Новые публикации

Предисловие Наступал новый 2018 год. Кто-то собрался уезжать праздновать его наступление в тёплые края за границу, а кто-то остался праздновать новый год дома, в серых стенах каменного Санкт-Петербурга. Пожалуй, несомненно то, что новогодние праздники – особенная пора, от которой ждут волшебства, единения с семьёй и друзьями, и, разумеется, подарков, ведь все мы в той или иной степени в душе немного дети. Просто те, что помладше, ждут Деда Мороза, а те, что постарше, идут за подарками в...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2006 JID: sysenter@jabber.no Теперь о памяти и динамических библиотеках в нативе Дергаем функцию из любой библиотеки: bool WINAPI GetProcAdrLibFunc(wchar_t* wcLibName, wchar_t* pFunc ,char* FunName,WORD Ordinal) { UNICODE_STRING wmP; HMODULE NTDLL; if(!NTDLL) { RtlInitUnicodeString(&wmP,wcLibName); if((!NT_SUCCESS(LdrGetDllHandle(0,0,&wmP,&NTDLL)))|| NTDLL==NULL)...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2004 JID: sysenter@jabber.no Как продолжение 1 части Динамический запуск и выгрузка драйвера, используя, естественно, только нативные технологии Для начала получаем привилегии работы с дровами: BOOL EnableLoadDriverPrivilege(BOOL fEnable) { BOOL fOk = FALSE; HANDLE hToken; if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES,&hToken)) { TOKEN_PRIVILEGES tp;...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли © sysenter 2004 JID: sysenter@jabber.no Не удаляемая директория Хидер, который будет необходим под все эти выкрутасы в дальнейшем и сама либа ― в аттаче. В общем, запланировал небольшой цикл статей, для тех, кто любит юзермод. Часть будет на Си, часть на Fasm, часть на masm32. Но в том плане, что это не совсем юзермод, а именно самую низкую его часть, "приближенную к ядру" ― функции native (нативные) из библиотеки...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли (c)sysenter 2002 JID: sysenter@jabber.no Как-то, несколько лет назад (2002 год, за кодес не ругайте), когда я еще только изучал платформу WinNT (переходил с Win98) и, понятное дело, опыта написания софта под эту платформу было ноль, был заказ на приватный «инструмент», блокирующий работу USB флэш-накопителей на ПК секретаря одной фирмы. Видимо было подозрение на то, что кто-то «уносит домой» (а может и не совсем...

Давайте будем чередовать теорию с практическими упражнениями, чтобы пытаться постепенно укреплять свои знания и двигаться вперед. В этой части, мы будем рассматривать некоторые теоретические вопросы, по темам, которые мы должны знать. Они не будут очень техническими и тяжелыми. Мы видели, что когда мы определяем переменную, например так: INT PEPE = 4; [ATTACH] Переменная будет резервировать в памяти необходимое пространство ячеек памяти для хранения этого значения. В нашем случае, это...

Здесь мы нажимаем T, чтобы освежить информацию. Наконец, я переименовываю функцию в ENTER. [ATTACH] Мы видим, что три первые функции вызывают ENTER передавая адрес PEPE и три следующие передают адрес JUAN. Давайте посмотрим на следующую функцию. [ATTACH] Эта функция также использует обе структуры, поэтому Вы можете равно как в предыдущем случае нажать F5. [ATTACH] Здесь на переменной _STRUCT я делаю правый щелчок и выбираю пункт CONVERT TO STRUCT *. [ATTACH] Сейчас, это адрес...

Доброго времени суток. Некоторое время назад один из участников нашего форума обратился к сообществу за помощью в исследовании найденного на просторах интернета вредоносного java-script'а. Сам скрипт сильно обфусцирован и в том виде, в котором он был представлен, проанализировать его активность невозможно. В связи с этим я хотел бы рассказать как же посмотреть что он делает. Каких-то особых спецсредств для работы нам не потребуется. Понадобится лишь текстовый редактор. Я обычно использую...

https://yadi.sk/d/nQpBo9O93R9vm3

В этой части, мы будем решать упражнение, которое мы оставили для решения в предыдущей части. Оно называется IDA_STRUCT.7Z. Если Вы не решили это упражнение или у Вас его нет, загрузите его отсюда. http://ricardo.crver.net/WEB/INTRODUCCION AL REVERSING CON IDA PRO DESDE CERO/EJERCICIOS/IDA_STRUCT_RESOLVER DESPUES DE LA PARTE 26.7z Исполняемый файл называется CONSOLEAPPLICATION4.EXE и в том же каталоге находятся символы CONSOLEAPPLICATION4.PDB. Когда IDA загрузит файл, то сообщит Вам, что...

