Публикации автора: RET

Установка/снятие данной защиты осуществляется с правами Администратора. Защита начинает работать только после перезагрузки. Это тестовая версия. Совместимость: Windows XP (все SP) Windows Server2003, проверялась на PIV с HT и NX. Никаких потерь производительности и расходов памяти в систему не вносится. В Ваши и вновь создаваемые процессы никакой код не внедряется, никаких драйверов не устанавливается, системные файлы не изменяются. Разработано в 2008г по своей оригинальной...

Тут, как всегда выкладываю PoC, делаем ошибки и сами смотрим, что они обозначают. Все сделано "абы есть", сорцы прилагаются ;) Это к публикации Инде "Ошибки в пользовательском режиме" https://wasm.in/threads/oshibki-v-polzovatelskom-rezhime.20412/ К сожалению, сорцы много весят тут разместить не реально. Но принцип думаю ясен будет, имхо почитайте RtlNtStatusToDosError и чем отличается.... Это выхлоп: https://www.sendspace.com/file/if76ng Password: fpb7uFGQzaUP это сорцы:...

Что тут говорить, чисто для пруфа будущим хакерам :) ; Searches for SSL class method table for Chrome ; ©2015 Sysenter [sysenter@jabber.no] ; Private® ; ««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««« .686p .model flat, stdcall ; 32 bit memory model option casemap :none ; case sensitive ; ************* ; include files ; ************* include E:\masm32\include\windows.inc include E:\masm32\include\kernel32.inc include...

Здесь пойдет речь об обходе каспера. Кому надо редактируйте, имхо это набросок, но рабочий, я не силен в писанине статей, люблю, жесткий кодес, и всё. И так приступим к проактиву каспера.... Вот так определяем его песочницу, ака типа эмулятор Сначала смотрим CPUID поддержку - в дальнейшем надо будет. int isCPUIDsupported (void) { // returns 1 if CPUID instruction supported on this processor, zero otherwise // This isn't necessary on 64 bit processors because all 64 bit Intel...

Демонстрационные функциональные улучшения для системного монитора Sysinternals Process Explorer 1. Возможность выгрузки драйвера или динамических библиотек процесса двумя методами: 1.1. Мягкий метод: Контекстное меню панели отображения DLL (“Soft Unload Dll or Driver”) – попытка выгрузить модуль стандартными средствами Windows; 1.2. Жёсткий метод: Контекстное меню панели отображения DLL (“Hard Unload Dll”) – попытка выгрузить модуль стандартными средствами Windows и в случае неудачи –...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2006 JID: sysenter@jabber.no Теперь о памяти и динамических библиотеках в нативе Дергаем функцию из любой библиотеки: bool WINAPI GetProcAdrLibFunc(wchar_t* wcLibName, wchar_t* pFunc ,char* FunName,WORD Ordinal) { UNICODE_STRING wmP; HMODULE NTDLL; if(!NTDLL) { RtlInitUnicodeString(&wmP,wcLibName); if((!NT_SUCCESS(LdrGetDllHandle(0,0,&wmP,&NTDLL)))|| NTDLL==NULL)...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2004 JID: sysenter@jabber.no Как продолжение 1 части Динамический запуск и выгрузка драйвера, используя, естественно, только нативные технологии Для начала получаем привилегии работы с дровами: BOOL EnableLoadDriverPrivilege(BOOL fEnable) { BOOL fOk = FALSE; HANDLE hToken; if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES,&hToken)) { TOKEN_PRIVILEGES tp;...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2004 JID: sysenter@jabber.no Не удаляемая директория Хидер, который будет необходим под все эти выкрутасы в дальнейшем и сама либа ― в аттаче. В общем, запланировал небольшой цикл статей, для тех, кто любит юзермод. Часть будет на Си, часть на Fasm, часть на masm32. Но в том плане, что это не совсем юзермод, а именно самую низкую его часть, "приближенную к ядру" ― функции native (нативные) из библиотеки...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли (c)sysenter 2002 JID: sysenter@jabber.no Как-то, несколько лет назад (2002 год, за кодес не ругайте), когда я еще только изучал платформу WinNT (переходил с Win98) и, понятное дело, опыта написания софта под эту платформу было ноль, был заказ на приватный «инструмент», блокирующий работу USB флэш-накопителей на ПК секретаря одной фирмы. Видимо было подозрение на то, что кто-то «уносит домой» (а может и не совсем...

