Публикации автора: yashechka

Введение в реверсинг с нуля, используя IDA PRO. Часть 49

24 июн 2018

Введение в реверсинг с нуля, используя IDA PRO. Часть 49
Читать далее
Лайков 0 Комментариев0 Просмотров41

Введение в реверсинг с нуля, используя IDA PRO. Часть 48-2.

20 июн 2018

[ATTACH] LEA EAX, DS:110H[EAX*4] Программа умножает значение 0x2 на 4 и складывает полученное значение со значением 0x110 и затем вычитает из найденного значения HEAP_BUCKET и сохраняет результат в переменную VAR_2C. Этот адрес, который сохраняется в переменную VAR_2C является началом таблицы LFH, так как HEAP_BUCKETS находится по смещению 0x110 и должен быть равен 8, потому что поле находится внутри таблицы BUCKETS, поэтому в переменной VAR_2C программа сохраняет значение 0x24ACF8,...
Читать далее
Лайков +2 Комментариев5 Просмотров295

Введение в реверсинг с нуля, используя IDA PRO. Часть 48-1.

3 июн 2018

Мы будем стараться продолжать обсуждать распределение, чтобы увидеть сможем ли мы понять логику распределения и увидеть, что говорит программа, если распределение происходит в LFH или в СТАНДАРТНОЙ КУЧЕ. Мы будем продолжать использовать исполняемый файл из того же практического упражнения. Мы загружаем исполняемый файл вне IDA из консоли, не используя скрипт PYTHON. Мы вводим номер, который нас просит программа (1073741828), присоединяем WINDBG к IDA как отладчик, помещаем BP на функцию...
Читать далее
Лайков 0 Комментариев2 Просмотров206

Введение в реверсинг с нуля, используя IDA PRO. Часть 47.

2 июн 2018

Давайте попробуем прояснить некоторое вещи, которые мы ещё не упоминали в теме о куче и которые очень необходимы. Мы будем делать это снова смотря на упражнение PRACTICA 44 о котором мы говорили в WINDOWS 7. Мы снова посмотрим на него же в тех же программах. Хорошо заметить, что способ обработки кучи очень сильно изменился от XP к WINDOWS 7, и имеет больше изменений даже до WINDOWS 10. Поэтому способы эксплуатации, которые работали в одной системе, могут не работать в другой. Верно также,...
Читать далее
Лайков 0 Комментариев1 Просмотров465

Введение в реверсинг с нуля, используя IDA PRO. Часть 46.

8 май 2018

Хорошо. Мы будем рассматривать упражнение из 44 главы. http://ricardonarvaja.info/WEB/INTRODUCCION AL REVERSING CON IDA PRO DESDE CERO/EJERCICIOS/PRACTICA_44.7z Прежде чем это сделать, давайте рассмотрим некоторые вещи. Эксплоиты для кучи сильно зависят от программы и её уязвимости. Некоторое из уязвимостей эксплуатируются, а некоторые нет. Во многом надежность (процент правильной работы против некорректной работы программы) меньше чем для других типов эксплоитов, которые эксплуатируют...
Читать далее
Лайков 0 Комментариев2 Просмотров538

Введение в реверсинг с нуля, используя IDA PRO. Часть 45.

4 май 2018

Мы будем снова продолжать практиковаться с упражнением PRACTICA41B, но на этот раз в WINDBG, используя MONA вне IDA. Конечно, мы будем использовать тот же исполняемый файл, который уже имеет байты EB FE и поэтому программа зациклена. В любом случае, хорошо держать файл также открытым в ЗАГРУЗЧИКЕ IDA без отладки, чтобы всё было ясно. Основная идея состоит в том, чтобы увидеть какую информацию мы получаем в обоих случаях, используя WINDBG внутри IDA или используя WINDBG вне IDA, но пользуясь...
Читать далее
Лайков +3 Комментариев4 Просмотров576

Введение в реверсинг с нуля, используя IDA PRO. Часть 44.

2 май 2018

Конечно, нам нужно решить упражнение PRACTICA_44, но мы будем решать его в следующих частях. Сейчас мы увидим дополнительную информацию, которую мы можем получить используя WINDBG внутри IDA. Мы будем использовать предыдущий случай PRACTICA 41B, про который мы знаем, что это переполнение кучи. Мы перейдём от отладчика IDA к WINDBG и убедимся, что он находится в режиме USER через DEBUGGER OPTIONS. [ATTACH] Мы меняем GFLAGS для того, чтобы процесс имел включенный PAGE HEAP в режиме FULL....
Читать далее
Лайков +3 Комментариев1 Просмотров389

Введение в реверсинг с нуля, используя IDA PRO. Часть 43.

21 апр 2018

Давайте решать практическое упражнение 41B. [ATTACH] Если мы перейдем в меню DEMANGLED NAMES → NAMES, мы увидим, что анализ выглядит лучше. Даже если IDA не показывает функцию с именем NEW, а показывает числовой адрес, оператор NEW очень похож на функцию MALLOC. В исходном коде, очевидно, оператор NEW применяется к объекту и программа внутренне вызывает функцию MALLOC, резервирую память для объекта и функции MALLOC непосредственно передается числовой размер, но здесь, нет большой разницы....
Читать далее
Лайков +1 Комментариев1 Просмотров448

Введение в реверсинг с нуля, используя IDA PRO. Часть 42.

