SYSENTER Сообщение 17/07/2009 18:37 Копия темы
Inmarsat-C Transceiver Password Recovery Восстановление (подбор) пароля к трансиверам Inmarsat-C производства Thrane & Thrane по COM-порту.
Т.к. Заказчик пропал и до конца не расплатился, выкладываю рабочую версию.

SYSENTER Сообщение 17/07/2009 18:13 Копия темы
Работа по протоколу Mitsubishi с частотно-регулируемыми приводами Mitsubishi Electric Динамическая библиотека witersky.dll
1. Назначение:
- Работа по протоколу Mitsubishi ПК с частотно-регулируемыми приводами Mitsubishi Electric
через RS422 интерфейс встроенного порта PU (порт подключения пульта управления);

2. Функциональность:
2.1. Телеметрия:
- мониторинг частоты на выходе инвертора;
- мониторинг тока на выходе инвертора;
- мониторинг состояния инвертора (байт – маска состояния);
- мониторинг состояния текущего вида управления (сетевой/локальный);
2.2. Управление:
- пуск, стоп, реверс, сброс инвертора;
- задание оперативной частоты на выходе инвертора;
- задание частоты в ПЗУ инвертора;

3. Применение. Библиотека экспортирует следующие функции:
3.1. InitCom – начальная инициализация com- порта
- выполнение установок и настроек, открытие порта.
Данные по номеру порта, используемым сигналам и таймаутам находятся в файле
watersky.ini, который должен находиться в Windows в одной папке с Вашей программой.
Передаваемые параметры – нет.
Возвращает TRUE в случае удачи.
3.1.1. Описание вызова для Си: BOOLEAN __stdcall InitCom(void);
3.1.2. Описание вызова для VB: Declare Function InitCom Lib "watersky.dll" () As Byte
3.2. GetInverterStatus – чтение статуса инвертора (байт-битовая маска – см. документацию).
Передаваемые параметры – номер станции инвертора (пар. 177 см. документацию).
Возвращает 0xFF в случае неудачи.
3.2.1. Описание вызова для Си: BYTE __stdcall GetInverterStatus(BYTE st_num);
3.2.2. Описание вызова для VB: Declare Function GetInverterStatus Lib "watersky.dll" (ByVal st_num As Byte) As Byte;
3.3. RunStopInverter – запуск в прямом, обратном направлении / стоп;
Передаваемые параметры – номер станции и байт-комманда (2-старт вперед,4- назад, 0 – стоп).
Возвращает TRUE в случае удачи.
3.3.1. Описание вызова для Си: BOOLEAN __stdcall RunStopInverter(BYTE st_num,BYTE run);
3.3.2. Описание вызова для VB: Declare Function RunStopInverter Lib "watersky.dll" (ByVal st_num As Byte, ByVal frun As Byte) As Byte;
3.4. GetSpeedInverter – чтение частоты в юнитах=0.01 Hz;
Передаваемые параметры – номер станции инвертора;
Возвращает 16 -бит слово = 100*Hz;
3.4.1. Описание вызова для Си: WORD __stdcall GetSpeedInverter(BYTE st_num);
3.4.2. Описание вызова для VB: Declare Function GetSpeedInverter Lib "watersky.dll" (ByVal st_num As Byte) As Integer;
3.5. GetCurrentInverter – чтение тока в юнитах=0.01A (документация врет);
Передаваемые параметры – номер станции инвертора;
Возвращает 16 -бит слово = 100*A;
3.5.1. Описание вызова для Си: WORD __stdcall GetCurrentInverter(BYTE st_num);
3.5.2. Описание вызова для VB: Declare Function GetCurrentInverter Lib "watersky.dll" (ByVal st_num As Byte) As Integer
3.6. GetControlInverter – чтение типа управления инвертором (сетевое/локальное)
Передаваемые параметры – номер станции инвертора;
Возвращает 16 -бит слово =2 – управление по сети (т.е. мы можем не только читать, но и управлять приводом).
3.6.1. Описание вызова для Си: WORD __stdcall GetControlInverter(BYTE st_num);
3.6.2. Описание вызова для VB: Declare Function GetControlInverter Lib "watersky.dll" (ByVal st_num As Byte) As Integer;
3.7. SetSpeedInverter – установка оперативной частоты;
Передаваемые параметры – номер станции инвертора, частота в юнитах по 0.01Hz;
Возвращает FALSE в случае неудачи;
3.7.1. Описание вызова для Си: BOOLEAN __stdcall SetSpeedInverter(BYTE st_num,WORD speed);
3.7.2. Описание вызова для VB: Declare Function SetSpeedInverter Lib "watersky.dll" (ByVal st_num As Byte, ByVal Speed As Integer) As Byte;
3.8. SetEPROMSpeedInverter – установка скорости в EEPROM. Все остальное – см. SetSpeedInverter;
3.9. ResetInverter – сброс и перезагрузка микропрограммы иныертора с восстановлением (см. документацию).
Передаваемые параметры – номер станции инвертора;
Ничего не возвращает т.к. инвертор будет сразу перезагружен;
3.9.1. Описание вызова для Си: void __stdcall ResetInverter(BYTE st_num)
3.9.2. Описание вызова для VB: Declare Function ResetInverter Lib "watersky.dll" (ByVal stnum As Byte);

