SadKo, Зло это переменные к которым происходит доступ на более высоком уровне привилегий, а глобальные они или локальные - без разницы. По теме же - отличная сборка получится походу, судя по всему. Про специфику даже никто и не вспомнил..
скок написалось то... Что сказать то.. Про то что выпускать чаще - дак я вообще за ( но конечно все понимают, что 1 человек это не сделает ) и годный контент к сожалению вообще редкость и даж за деньги его часто не купить ( не то что за "спасибо" получить ). Частота выпуска зависит от тех кто этот текст читает. Про материал "попроще"... можно такую сделать рубрику ( проскакивало попроще в журнале ). Стилистика... авторов никто не ограничивал - как хотели писать так и пишут. Специально под какой-то формат заставлять писать при условии нехватки материала думаю нет смысла. Да и собственно пофиг если пусть с ошибками или матом, но что-то хорошее написано то замечательно ) пишите больше. Главное идея код и т. п. А уж как там лично литературную ценность оценивает... это вообще не о том. Про оформление - вон шева тут... читает и внимает ваши пожелания =) Про язык... ну уж так сложилось что он на РУ выходит - остальные тож приветствуются и ИМХО надо максимально на другие переводить хуже точно не будет. ( yashechka, прошлые на всякие другие можешь по переводить пока ) Thetrik, >Интересны ли будут статьи такого плана? Тыж вроде грамотный парень?.. всё хорошо почитал да интересно, но помоему надо от шаблонных названий отказаться и чуток сферу исследований сменить SadKo, Присылай. Ты кидал в прошлый, но по тематике особо не подходило... в этот видимо пойдёт Rel, Indy_, Вы то как?.. Наедятся или нет? __sheva740, тебе телефон скинуть свой?.. вылазте уже
Переводы опубликованных статей нет. За статью не пойдёт... Прошлые или тот что будет - отлично если переводы появятся.
Кстати если говорить про новичков, то много тем не раскрыто, вот парочка которые очень интересны новичкам (по крайне-мере меня постоянно спрашивают): 1)Чистка крипторов на C#, вообще есть немного статей в рунете, но думаю будет интересно многим, если будет такая статейка в журнале. Например когда-то давно помню на факкаве была программа, с классным названием "ав###а", которая могла чистить крипторы и вирусы. Пользовалась большой популярностью в своё время. 2)Вторая тема, ещё в рунете вообще не раскрыта. Это "Генератор крипторов на VB", на испанских бордах очень популярная тема, по сути что-то типо обфускации кода. Скармливается ей исходник, или часть кода, а на выходе получаем уже "чистый" от ав код.
X-Shar, Это примитивные темы, тем более что связаны обходом ав и не являются техническими. Лишь одна тема по обходу не раскрыта, это имплементация анклавов и фундаментальная защита от OP: https://wasm.in/threads/antiinzhekt-otlovit-smenu-konteksta.32315/ Никакой криптор или в общем модель обхода не может скрыть память. В депак апп виде авер может читать любой код.
Оно так, но не все ав до этого "доросли". Также как не у всех ав это адекватно отрабатывает. Например в том-же защитнике виндовс, многие крипторы работают весьма неплохо. Также-как и у каспера, проверял правда на 2016 но не суть, также работает на запуск простейший RunPE криптор. Главное что-бы "поведенческий анализатор" не на куролесил у вируса. Нод и др. веб большинство детектит крипторов, но тоже не все. Всё зависит от внешних факторов, вируса и криптора. Кстати забыл ещё сказать, что криптование длл вообще в рунете неописанно. Так-же как и криптование x64 приложений. Да может-быть многим здесь это не интересно, но описание этих тем привлечёт внимание думаю, по крайне-мере новичков точно. Ну и многие темы в реализации относительно несложные, много времени не должны занять, больше времени тратить на описание как делать.
X-Shar, Элементарный ранпе не является чем то интересным, это обычная примитивная рутина. > Оно так, но не все ав до этого "доросли". Многие ав чёрт знает сколько времени назад сканили память. Противодействия никакого этому небыло, никаких разработок. Сейчас же это ключевой метод ав. Скан памяти делает бессмысленным всякое криптование. Морф - хорошо, но полноценный является нэйтивным и апп растёт каждом поколении, увы свёртку выполнить нельзя.
Некоторое время нужно было. Можно в программе или внешней программе, может в драйвере определить кто пытается читать память. Нужно кое для чего. Есть такой механизм у проца или контроллера памяти? Теоретически у меня возникло такое решение, внедрится в шедуллер и читать на какие адреса памяти (по eip) переключается процессор, таким образом читаем выполняемую команду и адрес памяти, если к памяти в этой команде идет запрос на чтение.
Может-быть сделали и давно, но в боевых условиях такой детект работает далеко не идеально. Вот объясните мне такую вещь, из практике. Делал простецкий криптор, вообще по "древней технологии", тупо распаковка, антиэмуляция и запуск в памяти. Никакого морфа нет там, вернее специально этого не делал, код не менял. Так-вот для теста сделал сервер кометы, ну просто что-бы дёргал локалхост и сидел в памяти (чисто ради теста), специально взял комету, что-бы детектили все антивирусы. Ну обработал этот вирус пакером. Запустил, блин и как всегда из-за головотяпства забыл про него, прошёл месяц, он так и сидел из-под касперского. Причём касперский обнаружил только сейчас, 15-го октября запустил, сейчас 5-е и задетектил пакер (Так-бы я про него и невспомнил наверное). Видно кто-то начал его юзать, я его в паблик выложил. Так-что на практике этот детект ну очень кривой. Конечно по одному такому случаю судить нельзя. У меня x64 система не самая новая 7-ка, каспер старенький. Но всё-же.
И ещё, на викслабе не качается третья часть журнала:https://vxlab.info/inception3/ А качается вторая почему-то, поправьте...
X-Shar, Не знаю про что вы говорите. В модуле есть сигнатура известная ав, она скрыта слоем пакера/криптора. После депака эта сигнатура в чистом виде в памяти. Причины недетекта - множество их, устарели базы, авер отключен етц.
neutronion_old_school, #92 Базовая архитектура этот механизм не предоставляет. Для решения есть один путь, который делится на два способа. Железячная виртуализация(не поддерживает x86) и софтверные визоры. Ожидать смену контекста - идея годная, она как помню очень давно была реализована cr4sh. Но это даёт только адреса, на которые передаётся управление. Что бы дальше снять трассу нужно опять же использовать визор. Те дебаг механизмы(софтверная имплем.) NT, типо монитора WS в реалтайме не могут применяться, сброс рабочего набора имеет слишком большой тайминг, апп становится не рабочим.
Не назвали ещё одну причину, некоторые (а точнее многие) антивирусы в принципе не детектят по такому алгоритму ! Поэтому многие и не заморачиваются этим, точно также можно поговорить и о детекте по репутации и т.д. Кстати не видел, что-бы кто-то заморачивался этим и в комерсе, т.е. кто продают/покупают. Ну те-кто продают ясно с ними всё, а кто покупает, зачем-же они покупают по сути ненужный товар, т.е. криптор ? Я просто хочу сказать, что крипторы ещё не раскрыты, даже RunPe криптор весьма боевой инструмент, всё дело в его применении.
X-Shar, Криптор актуален при его непрерывной поддержке. Тоесть до попадания в базы выполняется чистка. Но она ручная, это не может сделать софт. Слишком сложная задача.
> Я просто хочу сказать, что крипторы ещё не раскрыты Я против крипторов, это примитивные блэк инструменты. И обсуждать их в каком то журнале по мойму низко и не годится.