21 апр 2018

В 41 части, для практики было оставлено два упражнения. К сожалению, никто не прислал мне решения. Это заставляет меня задаться вопросом, стоит ли оно того, что я делаю. По крайней мере для меня это сейчас вопрос. Ни обратной связи, ни вопросов ко мне. Ничего нет. Это заставляет меня переосмыслить вещи и спросить себя, стоит ли мне заходить с этим курсом так далеко, как я думал с самого начала. Мы увидим, какое решение мы примем в отсутствии обратная связь. Сейчас же, мы будем решать...
Читать далее
Лайков +1 Комментариев2 Просмотров527

Введение в реверсинг с нуля, используя IDA PRO. Часть 41.

11 апр 2018

Мы продолжаем практиковать и рассматривать примеры. В нашем случае, это код, который имеет разные способы обработки и размещения строк. [ATTACH] Мы видим, что существует несколько массивов символов и затем, в конце кода, программа печатает адреса каждого из массивов, чтобы увидеть где они находятся. Здесь мы не ищем уязвимость или чего-то ещё. Мы только смотрим расположение данных. Давайте откроем исполняемый файл в ЗАГРУЗЧИКЕ. Мы заставляем его загрузить символы. Теперь мы видим функцию...
Читать далее
Лайков +1 Комментариев1 Просмотров432

Введение в реверсинг с нуля, используя IDA PRO. Часть 40.

9 апр 2018

УНИВЕРСАЛЬНЫЙ ШЕЛЛКОД Существует тысячи типов шеллкодов. Каждый из них разработан в соответствии с целью, которую мы должны эксплуатировать. Существую шеллкоды, которые используются для доказательства того, что вы можете запустить код после эксплуатации. Обычно они запускают калькулятор и ничего больше. Очевидно, что существуют более сложные шеллкоды, которые открывают удаленные консоли, стараются остаться в системе не смотря на то, что эксплуатируемая программа перестает работать или...
Читать далее
Лайков +1 Комментариев2 Просмотров642

Введение в реверсинг с нуля, используя IDA PRO. Часть 38.

25 мар 2018

CANARY и SEH. Мы уже видели, что такое переменная CANARY. Это случайное значение, которое помещается в стек непосредственно перед сохраненным регистром EBP и адресом возврата. Так что, если это значение перезаписывается, программа проверяет это значение(Это необходимо нам для перезаписи адреса возврата). Если это значение тоже самое, то оно сохраняется, а если оно неправильное, то программа закрывается, избегая исполнение кода. Приложенный файл - это файл CANARY_SIN_DEP.EXE. Позже, в...
Читать далее
Лайков +1 Комментариев1 Просмотров586

Введение в реверсинг с нуля, используя IDA PRO. Часть 37.

24 мар 2018

Хорошо. Мы будем делать тот же пример, который мы делали в предыдущей части, но на этот раз используя плагин MONA внутри отладчика WINDBG. Мы знаем, что MONA не запускается в IDA. Поэтому мы открываем WINDBG вне IDA. Я запускаю файл DEP.EXE из консоли с несколькими аргументами, чтобы он не закрывался. Программа будет ожидать ввода данных с клавиатуры. [ATTACH] Я мог бы запустить программу также и с помощью WINDBG. Это было бы те же самым. Нам просто нужно остановиться в том месте, где...
Читать далее
Лайков +1 Комментариев3 Просмотров644

Введение в реверсинг с нуля, используя IDA PRO. Часть 36.

19 мар 2018

Хорошо. Давайте начнем работать с версией программы, которая имеет защиту DEP. Мы знаем, что программа похожа на предыдущую, но что произойдёт, если мы запустим скрипт для версии где защита DEP отсутствует. Изменим путь в скрипте, для того, чтобы он указывал на файл DEP.EXE. [ATTACH] Я запускаю скрипт и присоединяюсь к процессу помощью IDA, которая уже имеет анализ файла DEP.EXE. [ATTACH] Я установлю BP сразу после функции GETS, чтобы увидеть, что происходит в функции SALUDA, так как...
Читать далее
Лайков +1 Комментариев7 Просмотров552

Введение в реверсинг с нуля, используя IDA PRO. Часть 35.

11 мар 2018

Я скомпилировал две программы. Первую программу скомпилировал с защитой DEP, а вторую программу - без этой защиты. Код везде один и тот же. Но в этом случае, вместо того, чтобы изменять код и компилировать программу, я напрямую вызываю API функцию SETPROCESSDEPPOLICY. В первой программе, я вызываю эту функцию с аргументом 0 (без использования защиты DEP), а во второй программе - с аргументом 1 (с использованием защиты DEP). Если я запущу обе программы и посмотрю на них через утилиту PROCESS...
Читать далее
Лайков +1 Комментариев1 Просмотров604

Введение в реверсинг с нуля, используя IDA PRO. Часть 34.

11 мар 2018

Давайте начнём с эксплуатации и возможного выполнения кода. Конечно, мы должны учитывать смягчения и учиться противостоять новым защитам, которые были добавлены. Иногда мы сможем избежать их, а иногда и нет. Основная идея состоит в том, чтобы обучаться постепенно. Давайте сначала рассмотрим некоторые важные определения. ЧТО ТАКОЕ DEP ? [ATTACH] Предотвращение выполнения данных (DEP) представляет собой набор аппаратных и программных технологий, который выполняет дополнительные проверки в...
Читать далее
Лайков +2 Комментариев1 Просмотров612

Введение в реверсинг с нуля, используя IDA PRO. Часть 39.

