Антиинжект ring3

11 авг 2020

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли ©2009 Активная антиотладка и антиинжект Проекты в конце статьи – под Microsoft Visual Studio. Разговор далее пойдет только о Ring3. Недавно (2014 год) работая над написанием плагина под Sysinternals Process Explorer, случайно столкнулся с функцией RtlQueryProcessDebugInformation из ntdll.dll, которая оказывается использует удаленные потоки для получения информации о стороннем процессе, закидывая свой шелл код в...
Читать далее
Лайков +1 Комментариев2 Просмотров3.361

АV чекеры [для начинающих]

5 авг 2020

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли Gott spielt keine Würfel (c) Einstein! MD5: d0558134ba9db6d134e639d0e1ebb008 Чекеры и их место в жизни Малварьщика (краткий обзор "на коленке") Каждый уважающий себя малварьщик и крипотвальщик знаком с таким словом как checker . если вас заинтересовала разработка Малварей, вы должны и уметь где-то их тестировать, а чекеры предоставят вам эту возможость. 1.scanmybin.net - этот сервис хорош тем, что...
Читать далее
Лайков +1 Комментариев1 Просмотров4.093

Начинаем становится сискодером [цикл для новичков]

2 авг 2020

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли Да будет использован синтаксис ассемблера и чистого Си! (c) MD5: d0558134ba9db6d134e639d0e1ebb008 Начинаем становится сискодером Или по простому - системным программистом Приложение 1 к "VX начала " (c) MD5: d0558134ba9db6d134e639d0e1ebb008 часть 1 Итак мы уже считаем себя сискодером, уяснили что между ядром и режимом пользователя Рассматривать нативные функции можно здесь – отличие от Win API огромно, но несет для...
Читать далее
Лайков 0 Комментариев12 Просмотров3.292

Готовим Windows 10

26 июн 2020

Просто гайд о том, как правильно ставить, активировать и настраивать Windows 10 и Office. На создание вдохновили труды rk2019 над сборками Windows XP. Тема этого гайда не совсем по профилю форума, но для кого-то может оказаться полезной. 1. Скачиваем образ. Никаких варезников, торрентов и модифицированных сборок, качаем лицензионный *.iso с официального сайта. https://www.microsoft.com/ru-ru/software-download/windows10 Нам нужен *.iso, а сайт предлагает средство обновления. Заходим в...
Читать далее
Лайков +8 Комментариев5 Просмотров6.640

Виртуализация для самых маленьких #3: готовим структуры, заполняем EPT

21 июн 2020

В прошлой части мы получили теоретическую базу по принципам настройки гипервизора и EPT. Применим их на практике. В первой части мы написали шаблон драйвера и заготовку для виртуализации всех процессоров - функцию VirtualizeAllProcessors. Код виртуализации будет необходимо выполнить на всех процессорах и это легко сделать через генерацию межпроцессорного прерывания функцией KeIpiGenericCall. Каждый логический процессор выполнит код, переводящий его в режим виртуализации, и продолжит свою...
Читать далее
Лайков +7 Комментариев21 Просмотров5.326

Мета-программирование Nim и обфускация

20 июн 2020

Здравствуйте, друзья, мы с вами продолжаем исследовать возможности мета-программирования различных высокоуровневых языков в одной единственной прикладной сфере - обфускации. На этот раз мы рассмотрим язык программирования Nim - модный, молодежный, немного питонный, немного паскальный язык, который позиционируется как альтернатива C++. Насколько дизайн и реализация языка Nim удачны - вопрос спорный, но нас как бы это не особо то и интересует. Нас интересуют только весьма богатые возможности...
Читать далее
Лайков +4 Комментариев4 Просмотров5.673

Виртуализация для самых маленьких #2: управляющие структуры, EPT, MTRR

18 июн 2020

Продолжаем писать изучать гипервизор. В прошлой части мы написали шаблон драйвера и заготовку функции для виртуализации всех логических процессоров. Прежде всего, следует напомнить, что под логическим процессором понимается или одно физическое ядро процессора (если процессор не поддерживает SMT/Hyper-Threading), или один логический поток в процессорах с поддержкой SMT/Hyper-Threading. Иными словами, если у процессора 4 ядра и он поддерживает Hyper-Threading (два потока на одно физическое...
Читать далее
Лайков +7 Комментариев5 Просмотров4.990

Виртуализация для самых маленьких #1: гипервизор - что, зачем и почему

15 июн 2020

[ATTACH] Развитие технологий аппаратной виртуализации (Intel VT-x и AMD-V) открывает широкие возможности по контролю выполнения кода на самом низком уровне. Привычные всем гипервизоры (Hyper-V, KVM, VMware или VirtualBox) позволяют запускать операционные системы в изолированном окружении: это становится возможным, благодаря способности процессоров работать в специальном режиме, в котором они контролируют доступ к ресурсам и обрабатывают выполнение заданных инструкций и событий. При...
Читать далее
Лайков +15 Комментариев18 Просмотров8.028