Врата один. Заповедь вторая. Путь в Вальхаллу. "Viam supervadet vadens" Ежели вы живете в Москве - вам необходимо доехать до некой станции метро. Дальше пешочком, минут двадцать, прогуляться по городу. Дорогу можно сократить минут на пять, рискую попасть под машины, тут на ваше усмотрение. Не самое удачное расположение офиса, но и не самое плохое. Но вот только если вы живете за пределами Москвы - добираться до обители становится накладно. Самое интересное, что материя и время в этом...

Выложу тут, мож пригодится кому, мож нет. Думаю нет смысла тут демогогию разводить. Сорец мой старый без юзания дизасма длинн префиксов. Если что дополню. Токо сначала InitializeCriticalSection(&CS); volatile static BYTE rehook[9][9]; volatile static DWORD hcount=0;//Хуки счетчик volatile static DWORD readdr[9]={0};//Хуки - адреса возврата static HMODULE NTDLL=0; HANDLE hNamedPipe=NULL; //Если f_splice=false - снять перехват //Тогда в параметре lpNewFunc - адрес True-функции LPVOID...

Концепция программирования, при которой большая часть нужных нам данных сгруппирована в структурах, имеет большой смысл. Если я, например, создам программу, в которой будет использоваться много разных типов данных и они будут передаваться в функции при вызове - получится слишком сложно. Когда мы используем структуры, мы группируем все эти данные и просто используем адрес начала структуры. В любой части программы мы может изменить любое поле структуры. Давайте разберем следующий пример...

СТРУКТУРЫ В этой части, мы начнём изучать, как IDA PRO помогает нам при реверсинге, когда программа использует структуры. В конце этой части, решения для файлов IDA3 и IDA4 будут краткими, потому что похожая проблема уже обсуждалась. Что же такое структура? Нам не нужно очень техническое определение, но мы видели, что МАССИВЫ это контейнеры, которые резервировали пространство в памяти для своих полей. Поля были того же типа, что и сами массивы, поэтому МАССИВЫ могут быть из байтов, слов,...

Решение для упражнения IDA2.EXE довольно похоже на предыдущее, только здесь присутствуют две переменные или мы можем назвать их кукисами. Для того, чтобы перенести Вас в область хорошего сообщения, теперь сравниваются две переменные, а не одна. [ATTACH] Давайте посмотрим, существует ли место, где Вы можете изменить эти переменные? Мы переименовываем переменные в COOKIE и COOKIE 2, так как сама IDA называет их такими именами. [ATTACH] Мы видим, что единственные места, где есть доступ к...

Легкие перистые облака, весь день плавающие по небу, не внушали особого беспокойства, но к вечеру (по закону бутерброда) они начали уплотнятся, сбиваясь в плотные перисто-слоистые кучки, явно намериваясь сорвать готовящиеся наблюдения… К окуляру 110мм «Мицара» я прильнул задолго до наступления затмения – по расчетам, в 20h 05m 13s ожидалось покрытие  Близнецов (мои географические координаты – 41324 восточной долготы и 44837 северной широты, время московское). Просвечивая сквозь густые...

«Здравствуйте. Я - начинающий хакер. Вообще ничего об этом не знаю, но очень хочу узнать. С детства мечтаю стать хакером. Дайте моей мечте сбыться.» “Ecohidromas" <ecohm@mdl.net> «Хакерство» – настолько общее понятие, что никаких универсальных рекомендаций «как стать хакером» не существует. Если под «хакером» понимать человека, одержимого познаванием окружающего мира, то не зависимо от того, зарывается ли он по голову в распечатки или коротает вечера, вглядываясь в глубины Вселенной, а...

Памяти Криса Касперского (Николая Владимировича Лихачёва) http://yasha.su/samag04(173)-06-12.pdf [ATTACH]

Осталось решить незаконченное упражнение IDA1.EXE. [ATTACH] Функция основана на EBP как предыдущие упражнения. Разница заключается в том, что этот пример скомпилирован с помощью DEVC++, который имеет особый способ компиляции вызовов API, отличный от обычного способа и это может вызвать головокружение, у тех, кто никогда такого не видел. Хорошо, "VAMOS POR PARTES", как сказал Джек. Первое, что мы видим - это функция MAIN. Если она не появляется, Вы также можете перейти к важной функции,...

РАЗЛИЧАЯ DIFFER (В дальнейшем — Дифер, прим. Яши) - это программа, которая из двух последовательных версий одного и того же файла, пытается найти различия в функциях, несмотря на изменения и пытается показать нам какие функции были изменены и где. Очевидно, эта не простая работа. Особенно, когда между версиями было много изменений, которые могут появиться в приложение из-за патча безопасности, для того, чтобы устранить какую-нибудь уязвимость, а также, могут быть появится улучшения в...