1. Если вы только начинаете программировать на ассемблере и не знаете с чего начать, тогда попробуйте среду разработки ASM Visual IDE
    (c) на правах рекламы
    Скрыть объявление

Публикации автора: RET

Антиинжект

29 мар 2018

Установка/снятие данной защиты осуществляется с правами Администратора. Защита начинает работать только после перезагрузки. Это тестовая версия. Совместимость: Windows XP (все SP) Windows Server2003, проверялась на PIV с HT и NX. Никаких потерь производительности и расходов памяти в систему не вносится. В Ваши и вновь создаваемые процессы никакой код не внедряется, никаких драйверов не устанавливается, системные файлы не изменяются. Разработано в 2008г по своей оригинальной...
Читать далее
Лайков +2 Комментариев2 Просмотров938

Для любителей натива (часть 5) Делаем ошибки

25 фев 2018

Тут, как всегда выкладываю PoC, делаем ошибки и сами смотрим, что они обозначают. Все сделано "абы есть", сорцы прилагаются ;) Это к публикации Инде "Ошибки в пользовательском режиме" https://wasm.in/threads/oshibki-v-polzovatelskom-rezhime.20412/ К сожалению, сорцы много весят тут разместить не реально. Но принцип думаю ясен будет, имхо почитайте RtlNtStatusToDosError и чем отличается.... Это выхлоп: https://www.sendspace.com/file/if76ng Password: fpb7uFGQzaUP это сорцы:...
Читать далее
Лайков +1 Комментариев4 Просмотров642

Перехват в Chrome

24 фев 2018

Что тут говорить, чисто для пруфа будущим хакерам :) ; Searches for SSL class method table for Chrome ; ©2015 Sysenter [sysenter@jabber.no] ; Private® ; ««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««« .686p .model flat, stdcall ; 32 bit memory model option casemap :none ; case sensitive ; ************* ; include files ; ************* include E:\masm32\include\windows.inc include E:\masm32\include\kernel32.inc include...
Читать далее
Лайков +2 Комментариев12 Просмотров1.107

Для тех кто на диване и лень читать Intel маны (обход проактивок. часть 1)

19 фев 2018

Здесь пойдет речь об обходе каспера. Кому надо редактируйте, имхо это набросок, но рабочий, я не силен в писанине статей, люблю, жесткий кодес, и всё. И так приступим к проактиву каспера.... Вот так определяем его песочницу, ака типа эмулятор Сначала смотрим CPUID поддержку - в дальнейшем надо будет. int isCPUIDsupported (void) { // returns 1 if CPUID instruction supported on this processor, zero otherwise // This isn't necessary on 64 bit processors because all 64 bit Intel...
Читать далее
Лайков +2 Комментариев0 Просмотров376

Для любителей натива (часть 4) Дампер

8 фев 2018

Демонстрационные функциональные улучшения для системного монитора Sysinternals Process Explorer 1. Возможность выгрузки драйвера или динамических библиотек процесса двумя методами: 1.1. Мягкий метод: Контекстное меню панели отображения DLL (“Soft Unload Dll or Driver”) – попытка выгрузить модуль стандартными средствами Windows; 1.2. Жёсткий метод: Контекстное меню панели отображения DLL (“Hard Unload Dll”) – попытка выгрузить модуль стандартными средствами Windows и в случае неудачи –...
Читать далее
Лайков +1 Комментариев0 Просмотров369

Для любителей натива (часть 3) Работа с dll

9 янв 2018

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2006 JID: sysenter@jabber.no Теперь о памяти и динамических библиотеках в нативе Дергаем функцию из любой библиотеки: bool WINAPI GetProcAdrLibFunc(wchar_t* wcLibName, wchar_t* pFunc ,char* FunName,WORD Ordinal) { UNICODE_STRING wmP; HMODULE NTDLL; if(!NTDLL) { RtlInitUnicodeString(&wmP,wcLibName); if((!NT_SUCCESS(LdrGetDllHandle(0,0,&wmP,&NTDLL)))|| NTDLL==NULL)...
Читать далее
Лайков +1 Комментариев0 Просмотров711

Для любителей натива (часть 2) Игры с драйверами

9 янв 2018

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2004 JID: sysenter@jabber.no Как продолжение 1 части Динамический запуск и выгрузка драйвера, используя, естественно, только нативные технологии Для начала получаем привилегии работы с дровами: BOOL EnableLoadDriverPrivilege(BOOL fEnable) { BOOL fOk = FALSE; HANDLE hToken; if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES,&hToken)) { TOKEN_PRIVILEGES tp;...
Читать далее
Лайков +3 Комментариев2 Просмотров1.106

Для любителей натива (часть 1) Не удаляемая директория

9 янв 2018

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2004 JID: sysenter@jabber.no Не удаляемая директория Хидер, который будет необходим под все эти выкрутасы в дальнейшем и сама либа ― в аттаче. В общем, запланировал небольшой цикл статей, для тех, кто любит юзермод. Часть будет на Си, часть на Fasm, часть на masm32. Но в том плане, что это не совсем юзермод, а именно самую низкую его часть, "приближенную к ядру" ― функции native (нативные) из библиотеки...
Читать далее
Лайков +5 Комментариев11 Просмотров1.869