27 фев 2018

У нас остался последний случай эксплуатации переполнения стека с защитами CANARY и DEP для перезаписи SEH. [ATTACH] Мы переименовываем имя исполняемого файла и присоединяемся к нему с помощью IDA, чтобы увидеть, что случиться. [ATTACH] Так же как и раньше, программа закрывается, когда стек заканчивается. Давайте посмотрим её SEH, [ATTACH] Как и в предыдущем случае, программа перезаписывает указатель на гаджет POP - POP - RET. Давайте установим здесь BP. [ATTACH] Я нажимаю клавишу F9...
Читать далее
Лайков +2 Комментариев1 Просмотров675

Введение в реверсинг с нуля, используя IDA PRO. Часть 33.

27 фев 2018

Мы установим пару плагинов для WINDBG, которые будут помогать нам дальше при работе. К сожалению эти плагины работают только в WINDBG, но если Вы запустите их в WINDBG, запущенном в IDA, они дадут сбой, возможно, потому что они конфликтуют с PYTHON, который включён в IDA, но мы будем использовать их в отдельном WINDBG, когда они нам понадобятся. Мы будем копировать файлы, которые я приложил, в каталог WINEXT, который находится внутри каталога, где установлен WINDBG и установим библиотеку...
Читать далее
Лайков +3 Комментариев4 Просмотров742

Введение в реверсинг с нуля, используя IDA PRO. Часть 32.

26 фев 2018

Подготовка WINDBG для работы с IDA. Один из инструментов, который нам необходимо установить - это отладчик WINDBG. Им можно управлять через интерфейс IDA. Это отличный отладчик. Может ему и не хватает комфорта, потому что почти все типы команд являются консольными и его немножко сложно использовать, но мы можем использовать отличный интерфейс, который предлагает IDA, отлаживая движком WINDBG. WINDBG очень полезен, когда мы хотим отлаживать ядро или получить хорошую информацию о состоянии...
Читать далее
Лайков +2 Комментариев3 Просмотров642

Введение в реверсинг с нуля, используя IDA PRO. Часть 31. Часть 2.

25 фев 2018

Я присоединяюсь к этому процессу. [ATTACH] Проиграв некоторое время ролик, отладчик остановится на BP. Я трассирую с помощью клавиши F7 и вижу, что в регистре EDX находится адрес БУФЕРА. [ATTACH] Я щелкаю на маленькую стрелку рядом с регистром EDX, которая переносит фокус в листинг. [ATTACH] Сейчас я делаю правый щелчок в стеке на этих данных и создаю массив из 32 байтов в десятичной системе. [ATTACH] У меня получается вот так. [ATTACH] Мы устанавливаем BP на запись в первом DWORD...
Читать далее
Лайков +2 Комментариев5 Просмотров683

Все статьи Криса Касперски, изданные в журнале -==Cистемный Администратор==-

21 фев 2018

Прошел год, как случилась трагедия - погиб Николай Лихачёв, более известный как Крис Касперски. 10 февраля 2017 года Крис серьёзно травмировался во время прыжка с парашютом. Отключение от аппаратуры искусственного поддержания жизни произвели 18 февраля. https://ru.wikipedia.org/wiki/Крис_Касперски В связи с годовщиной трагедии Владимир Лукин и Галина Положевец любезно предоставили Нашему форуму полный комплект статей Криса Касперски, изданных в журнале "Системный Администратор". Также,...
Читать далее
Лайков +3 Комментариев3 Просмотров2.087

Введение в реверсинг с нуля, используя IDA PRO. Часть 31. Часть 1.

4 фев 2018

Прежде чем делать упражнение из предыдущей части, я расскажу о некоторых моментах более подробно, которые остались в тени из-за моего быстрого объяснения и затем мы создадим POC. Один из моментов, который остаётся неясным заключается в том, что иногда мы принимаем размер массива, который предлагает нам IDA при выполнении правого щелчка и выбора пункта ARRAY. Иногда мы ставим предлагаемый нам размер под сомнение как в предыдущем примере и устанавливаем значение длины массива немного больше....
Читать далее
Лайков +2 Комментариев1 Просмотров652

Введение в реверсинг с нуля, используя IDA PRO. Часть 30.

28 янв 2018

Мы попытаемся решить упражнение, предложенное в 29 части. Это DIFF двух последовательных версий VLC плеера. У Вас есть CVE в качестве помощи с информацией. И эта информация, это то, что у нас есть. После установки в виртуальной машине уязвимой и пропатченной версии, я буду изучать информацию об уязвимости в CVE, чтобы узнать, даст ли CVE мне подсказку, чтобы помочь мне не слишком сильно заниматься анализом различий. [ATTACH] Если я посмотрю в папку, где установлен VLC, я увижу, что плеер...
Читать далее
Лайков +1 Комментариев8 Просмотров1.166

Введение в реверсинг с нуля, используя IDA PRO. Часть 29

23 янв 2018

С тем, что мы видели до настоящего времени, мы можем попытаться, по крайней мере, анализировать реальные программы. Я буду давать Вам упражнение, которое я буду решать в 30 части. Я хотел бы, чтобы Вы восприняли это упражнение как нечто забавное и прислали мне то, что Вы найдете в нём. Я довожу до Вашего сведения, что это совсем не легко, так что не расстраивайтесь. Смысл состоит в том, что я даю Вам две последовательные версии программы, поэтому в новых патчах могут быть обнаружены...
Читать далее
Лайков +2 Комментариев3 Просмотров1.093

