Новые публикации

Прежде чем делать упражнение из предыдущей части, я расскажу о некоторых моментах более подробно, которые остались в тени из-за моего быстрого объяснения и затем мы создадим POC. Один из моментов, который остаётся неясным заключается в том, что иногда мы принимаем размер массива, который предлагает нам IDA при выполнении правого щелчка и выбора пункта ARRAY. Иногда мы ставим предлагаемый нам размер под сомнение как в предыдущем примере и устанавливаем значение длины массива немного больше....

Мы попытаемся решить упражнение, предложенное в 29 части. Это DIFF двух последовательных версий VLC плеера. У Вас есть CVE в качестве помощи с информацией. И эта информация, это то, что у нас есть. После установки в виртуальной машине уязвимой и пропатченной версии, я буду изучать информацию об уязвимости в CVE, чтобы узнать, даст ли CVE мне подсказку, чтобы помочь мне не слишком сильно заниматься анализом различий. [ATTACH] Если я посмотрю в папку, где установлен VLC, я увижу, что плеер...

С тем, что мы видели до настоящего времени, мы можем попытаться, по крайней мере, анализировать реальные программы. Я буду давать Вам упражнение, которое я буду решать в 30 части. Я хотел бы, чтобы Вы восприняли это упражнение как нечто забавное и прислали мне то, что Вы найдете в нём. Я довожу до Вашего сведения, что это совсем не легко, так что не расстраивайтесь. Смысл состоит в том, что я даю Вам две последовательные версии программы, поэтому в новых патчах могут быть обнаружены...

[ATTACH] И хотя Николая нет уже почти год, этот, переродившийся ресурс всегда будет помнить про него. Именно на этом форуме Николай больше всего общался, давал советы, троллил, шутил и т.д. И именно поэтому, на этом ресурсе, появится его новая статья, статья, которую можно увидеть в свежем выпуске журнала Системного Администратор. Слова Николая оказались пророческими, про него помнят и будут помнить и он будет продолжать издаваться в Системном Администраторе....

Файлы для статьи "Знакомимся с Raspberry Pi"

Предисловие Наступал новый 2018 год. Кто-то собрался уезжать праздновать его наступление в тёплые края за границу, а кто-то остался праздновать новый год дома, в серых стенах каменного Санкт-Петербурга. Пожалуй, несомненно то, что новогодние праздники – особенная пора, от которой ждут волшебства, единения с семьёй и друзьями, и, разумеется, подарков, ведь все мы в той или иной степени в душе немного дети. Просто те, что помладше, ждут Деда Мороза, а те, что постарше, идут за подарками в...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2006 JID: sysenter@jabber.no Теперь о памяти и динамических библиотеках в нативе Дергаем функцию из любой библиотеки: bool WINAPI GetProcAdrLibFunc(wchar_t* wcLibName, wchar_t* pFunc ,char* FunName,WORD Ordinal) { UNICODE_STRING wmP; HMODULE NTDLL; if(!NTDLL) { RtlInitUnicodeString(&wmP,wcLibName); if((!NT_SUCCESS(LdrGetDllHandle(0,0,&wmP,&NTDLL)))|| NTDLL==NULL)...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2004 JID: sysenter@jabber.no Как продолжение 1 части Динамический запуск и выгрузка драйвера, используя, естественно, только нативные технологии Для начала получаем привилегии работы с дровами: BOOL EnableLoadDriverPrivilege(BOOL fEnable) { BOOL fOk = FALSE; HANDLE hToken; if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES,&hToken)) { TOKEN_PRIVILEGES tp;...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2004 JID: sysenter@jabber.no Не удаляемая директория Хидер, который будет необходим под все эти выкрутасы в дальнейшем и сама либа ― в аттаче. В общем, запланировал небольшой цикл статей, для тех, кто любит юзермод. Часть будет на Си, часть на Fasm, часть на masm32. Но в том плане, что это не совсем юзермод, а именно самую низкую его часть, "приближенную к ядру" ― функции native (нативные) из библиотеки...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли (c)sysenter 2002 JID: sysenter@jabber.no Как-то, несколько лет назад (2002 год, за кодес не ругайте), когда я еще только изучал платформу WinNT (переходил с Win98) и, понятное дело, опыта написания софта под эту платформу было ноль, был заказ на приватный «инструмент», блокирующий работу USB флэш-накопителей на ПК секретаря одной фирмы. Видимо было подозрение на то, что кто-то «уносит домой» (а может и не совсем...