4. Ошибки: в библиотеке контролируются все ошибки связи, ошибки протокола, соответствия ответа номеру станции и т.д.
В случае возникновения ошибки будет выведено соответствующее предупреждение, с выходом из программы.

5. Реализация: использованы NATIVE ntdll.dll и API kernel32.dll, реализовано на СИ.
В комплекте присутствует ini-файл необходимый для правильной работы dll (параметры установленные в нем -оптимальные).
В комплект включена статическая библиотека watersky.lib, которую вы можете прилинковать к Вашему проекту.
6. Подключение в зависимости от имеющегося у Вас в наличии конвертера RS232/RS485 или 422
Примечание разъем RJ45M (PU) на приводе если смотреть на него -справа контакт №1.
6.1. RS422:
Сторона привода Сторона конвертера
3(RDA) – TxD (A)
4(SDB) – RxD (B)
5(SDA) – RxD (A)
6(RDB) – TxD (B)
6.2. RS485 (рекомендую, т.к. наиболее распространенный вид конверторов):
3(RDA)-5(SDA) – Data(+)
4(SDB)-6(RDB) – Data(-)

Все проверено на реальной АСУ с 24 приводами на линии.
_______________________________________________________________
!!!Эта демонстрационная версия имеет "плавающие" ограничения!!!
!!! и не может быть использована для реального проекта. !!!
Никаких гарантий на демо версию не предусмотрено.
______________________________________________________________
Copyright(c)2009 SYSENTER. All Rights Reserved.
E-mail: sysenter@mail.ru
_____________________________________________________________
P.S: SCADA must die.

SYSENTER Сообщение 14/04/2009 16:37 Копия темы
Client Server Runtime Process Inject Protector  .
Client Server Runtime Process Inject Protector
Защита от внедрения методом удаленных потоков

Последнее время очень многие вредоносные программы режима пользователя,
стараясь получить контроль над всеми процессами в системе,
динамически внедряют свой код в сервер подсистемы Windows
(csrss.exe Client Server Runtime Process), запуская его затем
удаленно при помощи функции NtCreateThread. Этот код получает
при этом практически ничем не ограниченные привилегии этого процесса.

Данный проект позволяет на 100% защитить сервер подсистемы от
запуска чужеродного кода из другого процесса, работающего
по описанной выше технологии.Это фактически сразу позволяет
защитить всю Вашу систему от подобного вредоносного ПО.
В нормальной системе удаленных потоков в сервере не создается,
напротив он сам ах активно использует.

Установка/снятие данной защиты осуществляется с правами Администратора.
Защита начинает работать только после перезагрузки.
Это тестовая версия.
Совместимость: Windows XP (все SP)
Windows Server2003, проверялась на PIV с HT и NX.

Никаких потерь производительности и расходов памяти в систему не вносится.
В Ваши и вновь создаваемые процессы никакой код не внедряется,
никаких драйверов не устанавливается, системные файлы не изменяются.
Разработано в 2008г по своей оригинальной технологии, до сих пор
не встречавшейся в сети. Решил опубликовать т.к. была возможность
протестировать на вышеуказанных "чистых" лицензионных ОС.
К сожалению "по-бедности своей" на ОС Vista и Windows7b,
протестировать данное ПО так и не удалось.

При разработке применены минимальные stealth- технологии, но так что
работа незаметна как для пользователя так и для самого вредоносного ПО
(Попытка инжекта удаленным потоком в csrss, просто "тихо обламывается").
Представленное программное обеспечение не предусматривает никаких
гарантий. Автор не несет ни прямой ни косвенной ответственности за
правильное или не правильное использование данного ПО. Если хотите-
используйте данное ПО на свой страх и риск.

Совместно с антивирусами не проверялась, т.к. я их не использую.
Проверить невозможность инжекта, например можно скачав мой плагин к
Sysintermnals Process Explorer по ссылке:
depositfiles.com/folders/..
 

