Новые публикации

РАЗЛИЧАЯ DIFFER (В дальнейшем — Дифер, прим. Яши) - это программа, которая из двух последовательных версий одного и того же файла, пытается найти различия в функциях, несмотря на изменения и пытается показать нам какие функции были изменены и где. Очевидно, эта не простая работа. Особенно, когда между версиями было много изменений, которые могут появиться в приложение из-за патча безопасности, для того, чтобы устранить какую-нибудь уязвимость, а также, могут быть появится улучшения в...

Всем привет. :preved::preved::preved: Составил список лекций, чтобы можно было смотреть, что нас ждёт в этом курсе. Напоминаю, что №62 - это не последняя глава. Маэстро продолжает трудиться.:thank_you::thank_you::thank_you: За что ему честь и хвала. И мы тоже будем потихоньку трудиться.:boast::boast::boast: Вперёд, на встречу приключениям и знаниям :girl_witch::girl_witch::girl_witch: 01 - Знакомство с IDA PRO. 02 - Системы счисления. 03 - Регистры процессора. 04 - Стек и самые простые...

В 20-той части, мы оставили упражнение, чтобы проанализировать его позже и узнать было ли оно уязвимым или нет. В списке рассылки CRACKSLATINOS было много мнений, я не отвечал там и позволил единомышленникам обсуждать эту тему, оставив решение упражнения и анализ на потом, чтобы дать ответ в этой 21-ой части. У нас есть исходный код программы, который может помочь нам при исследовании, IDB файл и сам исполняемый файл, который мы можем реверсить в IDA и отлаживать, если это необходимо....

Уязвимости. В этой части, мы поговорим об уязвимоcтях и как анализировать самые простые из них. Что же такое уязвимость ? В компьютерной безопасности, слово уязвимость относится к слабости в системе, позволяющей атакующему нарушать конфиденциальность, целостность, доступность, контроль доступа, согласование системы или её данных и приложений. Уязвимости - это результат ошибок или просчётов в дизайне системы. Хотя, в более широком смысле, они также могут быть результатом самих...

В этой главе, у нас уже достаточно знаний и умений, чтобы реверсить оригинальный крекми CRUEHEADа. Поэтому открываем его в ЗАГРУЗЧИКЕ, выключая опцию MANUAL LOAD. Исходный файл не упакован, так что нет необходимости загружать его вручную. [ATTACH] Загрузчик остановился здесь. В нашем случае, поскольку это не консольное приложение, то нужно не только анализировать функцию MAIN. Мы знаем, что в оконных приложениях существует ЦИКЛ сообщений, который обрабатывает взаимодействие пользователя с...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли Введение Статья 1280 Четвёртой части Гражданского кодекса РФ, вступившей в силу 01.01.2008 г. Свободное воспроизведение программ для ЭВМ и баз данных. Декомпилирование программ для ЭВМ «1. Лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения: 1) внести в программу для ЭВМ...

В предыдущей части, мы распаковали исполняемый файл упражнения и сделали его рабочим. В этой части, мы будем его реверсить, чтобы увидеть, можно ли сделать для него кейген в PYTHON. Хорошо помнить, что для статического анализа нет необходимости распаковывать файл. Нам просто нужно получить OEP и сделать TAKE MEMORY SNAPSHOT. Затем, нужно скопировать файл .IDB в другое место и открыть его там. Этого бы хватило, чтобы анализировать его статически, но хорошо иметь распакованный файл, это...

Мы достигли 17-той части и предполагается, что, по крайней мере, Вы должны были попробовать решить это упражнение. http://ricardonarvaja.info/WEB/INTRODUCCION AL REVERSING CON IDA PRO DESDE CERO/EJERCICIOS/ Оно очень простое. Мы должны распаковать файл из примера, как мы делали это в предыдущих частях, а затем, отреверсить его, чтобы найти для него решение, и, если это возможно, сделать кейген в PYTHON. В этой главе мы будем действовать немного по другому. Я буду распаковывать файл...

Прежде чем продолжать углубляться в реверсинг, мы сделаем ещё одно упражнение по распаковке на другом примере. Этим файлом будет UNPACKME_ASPACK 2.2. Он относится к категории простых. Далее в курсе, мы вернёмся к расширенной распаковке после изучения других тем. [ATTACH] Здесь, видим EP упакованного файла. Она начинается с инструкции PUSHAD, которую мы, пока, не видели среди часто используемых инструкций, но её работа заключается в том, что она ПОМЕЩАЕТ(КЛАДЁТ) каждый регистр в стек, т.е....

В предыдущей части, мы увидели несколько из многих методов, которые существуют для обнаружения и получения OEP в упакованном файле. Сейчас, вернёмся к двум пропущенными шагам: это ДАМП и ВОССТАНОВЛЕНИЕ IAT, стараясь объяснить их в этом туториале. [ATTACH] Мы снова попадаем в OEP программы и делаем её ПОВТОРНЫЙ АНАЛИЗ. Теперь у нас уже есть всё, чтобы сделать ДАМП. Сейчас будем использовать IDC скрипт, а не PYTHON. Static main() { auto fp, ea; fp = fopen("pepe.bin","wb"); for(ea =...