Рассказ реальный, почти документальный

19 янв 2018

[ATTACH] И хотя Николая нет уже почти год, этот, переродившийся ресурс всегда будет помнить про него. Именно на этом форуме Николай больше всего общался, давал советы, троллил, шутил и т.д. И именно поэтому, на этом ресурсе, появится его новая статья, статья, которую можно увидеть в свежем выпуске журнала Системного Администратор. Слова Николая оказались пророческими, про него помнят и будут помнить и он будет продолжать издаваться в Системном Администраторе....
Читать далее
Лайков +5 Комментариев4 Просмотров982

Введение в реверсинг с нуля, используя IDA PRO. Часть 28

6 янв 2018

Давайте будем чередовать теорию с практическими упражнениями, чтобы пытаться постепенно укреплять свои знания и двигаться вперед. В этой части, мы будем рассматривать некоторые теоретические вопросы, по темам, которые мы должны знать. Они не будут очень техническими и тяжелыми. Мы видели, что когда мы определяем переменную, например так: INT PEPE = 4; [ATTACH] Переменная будет резервировать в памяти необходимое пространство ячеек памяти для хранения этого значения. В нашем случае, это...
Читать далее
Лайков +2 Комментариев1 Просмотров1.218

Введение в реверсинг с нуля, используя IDA PRO. Часть 27-2.

4 янв 2018

Здесь мы нажимаем T, чтобы освежить информацию. Наконец, я переименовываю функцию в ENTER. [ATTACH] Мы видим, что три первые функции вызывают ENTER передавая адрес PEPE и три следующие передают адрес JUAN. Давайте посмотрим на следующую функцию. [ATTACH] Эта функция также использует обе структуры, поэтому Вы можете равно как в предыдущем случае нажать F5. [ATTACH] Здесь на переменной _STRUCT я делаю правый щелчок и выбираю пункт CONVERT TO STRUCT *. [ATTACH] Сейчас, это адрес...
Читать далее
Лайков +2 Комментариев5 Просмотров1.323

Введение в реверсинг с нуля, используя IDA PRO. Часть 27-1.

25 дек 2017

В этой части, мы будем решать упражнение, которое мы оставили для решения в предыдущей части. Оно называется IDA_STRUCT.7Z. Если Вы не решили это упражнение или у Вас его нет, загрузите его отсюда. http://ricardo.crver.net/WEB/INTRODUCCION AL REVERSING CON IDA PRO DESDE CERO/EJERCICIOS/IDA_STRUCT_RESOLVER DESPUES DE LA PARTE 26.7z Исполняемый файл называется CONSOLEAPPLICATION4.EXE и в том же каталоге находятся символы CONSOLEAPPLICATION4.PDB. Когда IDA загрузит файл, то сообщит Вам, что...
Читать далее
Лайков +3 Комментариев1 Просмотров1.386

Введение в реверсинг с нуля, используя IDA PRO. Часть 25.

3 дек 2017

СТРУКТУРЫ В этой части, мы начнём изучать, как IDA PRO помогает нам при реверсинге, когда программа использует структуры. В конце этой части, решения для файлов IDA3 и IDA4 будут краткими, потому что похожая проблема уже обсуждалась. Что же такое структура? Нам не нужно очень техническое определение, но мы видели, что МАССИВЫ это контейнеры, которые резервировали пространство в памяти для своих полей. Поля были того же типа, что и сами массивы, поэтому МАССИВЫ могут быть из байтов, слов,...
Читать далее
Лайков +4 Комментариев7 Просмотров1.249

Введение в реверсинг с нуля, используя IDA PRO. Часть 24.

26 ноя 2017

Решение для упражнения IDA2.EXE довольно похоже на предыдущее, только здесь присутствуют две переменные или мы можем назвать их кукисами. Для того, чтобы перенести Вас в область хорошего сообщения, теперь сравниваются две переменные, а не одна. [ATTACH] Давайте посмотрим, существует ли место, где Вы можете изменить эти переменные? Мы переименовываем переменные в COOKIE и COOKIE 2, так как сама IDA называет их такими именами. [ATTACH] Мы видим, что единственные места, где есть доступ к...
Читать далее
Лайков +5 Комментариев8 Просмотров1.489

Крис Касперски: Полное Лунное затмение 2001 года. Краткий отчет.

26 ноя 2017

Легкие перистые облака, весь день плавающие по небу, не внушали особого беспокойства, но к вечеру (по закону бутерброда) они начали уплотнятся, сбиваясь в плотные перисто-слоистые кучки, явно намериваясь сорвать готовящиеся наблюдения… К окуляру 110мм «Мицара» я прильнул задолго до наступления затмения – по расчетам, в 20h 05m 13s ожидалось покрытие  Близнецов (мои географические координаты – 41324 восточной долготы и 44837 северной широты, время московское). Просвечивая сквозь густые...
Читать далее
Лайков 0 Комментариев0 Просмотров389

Крис Касперски:Как стать хакером (миниатюра)

26 ноя 2017

«Здравствуйте. Я - начинающий хакер. Вообще ничего об этом не знаю, но очень хочу узнать. С детства мечтаю стать хакером. Дайте моей мечте сбыться.» “Ecohidromas" <ecohm@mdl.net> «Хакерство» – настолько общее понятие, что никаких универсальных рекомендаций «как стать хакером» не существует. Если под «хакером» понимать человека, одержимого познаванием окружающего мира, то не зависимо от того, зарывается ли он по голову в распечатки или коротает вечера, вглядываясь в глубины Вселенной, а...
Читать далее
Лайков +2 Комментариев2 Просмотров840

Памяти Криса Касперского.

