Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 617
- Реакции
- 16
Кто плотно сидит в ядре и ковыряет эксплойты под уязвимые драйверы, рано или поздно утыкается в геморрой с Plug and Play. Использовать стандартный SetupAPI для корректного вызова AddDevice — это костыли и куча лишнего мусора в системе вроде INF-файлов и прочего шлака. Мы тут за чистоту и минимальные следы, поэтому встает резонный вопрос: как заставить PnP-менеджер сожрать драйвер вручную и без лишних артефактов?
Суть проблемы в том, что обычный мануал-маппинг тут не всегда спасает, если логика драйвера завязана на PnP-стек. Решение кроется в реверсе IOCTL-запросов и правильном обращении к системному API.
Техническая база
Вместо того чтобы плодить реестровые ветки и подсовывать тяжеловесные INF-конфиги, нужно стучаться напрямую. Основная точка входа для общения с диспетчером конфигурации (Configuration Manager):
Это именно тот путь, через который можно дергать нужные функции менеджера устройств без посредников.
Почему это важно для реверса и разработки:
По факту, прямой вызов через CMApi — это единственный адекватный путь для чистого взаимодействия с PnP-логикой, если вы не хотите светить мусором перед защитой. Это база для любого серьезного исследования 0-day уязвимостей в системных компонентах.
Кто уже пробовал прокидывать свои хендлы через этот интерфейс, есть ли специфика по обновленным структурам в последних инсайдерских билдах винды?
Суть проблемы в том, что обычный мануал-маппинг тут не всегда спасает, если логика драйвера завязана на PnP-стек. Решение кроется в реверсе IOCTL-запросов и правильном обращении к системному API.
Техническая база
Вместо того чтобы плодить реестровые ветки и подсовывать тяжеловесные INF-конфиги, нужно стучаться напрямую. Основная точка входа для общения с диспетчером конфигурации (Configuration Manager):
Код:
L"\Device\DeviceApi\CMApi"Это именно тот путь, через который можно дергать нужные функции менеджера устройств без посредников.
Почему это важно для реверса и разработки:
- Полный контроль над процессом инициализации устройства.
- Минимум следов в реестре, которые может просканировать современный античит (актуально для тех, кто обходит траст-факторы).
- Возможность триггерить уязвимости в обработчиках PnP-событий без установки полноценного драйвера в систему.
При работе с этим девайсом учитывайте, что структура IOCTL может меняться от версии к версии Windows. Если промахнетесь с параметрами в стеке — готовьтесь ловить KMODE_EXCEPTION_NOT_HANDLED или IRQL_NOT_LESS_OR_EQUAL.
По факту, прямой вызов через CMApi — это единственный адекватный путь для чистого взаимодействия с PnP-логикой, если вы не хотите светить мусором перед защитой. Это база для любого серьезного исследования 0-day уязвимостей в системных компонентах.
Кто уже пробовал прокидывать свои хендлы через этот интерфейс, есть ли специфика по обновленным структурам в последних инсайдерских билдах винды?