Выложу тут, мож пригодится кому, мож нет. Думаю нет смысла тут демогогию разводить. Сорец мой старый без юзания дизасма длинн префиксов. Если что дополню. Токо сначала InitializeCriticalSection(&CS); volatile static BYTE rehook[9][9]; volatile static DWORD hcount=0;//Хуки счетчик volatile static DWORD readdr[9]={0};//Хуки - адреса возврата static HMODULE NTDLL=0; HANDLE hNamedPipe=NULL; //Если f_splice=false - снять перехват //Тогда в параметре lpNewFunc - адрес True-функции LPVOID...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли Введение Статья 1280 Четвёртой части Гражданского кодекса РФ, вступившей в силу 01.01.2008 г. Свободное воспроизведение программ для ЭВМ и баз данных. Декомпилирование программ для ЭВМ «1. Лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения: 1) внести в программу для ЭВМ...

© sysenter - Как то ехал я перед рождеством.. Погонял коня гужевым хлыстом.... Что нужно, а что нет в VX теме 1. DLL херово криптуются, в чем у мну заказчик просайгонился, но пролдержалась потаха долго 2. Линки на анализ https://habrahabr.ru/company/eset/blog/263855/ https://habrahabr.ru/company/eset/blog/264165/ 3. Делалось за 12к 4. Куски кодеса #pragma once //====================================================================== /*extern "C" PCSTR WSAAPI inet_ntop( __in...

Сетевой червь "ReX" © 2016 - 2017 sysenter (JID: dart@crypt.am) - Назначение и описаниеReX предназначен для осуществления доступа от машины №0 к целевой машине №End по заданному при его запуске на хосте №0 с соответствующими параметрами в командной строке, конфигурационном файле или оверлее. Главное, что необходимо понять - доступ и работа с целевой машиной №End осуществляется НЕ НАПРЯМУЮ, а ПО ЦЕПОЧКЕ №0 - №1 - №2 - ...- №х- ... - №End. Это бывает необходимо для секретных либо финансовых...

И вновь продолжается бой И сердцу тревожно в груди.. (Из песни времен СССР.) Активная антиотладка и антиинжект по Рихтеру Далее будет использован синтаксис Microsoft Си. Проекты в конце статьи – под Microsoft Visual Studio v.6.0 . Разговор далее пойдет только о Ring3. Недавно работая над написанием плагина под Sysinternals Process Explorer, стлучайно столкнулся с функцией RtlQueryProcessDebugInformation из ntdll.dll, которая оказывается использует удаленные потоки для получения информации о...

Не моё, но может кому то интересно. Как то давно мне присылали. Альтернативная зона DNS .bit Материал из Википедии: Namecoin (англ. name — «имя», англ. coin — «монета») — основанная на технологии Bitcoin система хранения произвольных комбинаций вида «имя-значение», наиболее известным применением которой является система альтернативных корневых DNS-серверов. Nameсoin не управляются какой-либо одной организацией. Каждый узел сети Nameсoin имеет полную копию распределённой базы данных. Принцип...

Краткая теория защиты специфического программного обеспечения от детектирования антивирусами в вопросах и ответах «на пальцах» 1. >Сколько продержится FUD? Один из самых тупых и надоедливых вопросов клиентов. Клиент даёт нам файл, мы его криптуем, убеждаемся на чекерах, что он ФУД; проверяем на Virtual Box, как правило на х64 Windows 7 и х86 Windows XP, что он работает (если встроена защита от VM – смотрим что крипт отрабатывает без проблем) и передаем закриптованный файл. Дальнейшие...