Все новые статьи будут попадать сюда, а после одобрения сообществом модераторы присвоят им точную категорию

Введение в реверсинг с нуля используя IDA PRO. Часть 9

21 июл 2017 в 19:23

Мы разбираемся понемногу как нужно работать с ЗАГРУЗЧИКОМ, мы оставили некоторые вещи на потом, чтобы наблюдать за ними позже в ОТЛАДЧИКЕ, например, как меняются флаги в зависимости от используемых инструкций. Мы будем практиковаться на очень простых примерах, в нашем случае это очень простые крэкми, которые скомпилированы в VISUAL STUDIO 2015 для нашей практики. Очевидно, для того, чтобы крэкми заработал, у Вас должны быть установлены последние версия библиотек VISUAL STUDIO 2015 C++....
Читать далее
Лайков 0 Комментариев3 Просмотров50

Програмирование на fasm под Win64 часть 2 \"Системы счисления, память, регистры\"

7 июл 2017

Данная статья будет чисто теоретической, ничего программировать в ней мы не будем, но то, что здесь рассказывается знать необходимо. Системы счисления Начнём мы с систем счисления, они определяют способ записи чисел. Вам хорошо знакома десятичная система счисления, в ней существует десять цифр от 0 до 9. Число в данной системе счисления представляется как сумма чисел, каждое из которых принимает значения от нуля до девяти, умноженных на 10 в соответствующей степени, например, рассмотрим...
Читать далее
Лайков +4 Комментариев1 Просмотров115

Програмирование на fasm под Win64 часть 1 "Ассемблер, отладчик, IDE"

5 июл 2017

Введение Я начинаю цикл статей по ассемблеру fasm. Возможно у вас есть вопрос: “Зачем в 21 веке нужен ассемблер?”. Я бы ответил так: Конечно, знание ассемблера не обязятельно, но оно способствует пониманию, во что превращается ваш код, как он работает, это позволяет почувствовать силу. Ну и в конце концов: Писать на ассемблере просто приятно (ну по крайней мере небольшие приложения). Так что надеюсь, что мои статьи будут вам полезны. Где взять fasm? Собственно тут:...
Читать далее
Лайков +4 Комментариев3 Просмотров143

Про криптование малвари, и сколько будет FUD

16 май 2017

Краткая теория защиты специфического программного обеспечения от детектирования антивирусами в вопросах и ответах «на пальцах» 1. >Сколько продержится FUD? Один из самых тупых и надоедливых вопросов клиентов. Клиент даёт нам файл, мы его криптуем, убеждаемся на чекерах, что он ФУД; проверяем на Virtual Box, как правило на х64 Windows 7 и х86 Windows XP, что он работает (если встроена защита от VM – смотрим что крипт отрабатывает без проблем) и передаем закриптованный файл. Дальнейшие...
Читать далее
Лайков +2 Комментариев4 Просмотров207

Софтверные анклавы.

11 мар 2017

Механизм защиты памяти(продолжение темы про DFG). Довольно краткое(опирается на более ранние публикации) описание, но понятное. Полноценный антидамп.
Читать далее
Лайков +1 Комментариев0 Просмотров229

Преобразование чисел в указанную систему счисления

10 мар 2017

Всех приветствую! Постарался изложить материал, для тех кто не знаком с системами счисления очень кратко и без лишней воды. Дабы человек мог конкретно сконцентрироваться на интересующем его материале, надеюсь такой стиль изложения кому-то поможет. Прежде всего небольшой ликбез, в таблице представлены числа из разных систем счисления и их эквивалент. Также сюда можно заглядывать во время чтения статьи. ДесятичнаяШестнадцатиричнаяДвоичная четырех разрядная 0 0 0000 1 1 0001 2 2 0010 3 3...
Читать далее
Лайков +2 Комментариев0 Просмотров195

Анализ атомов AV

27 фев 2017

Анализ атомов1 AVПоказан пример анализа атомов в AV. В данном тесте не используется код самих AV, а только результат тестирования в виде сигнатурного детекта. В следствие этого за один тест может быть проверено одно булево условие. Как было сказано ранее, в VM код API содержит атомы, которые служат шлюзами VM. Через них управление получает VM и эмулирует API, которые не могут быть выполнены без использования среды VM. Простые API в свою очередь атомов не содержат. Для тестов используется...
Читать далее
Лайков +3 Комментариев3 Просмотров409

Обнаружение VM, навороченные методы (vx)

25 фев 2017

Обнаружение VM, навороченные методы (vx) https://yadi.sk/d/CQWCxYvT39FFtx Защита потока данных (Data Flow Guard) Защита потока управления (CFG) или данных (DFG) – методы обнаружения нарушения целостности кода или данных, обнаружение чужеродных объектов. Нарушение целостности кода — появление в нём посторонних инструкций, код может сам изменяться или вызывать чужеродный код косвенным путём — посредством изменения памяти, например указателей в массивах методов или адресов возврата на стеке. В...
Читать далее
Лайков +2 Комментариев1 Просмотров372