Давайте будем чередовать теорию с практическими упражнениями, чтобы пытаться постепенно укреплять свои знания и двигаться вперед. В этой части, мы будем рассматривать некоторые теоретические вопросы, по темам, которые мы должны знать. Они не будут очень техническими и тяжелыми. Мы видели, что когда мы определяем переменную, например так: INT PEPE = 4; [ATTACH] Переменная будет резервировать в памяти необходимое пространство ячеек памяти для хранения этого значения. В нашем случае, это...

Здесь мы нажимаем T, чтобы освежить информацию. Наконец, я переименовываю функцию в ENTER. [ATTACH] Мы видим, что три первые функции вызывают ENTER передавая адрес PEPE и три следующие передают адрес JUAN. Давайте посмотрим на следующую функцию. [ATTACH] Эта функция также использует обе структуры, поэтому Вы можете равно как в предыдущем случае нажать F5. [ATTACH] Здесь на переменной _STRUCT я делаю правый щелчок и выбираю пункт CONVERT TO STRUCT *. [ATTACH] Сейчас, это адрес...

Доброго времени суток. Некоторое время назад один из участников нашего форума обратился к сообществу за помощью в исследовании найденного на просторах интернета вредоносного java-script'а. Сам скрипт сильно обфусцирован и в том виде, в котором он был представлен, проанализировать его активность невозможно. В связи с этим я хотел бы рассказать как же посмотреть что он делает. Каких-то особых спецсредств для работы нам не потребуется. Понадобится лишь текстовый редактор. Я обычно использую...

https://yadi.sk/d/nQpBo9O93R9vm3

В этой части, мы будем решать упражнение, которое мы оставили для решения в предыдущей части. Оно называется IDA_STRUCT.7Z. Если Вы не решили это упражнение или у Вас его нет, загрузите его отсюда. http://ricardo.crver.net/WEB/INTRODUCCION AL REVERSING CON IDA PRO DESDE CERO/EJERCICIOS/IDA_STRUCT_RESOLVER DESPUES DE LA PARTE 26.7z Исполняемый файл называется CONSOLEAPPLICATION4.EXE и в том же каталоге находятся символы CONSOLEAPPLICATION4.PDB. Когда IDA загрузит файл, то сообщит Вам, что...

Врата один. Заповедь вторая. Путь в Вальхаллу. "Viam supervadet vadens" Ежели вы живете в Москве - вам необходимо доехать до некой станции метро. Дальше пешочком, минут двадцать, прогуляться по городу. Дорогу можно сократить минут на пять, рискую попасть под машины, тут на ваше усмотрение. Не самое удачное расположение офиса, но и не самое плохое. Но вот только если вы живете за пределами Москвы - добираться до обители становится накладно. Самое интересное, что материя и время в этом...

Выложу тут, мож пригодится кому, мож нет. Думаю нет смысла тут демогогию разводить. Сорец мой старый без юзания дизасма длинн префиксов. Если что дополню. Токо сначала InitializeCriticalSection(&CS); volatile static BYTE rehook[9][9]; volatile static DWORD hcount=0;//Хуки счетчик volatile static DWORD readdr[9]={0};//Хуки - адреса возврата static HMODULE NTDLL=0; HANDLE hNamedPipe=NULL; //Если f_splice=false - снять перехват //Тогда в параметре lpNewFunc - адрес True-функции LPVOID...

Концепция программирования, при которой большая часть нужных нам данных сгруппирована в структурах, имеет большой смысл. Если я, например, создам программу, в которой будет использоваться много разных типов данных и они будут передаваться в функции при вызове - получится слишком сложно. Когда мы используем структуры, мы группируем все эти данные и просто используем адрес начала структуры. В любой части программы мы может изменить любое поле структуры. Давайте разберем следующий пример...

СТРУКТУРЫ В этой части, мы начнём изучать, как IDA PRO помогает нам при реверсинге, когда программа использует структуры. В конце этой части, решения для файлов IDA3 и IDA4 будут краткими, потому что похожая проблема уже обсуждалась. Что же такое структура? Нам не нужно очень техническое определение, но мы видели, что МАССИВЫ это контейнеры, которые резервировали пространство в памяти для своих полей. Поля были того же типа, что и сами массивы, поэтому МАССИВЫ могут быть из байтов, слов,...

Решение для упражнения IDA2.EXE довольно похоже на предыдущее, только здесь присутствуют две переменные или мы можем назвать их кукисами. Для того, чтобы перенести Вас в область хорошего сообщения, теперь сравниваются две переменные, а не одна. [ATTACH] Давайте посмотрим, существует ли место, где Вы можете изменить эти переменные? Мы переименовываем переменные в COOKIE и COOKIE 2, так как сама IDA называет их такими именами. [ATTACH] Мы видим, что единственные места, где есть доступ к...