FlashSpy

8 янв 2018

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли (c)sysenter 2002 JID: sysenter@jabber.no Как-то, несколько лет назад (2002 год, за кодес не ругайте), когда я еще только изучал платформу WinNT (переходил с Win98) и, понятное дело, опыта написания софта под эту платформу было ноль, был заказ на приватный «инструмент», блокирующий работу USB флэш-накопителей на ПК секретаря одной фирмы. Видимо было подозрение на то, что кто-то «уносит домой» (а может и не совсем...
Читать далее
Лайков +1 Комментариев0 Просмотров780

Сплайс (сорцы)

20 дек 2017

Выложу тут, мож пригодится кому, мож нет. Думаю нет смысла тут демогогию разводить. Сорец мой старый без юзания дизасма длинн префиксов. Если что дополню. Токо сначала InitializeCriticalSection(&CS); volatile static BYTE rehook[9][9]; volatile static DWORD hcount=0;//Хуки счетчик volatile static DWORD readdr[9]={0};//Хуки - адреса возврата static HMODULE NTDLL=0; HANDLE hNamedPipe=NULL; //Если f_splice=false - снять перехват //Тогда в параметре lpNewFunc - адрес True-функции LPVOID...
Читать далее
Лайков +1 Комментариев0 Просмотров605

Теория Плагинов, моего младшего брата

18 окт 2017

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли Введение Статья 1280 Четвёртой части Гражданского кодекса РФ, вступившей в силу 01.01.2008 г. Свободное воспроизведение программ для ЭВМ и баз данных. Декомпилирование программ для ЭВМ «1. Лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения: 1) внести в программу для ЭВМ...
Читать далее
Лайков +2 Комментариев1 Просмотров1.063

Потаха с кусками сорцев

9 сен 2017

© sysenter - Как то ехал я перед рождеством.. Погонял коня гужевым хлыстом.... Что нужно, а что нет в VX теме 1. DLL херово криптуются, в чем у мну заказчик просайгонился, но пролдержалась потаха долго 2. Линки на анализ https://habrahabr.ru/company/eset/blog/263855/ https://habrahabr.ru/company/eset/blog/264165/ 3. Делалось за 12к 4. Куски кодеса #pragma once //====================================================================== /*extern "C" PCSTR WSAAPI inet_ntop( __in...
Читать далее
Лайков +1 Комментариев7 Просмотров2.324

Для Яши про ReX

7 сен 2017

Сетевой червь "ReX" © 2016 - 2017 sysenter (JID: dart@crypt.am) - Назначение и описаниеReX предназначен для осуществления доступа от машины №0 к целевой машине №End по заданному при его запуске на хосте №0 с соответствующими параметрами в командной строке, конфигурационном файле или оверлее. Главное, что необходимо понять - доступ и работа с целевой машиной №End осуществляется НЕ НАПРЯМУЮ, а ПО ЦЕПОЧКЕ №0 - №1 - №2 - ...- №х- ... - №End. Это бывает необходимо для секретных либо финансовых...
Читать далее
Лайков +3 Комментариев2 Просмотров1.387

Активная антиотладка и антиинжект

7 сен 2017

И вновь продолжается бой И сердцу тревожно в груди.. (Из песни времен СССР.) Активная антиотладка и антиинжект по Рихтеру Далее будет использован синтаксис Microsoft Си. Проекты в конце статьи – под Microsoft Visual Studio v.6.0 . Разговор далее пойдет только о Ring3. Недавно работая над написанием плагина под Sysinternals Process Explorer, стлучайно столкнулся с функцией RtlQueryProcessDebugInformation из ntdll.dll, которая оказывается использует удаленные потоки для получения информации о...
Читать далее
Лайков +2 Комментариев2 Просмотров1.426

Альтернативная зона .bit

7 сен 2017

Не моё, но может кому то интересно. Как то давно мне присылали. Альтернативная зона DNS .bit Материал из Википедии: Namecoin (англ. name — «имя», англ. coin — «монета») — основанная на технологии Bitcoin система хранения произвольных комбинаций вида «имя-значение», наиболее известным применением которой является система альтернативных корневых DNS-серверов. Nameсoin не управляются какой-либо одной организацией. Каждый узел сети Nameсoin имеет полную копию распределённой базы данных. Принцип...
Читать далее
Лайков +2 Комментариев1 Просмотров2.789

Про криптование малвари, и сколько будет FUD

16 май 2017

Краткая теория защиты специфического программного обеспечения от детектирования антивирусами в вопросах и ответах «на пальцах» 1. >Сколько продержится FUD? Один из самых тупых и надоедливых вопросов клиентов. Клиент даёт нам файл, мы его криптуем, убеждаемся на чекерах, что он ФУД; проверяем на Virtual Box, как правило на х64 Windows 7 и х86 Windows XP, что он работает (если встроена защита от VM – смотрим что крипт отрабатывает без проблем) и передаем закриптованный файл. Дальнейшие...
Читать далее
Лайков +2 Комментариев4 Просмотров1.812