26 ноя 2017

Памяти Криса Касперского (Николая Владимировича Лихачёва) http://yasha.su/samag04(173)-06-12.pdf [ATTACH]
Читать далее
Лайков 0 Комментариев11 Просмотров1.328

Введение в реверсинг с нуля, используя IDA PRO. Часть 23.

22 ноя 2017

Осталось решить незаконченное упражнение IDA1.EXE. [ATTACH] Функция основана на EBP как предыдущие упражнения. Разница заключается в том, что этот пример скомпилирован с помощью DEVC++, который имеет особый способ компиляции вызовов API, отличный от обычного способа и это может вызвать головокружение, у тех, кто никогда такого не видел. Хорошо, "VAMOS POR PARTES", как сказал Джек. Первое, что мы видим - это функция MAIN. Если она не появляется, Вы также можете перейти к важной функции,...
Читать далее
Лайков +7 Комментариев9 Просмотров1.386

Памяти Криса Касперского.

19 ноя 2017

Черновик
Читать далее
Лайков +3 Комментариев18 Просмотров1.331

Введение в реверсинг с нуля, используя IDA PRO. Часть 22.

12 ноя 2017

РАЗЛИЧАЯ DIFFER (В дальнейшем — Дифер, прим. Яши) - это программа, которая из двух последовательных версий одного и того же файла, пытается найти различия в функциях, несмотря на изменения и пытается показать нам какие функции были изменены и где. Очевидно, эта не простая работа. Особенно, когда между версиями было много изменений, которые могут появиться в приложение из-за патча безопасности, для того, чтобы устранить какую-нибудь уязвимость, а также, могут быть появится улучшения в...
Читать далее
Лайков +9 Комментариев4 Просмотров1.497

Введение в реверсинг с нуля, используя IDA PRO. Список лекций.

9 ноя 2017

Всем привет. :preved::preved::preved: Составил список лекций, чтобы можно было смотреть, что нас ждёт в этом курсе. Напоминаю, что №62 - это не последняя глава. Маэстро продолжает трудиться.:thank_you::thank_you::thank_you: За что ему честь и хвала. И мы тоже будем потихоньку трудиться.:boast::boast::boast: Вперёд, на встречу приключениям и знаниям :girl_witch::girl_witch::girl_witch: 01 - Знакомство с IDA PRO. 02 - Системы счисления. 03 - Регистры процессора. 04 - Стек и самые простые...
Читать далее
Лайков +8 Комментариев9 Просмотров2.476

Введение в реверсинг с нуля, используя IDA PRO. Часть 21.

7 ноя 2017

В 20-той части, мы оставили упражнение, чтобы проанализировать его позже и узнать было ли оно уязвимым или нет. В списке рассылки CRACKSLATINOS было много мнений, я не отвечал там и позволил единомышленникам обсуждать эту тему, оставив решение упражнения и анализ на потом, чтобы дать ответ в этой 21-ой части. У нас есть исходный код программы, который может помочь нам при исследовании, IDB файл и сам исполняемый файл, который мы можем реверсить в IDA и отлаживать, если это необходимо....
Читать далее
Лайков +11 Комментариев13 Просмотров1.633

Введение в реверсинг с нуля, используя IDA PRO. Часть 20.

27 окт 2017

Уязвимости. В этой части, мы поговорим об уязвимоcтях и как анализировать самые простые из них. Что же такое уязвимость ? В компьютерной безопасности, слово уязвимость относится к слабости в системе, позволяющей атакующему нарушать конфиденциальность, целостность, доступность, контроль доступа, согласование системы или её данных и приложений. Уязвимости - это результат ошибок или просчётов в дизайне системы. Хотя, в более широком смысле, они также могут быть результатом самих...
Читать далее
Лайков +12 Комментариев19 Просмотров1.834

Введение в реверсинг с нуля, используя IDA PRO. Часть 19.

22 окт 2017

В этой главе, у нас уже достаточно знаний и умений, чтобы реверсить оригинальный крекми CRUEHEADа. Поэтому открываем его в ЗАГРУЗЧИКЕ, выключая опцию MANUAL LOAD. Исходный файл не упакован, так что нет необходимости загружать его вручную. [ATTACH] Загрузчик остановился здесь. В нашем случае, поскольку это не консольное приложение, то нужно не только анализировать функцию MAIN. Мы знаем, что в оконных приложениях существует ЦИКЛ сообщений, который обрабатывает взаимодействие пользователя с...
Читать далее
Лайков +14 Комментариев4 Просмотров7.693

Введение в реверсинг с нуля, используя IDA PRO. Часть 18.

17 окт 2017

В предыдущей части, мы распаковали исполняемый файл упражнения и сделали его рабочим. В этой части, мы будем его реверсить, чтобы увидеть, можно ли сделать для него кейген в PYTHON. Хорошо помнить, что для статического анализа нет необходимости распаковывать файл. Нам просто нужно получить OEP и сделать TAKE MEMORY SNAPSHOT. Затем, нужно скопировать файл .IDB в другое место и открыть его там. Этого бы хватило, чтобы анализировать его статически, но хорошо иметь распакованный файл, это...
Читать далее
Лайков +8 Комментариев6 Просмотров1.726

Введение в реверсинг с нуля, используя IDA PRO. Часть 17.

