1. Если вы только начинаете программировать на ассемблере и не знаете с чего начать, тогда попробуйте среду разработки ASM Visual IDE
    (c) на правах рекламы
    Скрыть объявление

Исследуем эксплоит CVE-2012-0158

29 мар 2019

Всем привет. Сегодня мы будем исследовать rtf эксплоит CVE-2012-0158, и посмотрим как он работает изнутри. Для исследований нам понадобится хекс редактор (я использую 010-Editor), отладчик (я использую OllyDbg) и просмотрщик составных OLE файлов (я использую SS Viewer). Для тестирования - Word 2007. Итак приступим. В описании написано что эксплоит использует переполнение буфера для запуска кода в стеке используя уязвимость в MSCOMCTL.OCX, подменяя адрес возврата. Данные для исследования...
Читать далее
Лайков +1 Комментариев0 Просмотров1.302

Для тех кто на диване и лень читать Intel маны (обход проактивок. часть 1)

19 фев 2018

Здесь пойдет речь об обходе каспера. Кому надо редактируйте, имхо это набросок, но рабочий, я не силен в писанине статей, люблю, жесткий кодес, и всё. И так приступим к проактиву каспера.... Вот так определяем его песочницу, ака типа эмулятор Сначала смотрим CPUID поддержку - в дальнейшем надо будет. int isCPUIDsupported (void) { // returns 1 if CPUID instruction supported on this processor, zero otherwise // This isn't necessary on 64 bit processors because all 64 bit Intel...
Читать далее
Лайков +2 Комментариев0 Просмотров1.271

FlashSpy

8 янв 2018

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли (c)sysenter 2002 JID: sysenter@jabber.no Как-то, несколько лет назад (2002 год, за кодес не ругайте), когда я еще только изучал платформу WinNT (переходил с Win98) и, понятное дело, опыта написания софта под эту платформу было ноль, был заказ на приватный «инструмент», блокирующий работу USB флэш-накопителей на ПК секретаря одной фирмы. Видимо было подозрение на то, что кто-то «уносит домой» (а может и не совсем...
Читать далее
Лайков +1 Комментариев0 Просмотров1.424

Потаха с кусками сорцев

9 сен 2017

© sysenter - Как то ехал я перед рождеством.. Погонял коня гужевым хлыстом.... Что нужно, а что нет в VX теме 1. DLL херово криптуются, в чем у мну заказчик просайгонился, но пролдержалась потаха долго 2. Линки на анализ https://habrahabr.ru/company/eset/blog/263855/ https://habrahabr.ru/company/eset/blog/264165/ 3. Делалось за 12к 4. Куски кодеса #pragma once //====================================================================== /*extern "C" PCSTR WSAAPI inet_ntop( __in...
Читать далее
Лайков +1 Комментариев7 Просмотров3.112

Альтернативная зона .bit

7 сен 2017

Не моё, но может кому то интересно. Как то давно мне присылали. Альтернативная зона DNS .bit Материал из Википедии: Namecoin (англ. name — «имя», англ. coin — «монета») — основанная на технологии Bitcoin система хранения произвольных комбинаций вида «имя-значение», наиболее известным применением которой является система альтернативных корневых DNS-серверов. Nameсoin не управляются какой-либо одной организацией. Каждый узел сети Nameсoin имеет полную копию распределённой базы данных. Принцип...
Читать далее
Лайков +2 Комментариев1 Просмотров3.553

Про криптование малвари, и сколько будет FUD

16 май 2017

Краткая теория защиты специфического программного обеспечения от детектирования антивирусами в вопросах и ответах «на пальцах» 1. >Сколько продержится FUD? Один из самых тупых и надоедливых вопросов клиентов. Клиент даёт нам файл, мы его криптуем, убеждаемся на чекерах, что он ФУД; проверяем на Virtual Box, как правило на х64 Windows 7 и х86 Windows XP, что он работает (если встроена защита от VM – смотрим что крипт отрабатывает без проблем) и передаем закриптованный файл. Дальнейшие...
Читать далее
Лайков +2 Комментариев4 Просмотров2.368

Анализ атомов AV

27 фев 2017

Анализ атомов1 AVПоказан пример анализа атомов в AV. В данном тесте не используется код самих AV, а только результат тестирования в виде сигнатурного детекта. В следствие этого за один тест может быть проверено одно булево условие. Как было сказано ранее, в VM код API содержит атомы, которые служат шлюзами VM. Через них управление получает VM и эмулирует API, которые не могут быть выполнены без использования среды VM. Простые API в свою очередь атомов не содержат. Для тестов используется...
Читать далее
Лайков +3 Комментариев3 Просмотров2.246

Обнаружение VM, навороченные методы (vx)

25 фев 2017

Обнаружение VM, навороченные методы (vx) https://yadi.sk/d/CQWCxYvT39FFtx Защита потока данных (Data Flow Guard) Защита потока управления (CFG) или данных (DFG) – методы обнаружения нарушения целостности кода или данных, обнаружение чужеродных объектов. Нарушение целостности кода — появление в нём посторонних инструкций, код может сам изменяться или вызывать чужеродный код косвенным путём — посредством изменения памяти, например указателей в массивах методов или адресов возврата на стеке. В...
Читать далее
Лайков +2 Комментариев6 Просмотров3.675