в тыл врага для сбора информации о вызываемых функциях. Зная, какие функции (и с какими аргументами) вызывает защита, мы можем ставить точки останова, всплывая отладчиком в непосредственной близости от штаб-квартиры врага. Если же этой информации у нас нет, точки останова приходится вставить вслепую, гадая, какой именно API-функцией воспользовалась программа. В частности, одних только функций для чтения текущей даты (необходимой защите для определения периода истечения триала) существует с полдесятка, и без шпиона нет никакой возможности
угадать, какой именно из них воспользовался разработчик.
То же самое относится и к RPC-вызовам (Remote Procedure Calls), своеобразному фундаменту множества служб, к числу которых принадлежит Служба печати, да и, естественно, не только она одна.
В общем, без шпионов ломать становится совсем хреново. Но Soft-Ice не предоставляет таких возможностей, и приходится использовать сторонние средства, большинство из которых способны шпионить только за честными программами. К тому же, неудобно каждый раз выходить из отладчика, чтобы запустить очередную утилу. Намного комфортнее держать весь хакерский арсенал в одном месте. И этим местом постепенно становиться Microsoft Windows Debugger, поддерживающий множество полезных расширений на все случаи жизни и, естественно, позволяющий писать нужные нам расширения самостоятельно.
Преодолевая стойкое убеждение перед продукцией Microsoft, все же скачаем этого зверя и посмотрим, на что он способен.
Первое знакомство с WinDbg
Microsoft Windows Debugger (далее по тексту просто WinDeb) входит в состав множества продуктов: Platform SDK, DDK, WDF, а также поставляется вместе с самостоятельным пакетом «Debugging Tools for Windows», занимающим чуть больше 15 Мб. Причем версия WinDeb из комплекта «Debugging Tools for Windows» обычно самая свежая и содержит наибольшее количество всяких полезных расширений. Скачать ее можно с www.microsoft.com/whdc/devtools/debugging (32-битная и 64-битная версии). Microsoft устроила бесплатную раздачу, не требуя даже проверки подлинности копии Windows. По крайней мере, пока. В любом случае, этот пакет валяется на многих сайтах, но далеко не всегда первой свежести.
Много полезной информации содержится в справочном файле debugger.chm, который полезно прочитать до запуска отладчика, чтобы не задавать на форумах глупых вопросов и не ломиться в открытые двери. Возможности WinDbg намного шире, чем это кажется на первый взгляд, просто до них через меню и прочие интерфейсные штучки не добраться!
Модули расширения для WinDbg, предназначенные для Windows 2000
Содержимое папки C:\Program Files\Debugging Tools for Windows\w2kfre
Назначение большинства модулей можно определить по их названию или, на худой конец, загрузить непонятный модуль в отладчик и вызывать его хелп. Чуть позже мы покажем, как это делается, а пока заглянем в каталог winxp, хранящий расширения, специфичные для Windows XP:
Модули расширения для WinDbg, предназначенные для Windows XP
Содержимое папки C:\Program Files\Debugging Tools for Windows\winxp
Как видно, набор расширений для XP намного богаче, но я все равно не изменю своей любимой Windows 2000, под которой сидел, сижу и буду сидеть, а когда же она окончательно одряхлеет, мигрирую на FreeBSD, тем более что расширения, ответственные за шпионов, хранятся в каталоге winext, общем для всех систем.
Модули расширения для WinDbg, предназначенные для осей всех типов
Содержимое папки C:\Program Files\Debugging Tools for Windows\winext
Техника API-шпионажа
В состав Platform SDK изначально входило какое-то подобие API-шпиона (точнее, пародия на API-шпиона), расположенное в \Microsoft Platform SDK\Bin\WinNT\Apimon.Exe, однако оно выдавало только общую статистку по API-вызовам без учета их хронологии и постоянно падало при попытке загрузить в него что-то более сложное, чем notepad. Короче, для взлома Apimon.exe не годился. Однозначно!
Посмотрим на WinDbg, что же в нем изменилось? Забегая вперед, скажем: абсолютно все! Microsoft предоставила нам сложный и могущественный инструмент, способный решать широкий круг задач и противостоять различным антиотладочным приемам, которыми понапичканы современные защитные механизмами.
Неверное определение точки входа при загрузке исполняемого файла в WinDbg
Отладчик послушно загружает файл, отображая все динамические библиотеки, перечисленные в таблице импорта, показывает содержимое регистров и устанавливает точку останова в EntryPoint. На самом деле, это мы думаем, что отладчик устанавливает точку останова в EntryPoint, а в действительности все обстоит не так! Судя по адресу 77F9193Ch, лежащему глубоко внутри NTDLL.DLL, это не совсем EntryPoint, точнее, совсем не EntryPoint, а native-API-функция DbgBreakPoint, которую можно трассировать до конца света, но так ни к чему и не прийти. Приходится выкручиваться и применять всякие недетские извращения (впрочем, для хакеров они вполне типичны).
Ручная установка бряка на истинную точку входа
Команда u позволит дизассемблировать остальные команды, следующие за ней, помогая убедиться, что мы действительно находимся там, где нужно:
Дизассемблирование окрестностей точки входа
Просмотр категорий API-функций
Просмотр имен API-функций, входящих в категорию MemoryManagementFunctions
Просмотр списка динамических библиотек, за которыми осуществляется шпионаж
Категорический отказ отладчика шпионить за KERNEL32.DLL
На самом деле, стоит только нажать «F5», как в логе (параллельно выводимом на экран и в файл) появятся перехваченные имена API-функций, принадлежащих KERNEL32.DLL:
Фрагмент шпионского протокола, содержащего всю необходимую нам инфу
В наше распоряжение попадают номера потоков (thrd), адреса вызова API-функций вместе с передаваемыми ими аргументами. По приведенному выше фрагменту лога видно, что, вызвав функцию GetProcAddress(NULL «RegisterPenApp») по адресу 010029BDh, блокнот погрузился в пучину системных библиотек, лежащих далеко за пределами принадлежащей ему области адресов. Но это не главное. Главное то, что шпион от Microsoft работает и успешно шпионит, практически ни в чем не уступая большинству своих конкурентов, а кое в чем их даже и обгоняя!
Техника RPC-шпионажа
Ключи же настолько обширны, что требуют для своего описания целой статьи. Но в большинстве случаев встроенного хелпа вполне достаточно!
Заключение
Полную версию статьи и дополнительные материалы на диске ты можешь найти в февральском номере Хакера!