2 окт 2017

Мы достигли 17-той части и предполагается, что, по крайней мере, Вы должны были попробовать решить это упражнение. http://ricardonarvaja.info/WEB/INTRODUCCION AL REVERSING CON IDA PRO DESDE CERO/EJERCICIOS/ Оно очень простое. Мы должны распаковать файл из примера, как мы делали это в предыдущих частях, а затем, отреверсить его, чтобы найти для него решение, и, если это возможно, сделать кейген в PYTHON. В этой главе мы будем действовать немного по другому. Я буду распаковывать файл...
Читать далее
Лайков +11 Комментариев9 Просмотров1.934

Введение в реверсинг с нуля, используя IDA PRO. Часть 16.

30 сен 2017

Прежде чем продолжать углубляться в реверсинг, мы сделаем ещё одно упражнение по распаковке на другом примере. Этим файлом будет UNPACKME_ASPACK 2.2. Он относится к категории простых. Далее в курсе, мы вернёмся к расширенной распаковке после изучения других тем. [ATTACH] Здесь, видим EP упакованного файла. Она начинается с инструкции PUSHAD, которую мы, пока, не видели среди часто используемых инструкций, но её работа заключается в том, что она ПОМЕЩАЕТ(КЛАДЁТ) каждый регистр в стек, т.е....
Читать далее
Лайков +9 Комментариев9 Просмотров1.989

Введение в реверсинг с нуля используя IDA PRO. Часть 15.

17 сен 2017

В предыдущей части, мы увидели несколько из многих методов, которые существуют для обнаружения и получения OEP в упакованном файле. Сейчас, вернёмся к двум пропущенными шагам: это ДАМП и ВОССТАНОВЛЕНИЕ IAT, стараясь объяснить их в этом туториале. [ATTACH] Мы снова попадаем в OEP программы и делаем её ПОВТОРНЫЙ АНАЛИЗ. Теперь у нас уже есть всё, чтобы сделать ДАМП. Сейчас будем использовать IDC скрипт, а не PYTHON. Static main() { auto fp, ea; fp = fopen("pepe.bin","wb"); for(ea =...
Читать далее
Лайков +12 Комментариев15 Просмотров2.620

Введение в реверсинг с нуля используя IDA PRO. Часть 14.

13 сен 2017

Это курс будет смешанным, и он будет включать в себя разные темы связанные с реверсингом (мы уже говорили о статическом реверсинге, а также будем говорить об отладке, распаковке, эксплоитинге). В этой главе мы будем распаковывать файл CRACKME.EXE упакованный последним UPX. Это не означает, что мы собираемся cделать много частей только с распаковкой, мы будем менять темы разговора, и перемешивать различные темы, для того, чтобы никто не скучал, так что у нас будут уроки по распаковке,...
Читать далее
Лайков +13 Комментариев12 Просмотров2.156

Введение в реверсинг с нуля используя IDA PRO. Часть 13.

11 сен 2017

Перед тем как продолжать с упражнениями углубляться в использование IDA, мы рассмотрим эту главу №13 в расслабленном режиме(RELAX MODE WASM), чтобы изучить плагин, который достаточно удобный и который даёт нам возможность управлять лучше PYTHON, Шадди предложил использовать эту включенную, интересную панельку и я ему очень благодарен. Плагин называется IPYIDA и он устанавливается простым копированием и вставкой следующей строки в панель PYTHON. import urllib2; exec...
Читать далее
Лайков +13 Комментариев9 Просмотров2.647

Hooking into NDIS and TDI

26 авг 2017

Перевод статьи «Hooking into NDIS and TDI, part 1» Перехват NDIS и TDI, часть 1 andreas пишет: Это первая часть из 2-х статей, описывающих перехват на уровне NDIS и TDI. В первой части мы обсудим перехват на уровне NDIS, а во второй на уровне TDI. Прежде всего давайте посмотрим на упрощенное изображение сетевого стека в пространстве ядра: TDI NDIS уровень протокола NDIS промежуточный уровень Miniport Hardware Для контроля потока данных на уровне NDIS у нас есть 3 потенциально возможные...
Читать далее
Лайков +3 Комментариев5 Просмотров907

Detecting Hidden Processes by Hooking the SwapContext Function

24 авг 2017

Определение скрытых процессов методом перехвата функции SwapContext. kimmo пишет: Общедоступна утилита Klister, созданная Джоанной Рутковской, которая (утилита) может определять скрытые процессы, проверяя содержимое трех связных списков, управляемых ядром: KiWaitInListHead, KiWaitOutListHead и KiDispatcherReadyListHead. Тем не менее Klister может работать только в ОС Windows 2000 и перенесение (переписывание) кода в ОС Windows 2003/ХР является не такой уж тривиальной задачей. Проблема в...
Читать далее
Лайков +3 Комментариев7 Просмотров831

Введение в реверсинг с нуля используя IDA PRO. Часть 12.