Это курс будет смешанным, и он будет включать в себя разные темы связанные с реверсингом (мы уже говорили о статическом реверсинге, а также будем говорить об отладке, распаковке, эксплоитинге). В этой главе мы будем распаковывать файл CRACKME.EXE упакованный последним UPX. Это не означает, что мы собираемся cделать много частей только с распаковкой, мы будем менять темы разговора, и перемешивать различные темы, для того, чтобы никто не скучал, так что у нас будут уроки по распаковке,...

Перед тем как продолжать с упражнениями углубляться в использование IDA, мы рассмотрим эту главу №13 в расслабленном режиме(RELAX MODE WASM), чтобы изучить плагин, который достаточно удобный и который даёт нам возможность управлять лучше PYTHON, Шадди предложил использовать эту включенную, интересную панельку и я ему очень благодарен. Плагин называется IPYIDA и он устанавливается простым копированием и вставкой следующей строки в панель PYTHON. import urllib2; exec...

© sysenter - Как то ехал я перед рождеством.. Погонял коня гужевым хлыстом.... Что нужно, а что нет в VX теме 1. DLL херово криптуются, в чем у мну заказчик просайгонился, но пролдержалась потаха долго 2. Линки на анализ https://habrahabr.ru/company/eset/blog/263855/ https://habrahabr.ru/company/eset/blog/264165/ 3. Делалось за 12к 4. Куски кодеса #pragma once //====================================================================== /*extern "C" PCSTR WSAAPI inet_ntop( __in...

Сетевой червь "ReX" © 2016 - 2017 sysenter (JID: dart@crypt.am) - Назначение и описаниеReX предназначен для осуществления доступа от машины №0 к целевой машине №End по заданному при его запуске на хосте №0 с соответствующими параметрами в командной строке, конфигурационном файле или оверлее. Главное, что необходимо понять - доступ и работа с целевой машиной №End осуществляется НЕ НАПРЯМУЮ, а ПО ЦЕПОЧКЕ №0 - №1 - №2 - ...- №х- ... - №End. Это бывает необходимо для секретных либо финансовых...

И вновь продолжается бой И сердцу тревожно в груди.. (Из песни времен СССР.) Активная антиотладка и антиинжект по Рихтеру Далее будет использован синтаксис Microsoft Си. Проекты в конце статьи – под Microsoft Visual Studio v.6.0 . Разговор далее пойдет только о Ring3. Недавно работая над написанием плагина под Sysinternals Process Explorer, стлучайно столкнулся с функцией RtlQueryProcessDebugInformation из ntdll.dll, которая оказывается использует удаленные потоки для получения информации о...

Не моё, но может кому то интересно. Как то давно мне присылали. Альтернативная зона DNS .bit Материал из Википедии: Namecoin (англ. name — «имя», англ. coin — «монета») — основанная на технологии Bitcoin система хранения произвольных комбинаций вида «имя-значение», наиболее известным применением которой является система альтернативных корневых DNS-серверов. Nameсoin не управляются какой-либо одной организацией. Каждый узел сети Nameсoin имеет полную копию распределённой базы данных. Принцип...

Перевод статьи «Hooking into NDIS and TDI, part 1» Перехват NDIS и TDI, часть 1 andreas пишет: Это первая часть из 2-х статей, описывающих перехват на уровне NDIS и TDI. В первой части мы обсудим перехват на уровне NDIS, а во второй на уровне TDI. Прежде всего давайте посмотрим на упрощенное изображение сетевого стека в пространстве ядра: TDI NDIS уровень протокола NDIS промежуточный уровень Miniport Hardware Для контроля потока данных на уровне NDIS у нас есть 3 потенциально возможные...

Определение скрытых процессов методом перехвата функции SwapContext. kimmo пишет: Общедоступна утилита Klister, созданная Джоанной Рутковской, которая (утилита) может определять скрытые процессы, проверяя содержимое трех связных списков, управляемых ядром: KiWaitInListHead, KiWaitOutListHead и KiDispatcherReadyListHead. Тем не менее Klister может работать только в ОС Windows 2000 и перенесение (переписывание) кода в ОС Windows 2003/ХР является не такой уж тривиальной задачей. Проблема в...

Линейный адрес таблицы указывает, в какой области оперативной памяти находится таблица. Размер таблицы считается в байтах, при чём значение битов 0-15 должно быть на единицу меньше реального размера таблицы. Структура регистра LDTR выглядит следующим образом: [IMG] Рисунок 17. Структура данных регистра LDTR Из всех 10 байт нам доступны лишь младшие два байта (биты 0-15), в которые следует загрузить селектор дескриптора таблицы LDT, находящийся в таблице GDT. В таком случае общий механизм...

Начала программирования в защищённом режиме. Часть 1 Предисловие Данный цикл статей расчитан на пользователей персональный компьютеров типа IBM PC, которые хотели бы познакомиться с архитектурой процессоров семейства Intel в защищённом режиме и написать свою собственную программу, функционирующую как вполне самостоятельная операционная система. От читателя требуется хотя бы минимальный опыт программирования на языках Assembler и C++, потому что будет предполагаться, что с некоторыми...