SYSENTER Сообщение 14/04/2009 16:34 Копия темы
Sysinternals Process Explorer PlugIn (crack edition)  .
Демонстрационные функциональные улучшения для системного монитора Sysinternals Process Explorer

1. Возможность выгрузки динамических библиотек процесса двумя методами:
1.1. Мягкий метод: Контекстное меню панели отображения DLL
(“HiEndSoft->Soft Unload”) – попытка выгрузить модуль стандартными средствами Windows;
1.2. Жёсткий метод: Контекстное меню панели отображения DLL
(“HiEndSoft->Hard Unload”) – попытка выгрузить модуль стандартными средствами Windows и в случае неудачи –
полное принудительное освобождение секции памяти, занимаемое модулем и последующее принудительное высвобождение виртуальной связанной памяти (помечается аттрибутом Free);
Примечание:
A). При применении “Hard Unload” возможен случай что информация о наличии DLL останется в PEB – структурах процесса, и она будет продолжать отображаться процесс-менеджерами, но в реальности модуль будет гарантированно выгружен из памяти, в чем можно убедиться программами мониторинга виртуальной памяти процессов (например VMMAP от того же Sysinternals).
B). Рекомендуется замораживать или удалять потоки, связанные с выгружаемым модулем, стандартными средствами Process Explorer (лучше убедиться в принадлежности потока какому либо модулю, включив “View All Dll Mode”).
C). Данная функциональность будет полезна при выгрузке троянских или рекламных Ad Ware –модулей.
2. Возможность анализа и отображения скрытых т.н. Stealth – модулей процесса, (Главное меню: “Options->View All Dll Mode”). При этом
отображаются ВСЕ модули, загруженные в виртуальную память процесса (за исключением модулей, скрытых из режима ядра, но таких я не встречал). Эта опция будет полезна, например для поиска троянских и Ad ware модулей, вирусов и т.д. При включенной данной опции также возможна выгрузка с освобождением памяти не только DLL – модулей (в режиме “Hard Unload”). Опция “View All Dll Mode” включается автоматически при просмотре списка DLL процессов, чьи модули не доступны для отображения в обычной версии Process Explorer (процессы, доступ на чтение виртуальной памяти которых, полностью закрыт из режима ядра; например DrWeb5 и т.д.). При включении опции “View All Dll Mode” потоки скрытого модуля также будут отображаться на вкладке Threads как потоки именно этого модуля, а не как потоки kernel32 или ntdll как было раньше.
Опция “View All Dll Mode” не работает полноценно на Windows XP и Windows2000 без установленных SP, на Vista и Windows7 не тестировалось.
Примечание: вообще «перекрытие» доступа к VM процессов (обычно это антивирусы и сетевые экраны) – хороший повод внедрить туда троянский код или вирус….
3. Внедрение любой динамической библиотеки в процесс (Контекстное меню процессов->”Inject DLL”) – без комментариев.
4. Добавлена возможность загрузки и выгрузки драйверов (использовать осторожно, т.к. может привести к неработоспособности системы).
5. Добавлена возможность сканирования PE-образа файла на упаковщик/протектор или линкер сразу двумя методами (меню Dll-> “Scan PE”).
6. Добавлена возможность дампа любого модуля, спроецированного не только как Image,но и как проекция Data, на диск. Что бывает полезно при рипе данных, что в других утилитах я лично не встречал. (меню Dll-> “Dump Full”).
7. Встроена защита Process Explorera от создания в нем удаленных потоков, что может оказаться очень полезно, для получения полной реальной картины о системе (думаю кто надо поймет зачем все это).Убедиться в этом можно только из второй запущенной копии, т.к. сам в себя он инжектить может ).
В комплект плагина входит библиотека TEST_HIDE.DLL, для тестирования режима инжекта и обнаружения срытых модулей. Сразу после инжекта в процесс она загружается (о чем выводится уведомление),скрывается (о чем выводится еще одно уведомление) и издает периодические сигналы. в системный динамик ПК. Её и потоки, принадлежащие её виртуальной памяти легко можно обнаружить и выгрузить только в режиме “View All Dll Mode”. В комплект входит тестовый драйвер, выводящий в верхней части экрана хаотично закрашенную цветную полосу. В комплект включена утилита InjectProtector для постоянной защиты сервера подсистемы от создания в нем удаленных потоков.
Разработано только в образовательных, ознакомительных, исследовательских и демонстрационных целях, по принципу «как есть».

Проверялось на совместимость с Windows XP(все SP) и Windows Server 2003.
Все пожелания, ошибки, предложения, информация по тестированию на совместимость с другими ОС, а так же заказы на разработку и «доработку» программного обеспечения и любых систем АСУТП принимаются на E-mail.
© 2009 HiEndSoft,Russia
E-mail:sysenter@mail.ru
ICQ: 439933523