13 авг 2017

Хорошо, чтобы не было скучно, мы будем объединять теорию и некоторые упражнения, в этом случае, это другая программа скомпилированная мной, которая называется TEST_REVERSER.EXE и которая очень простая, но она поможет нам увидеть некоторые новые вещи в статическом реверсинге и которые мы проверим в отладчике. Если мы запустим программу вне IDA, то мы увидим. [ATTACH] Нас просят ввести имя пользователя и затем пароль, а потом программа говорит нам, что мы проиграли, и она смеётся над нами....
Читать далее
Лайков +11 Комментариев10 Просмотров2.093

Введение в реверсинг с нуля используя IDA PRO. Часть 11.

10 авг 2017

Перед тем как продолжить, давайте посмотрим сможем ли мы убрать баг, который присутствует в IDA версии 6.8, и который был исправлен в версии 6.9, и которой у нас нет :”( , чтобы увидеть присутствует ли у нас этот БАГ, откройте IDA, и на любой инструкции нажмите ALT + M, что равносильно размещению метки (JUMP → MARK POSITION), а затем на той же инструкции сделайте правый щелчок. [ATTACH] В интернете мы находим рецепт как исправить этот баг, давайте посмотрим как хорошо работает этот совет...
Читать далее
Лайков +15 Комментариев13 Просмотров2.071

Введение в реверсинг с нуля используя IDA PRO. Часть 10

30 июл 2017

Хорошо, мы уже увидели что-то о ЗАГРУЗЧИКЕ и мы будем продолжать его разбирать и дальше, но сейчас мы будем разбирать некоторые особенности ОТЛАДЧИКА, которые дополняют друг друга. IDA поддерживает множество ОТЛАДЧИКОВ, чтобы увидеть их, мы открываем оригинальный файл КРЭКМИ CRUEHEAD без патча в IDA. Очевидно, мы выбираем OVERWRITE, если IDA спросит нас, хотим ли мы создать новую базу данных и затереть старую, чтобы сделать новый анализ, если у нас уже была в том же месте предыдущая база...
Читать далее
Лайков +15 Комментариев8 Просмотров2.426

Введение в реверсинг с нуля используя IDA PRO. Часть 9

21 июл 2017

Мы разбираемся понемногу как нужно работать с ЗАГРУЗЧИКОМ, мы оставили некоторые вещи на потом, чтобы наблюдать за ними позже в ОТЛАДЧИКЕ, например, как меняются флаги в зависимости от используемых инструкций. Мы будем практиковаться на очень простых примерах, в нашем случае это очень простые крэкми, которые скомпилированы в VISUAL STUDIO 2015 для нашей практики. Очевидно, для того, чтобы крэкми заработал, у Вас должны быть установлены последние версия библиотек VISUAL STUDIO 2015 C++....
Читать далее
Лайков +17 Комментариев20 Просмотров2.973

Введение в реверсинг с нуля используя IDA PRO. Часть 8

10 июн 2017

Мы уже увидели в деле основные инструкции, сейчас давайте продолжим работу с ЗАГРУЗЧИКОМ. Способ работать, когда мы не имеем много опыта по статическому реверсингу состоит в том, чтобы комментировать и переименовывать инструкции и области, чтобы иметь лучшую ориентацию по коду и этим мы делаем большую часть своей работы. По мере того, как Вы больше практикуетесь в статическом реверсинге, то можно добиться больше и больше успехов в реверсинге, даже почти без использования отладчика или,...
Читать далее
Лайков +22 Комментариев28 Просмотров3.479

Введение в реверсинг с нуля используя IDA PRO. Часть 7

15 май 2017

ИНСТРУКЦИИ УПРАВЛЕНИЯ ПОТОКОМ ВЫПОЛНЕНИЯ ПРОГРАММЫ Давайте закончим с инструкциями, которые всегда являются самой сложной частью, проглотите эту жесткую таблетку, потому что дальше будет лучше. Следующие инструкции управляют потоком выполнения программы. Мы знаем, что EIP указывает на следующую инструкцию, которая будет выполнена, и когда это произойдёт, EIP будет указывать снова на следующую инструкцию. Но сама программа имеет в себе инструкции, которые управляют её потоком и могут...
Читать далее
Лайков +12 Комментариев8 Просмотров3.095

Введение в крэкинг с нуля, используя OllyDbg - Глава 55

6 май 2017

В этой главе мы продолжим починку execryptor, для этого мы создадим скрипт, ремонтирующий IAT. У многих, когда они слышат слово "скрипт", волосы встают дыбом (если они есть, хе-хе-хе), но создать скрипт - действительно очень просто, загвоздка состоит в том, что, когда смотришь на готовый скрипт, кажется, что он очень сложен, но в действительности скрипт не формируется сразу цельным, он начинается с простой идеи, к которой затем добавляются части, например, для execryptor, в котором мы должны...
Читать далее
Лайков +1 Комментариев2 Просмотров1.172

Введение в крэкинг с нуля, используя OllyDbg - Глава 54

3 май 2017

При анализе неизвестного упаковщика лучше всего сначала проверить, существует ли для него известный анпэкми, поскольку нам нужен его распакованный код. Если, как в нашем случае, анпэкми есть, у нас будет и код распакованного анпэкми для сравнения. Анпэкми могут быть реализованы в нескольких вариантах, начиная от самой простой защиты упаковщика, до самой сложной, чтобы можно было постепенно обезвреживать каждый трюк. Когда нам будут известны все трюки упаковщика, можно будет приступать...
Читать далее
Лайков +1 Комментариев2 Просмотров1.470

Введение в реверсинг с нуля используя IDA PRO. Часть 6

12 мар 2017

Давайте продолжим с арифметическими и логическими инструкциями. ADD A, B Инструкция складывает значение B и A, и помещает результат в A. A может быть регистром или содержимым ячейки памяти, B может быть регистром, константой или содержимым ячейки памяти (A и B не должны быть в памяти в одно и то же время, в одной и той же инструкции) Рассмотрим несколько примеров инструкции ADD ища текст ADD через VEVIEWER. [ATTACH] Здесь мы видим много примеров сложений, где первый член регистр, а...
Читать далее
Лайков +10 Комментариев11 Просмотров2.895

Введение в реверсинг с нуля используя IDA PRO. Часть 5

12 мар 2017

Мы продолжаем рассматривать основные инструкции и их использование в коде, когда мы дойдем до части где используется отладчик, мы будем видеть больше примеров, где рассматриваются результаты применения каждой из этих инструкций на реальном примере. LEA (LOAD EFFECTIVE ADDRESS) LEA A, B Инструкция LEA помещает указанный адрес из B в A. Она никогда не получает доступ к содержимому B, это всегда будет адрес или результат работы операции между квадратными скобками во втором операнде....
Читать далее
Лайков +12 Комментариев6 Просмотров2.957

Введение в реверсинг с нуля используя IDA PRO. Часть 4

20 фев 2017

Мы продолжаем рассматривать инструкции обмена данными в IDA. XCHG A, B Эта инструкция обменивает значение A со значением B, давайте рассмотрим пример. [ATTACH] В файле VEVIEWER нет такой инструкции, поэтому я загружаю СRACKME.EXE Cruehead, и меняю инструкцию по адресу 0x4013D8. Я помещаю курсор на строку адреса и перехожу в меню EDIT->PATCH PROGRAM->ASSEMBLE. [ATTACH] Мы видим, что функция была повреждена, так как я работаю сейчас с ней. [ATTACH] Мы уже видели, что, если инструкция...
Читать далее
Лайков +13 Комментариев7 Просмотров4.168

Введение в разработку эксплоитов. Часть 1

20 фев 2017

Часть 1: Введение в разработку эксплоитов Это первая часть в (скромной) многотомной серии туториалов, посвященной разработке эксплоитов. Эта часть просто расскажет некоторые базовые вещи, такие, которые нам нужны, чтобы сделать нашу работу, основные идеи скрытые за разработкой эксплоитов и некоторые вещи, которые нужно держать в памяти, если мы хотим заслать и выполнить наш шеллкод. Эти туториалы не будут рассказывать как находить ошибки, вместо этого, каждая часть будет включать уязвимую...
Читать далее
Лайков +1 Комментариев18 Просмотров2.141

Введение в реверсинг с нуля используя IDA PRO. Часть 3

19 фев 2017

Загрузчик Мы уже видели, что когда в IDA мы открываем исполняемый файл, тот же самый файл открывается в ЗАГРУЗЧИКЕ, который является статическим анализатором того же самого файла. Мы будем анализировать его части и характеристики, большая часть того, что мы видели до настоящего времени, будут применимы и к ЗАГРУЗЧИКУ и для ОТЛАДЧИКА. В случае, если что-то будет отличаться или не похоже на общий случай, я упомяну это. Очевидно, то, что в ЗАГРУЗЧИКЕ программа абсолютно не выполняется, но...
Читать далее
Лайков +16 Комментариев14 Просмотров5.645

Введение в реверсинг с нуля используя IDA PRO. Часть 2

17 фев 2017

Так как этот курс называется введение с нуля, есть вещи про которые многие уже знают, если Вы один из них, пропустите эту главу если хотите, но большинству они не знакомы, я верю, что это важно, поэтому я добавил эту информацию. СИСТЕМЫ СЧИСЛЕНИЯ Три наиболее часто используемые системы счисления это двоичная, десятичная и шестнадцатеричная. Базовые концепции каждой из системы рассмотрим ниже: ДВОИЧНАЯ: Числа представляются двумя символами 0 и 1, вот почему она называется ДВОИЧНАЯ....
Читать далее
Лайков +14 Комментариев8 Просмотров5.206

Введение в реверсинг с нуля используя IDA PRO. Часть 1

12 фев 2017

Приветствуя тебя, Гость. Если тебе не очень понравится данный перевод, хочу сказать, что дальше всё становится лучше. Уже сейчас ты можешь открыть последние главы, например №24 или №25 и увидеть, что всё читается по другому. Как только курс будет переведён и закончен, я вернусь к первым главам и переделаю их. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ВВЕДЕНИЕ В РЕВЕРСИНГ С НУЛЯ ИСПОЛЬЗУЯ IDA PRO Идея этих серий учебных пособий является обновить наш оригинальный курс по...
Читать далее
Лайков +22 Комментариев27 Просмотров17.706

Гуртовщики Мыши

12 фев 2017

Гуртовщики Мыши ~~~~~~~~~~~~~~~ Microsoft компания получает много откликов после появления Окон 95. Мы выявили, что много пользователей встретили проблему мыши. В этом документе Служба Техничного Упора Microsoft компании сводит вместе всю полезную информацию о возможных проблемах с мышами и гуртовщиками мыши и забота-стреляние. Если вы только что закрепили себе Окна 95, вы можете увидеть, что ваша мышь плохо себя ведет. Курсор может не двигаться или движение мыши может проявлять...
Читать далее
Лайков +3 Комментариев6 Просмотров1.276