Interception

Тема в разделе "WASM.HEAP", создана пользователем yashechka, 9 окт 2017.

  1. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    SadKo,

    Зло это переменные к которым происходит доступ на более высоком уровне привилегий, а глобальные они или локальные - без разницы.

    По теме же - отличная сборка получится походу, судя по всему. Про специфику даже никто и не вспомнил..
     
  2. Izg0y1

    Izg0y1 Member

    Публикаций:
    0
    Регистрация:
    3 апр 2010
    Сообщения:
    29
    скок написалось то...

    Что сказать то..

    Про то что выпускать чаще - дак я вообще за ( но конечно все понимают, что 1 человек это не сделает ) и годный контент к сожалению вообще редкость и даж за деньги его часто не купить ( не то что за "спасибо" получить ). Частота выпуска зависит от тех кто этот текст читает.

    Про материал "попроще"... можно такую сделать рубрику ( проскакивало попроще в журнале ).

    Стилистика... авторов никто не ограничивал - как хотели писать так и пишут. Специально под какой-то формат заставлять писать при условии нехватки материала думаю нет смысла. Да и собственно пофиг если пусть с ошибками или матом, но что-то хорошее написано то замечательно ) пишите больше. Главное идея код и т. п. А уж как там лично литературную ценность оценивает... это вообще не о том.

    Про оформление - вон шева тут... читает и внимает ваши пожелания =)

    Про язык... ну уж так сложилось что он на РУ выходит - остальные тож приветствуются и ИМХО надо максимально на другие переводить хуже точно не будет. ( yashechka, прошлые на всякие другие можешь по переводить пока )

    Thetrik, >Интересны ли будут статьи такого плана?
    Тыж вроде грамотный парень?.. всё хорошо почитал да интересно, но помоему надо от шаблонных названий отказаться и чуток сферу исследований сменить

    SadKo, Присылай. Ты кидал в прошлый, но по тематике особо не подходило... в этот видимо пойдёт

    Rel, Indy_, Вы то как?.. Наедятся или нет?

    __sheva740, тебе телефон скинуть свой?.. вылазте уже
     
    yashechka нравится это.
  3. yashechka

    yashechka Ростовский фанат Нарвахи

    Публикаций:
    90
    Регистрация:
    2 янв 2012
    Сообщения:
    1.449
    Адрес:
    Россия
    yashechka, прошлые на всякие другие можешь по переводить пока - Это как?
    Переводы не примут?
     
  4. Izg0y1

    Izg0y1 Member

    Публикаций:
    0
    Регистрация:
    3 апр 2010
    Сообщения:
    29
    Переводы опубликованных статей нет. За статью не пойдёт...
    Прошлые или тот что будет - отлично если переводы появятся.
     
  5. yashechka

    yashechka Ростовский фанат Нарвахи

    Публикаций:
    90
    Регистрация:
    2 янв 2012
    Сообщения:
    1.449
    Адрес:
    Россия
    Хорошо, значит сконцентрируюсь на курсе по ИДА.
     
  6. Izg0y1

    Izg0y1 Member

    Публикаций:
    0
    Регистрация:
    3 апр 2010
    Сообщения:
    29
    yashechka, то что есть или будет не интересно на другие языки переводить?
     
  7. yashechka

    yashechka Ростовский фанат Нарвахи

    Публикаций:
    90
    Регистрация:
    2 янв 2012
    Сообщения:
    1.449
    Адрес:
    Россия
    Так я не умею =) Я начал переводить парочку с испанского на русский, из свежего, вот про что я.
     
  8. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Кстати если говорить про новичков, то много тем не раскрыто, вот парочка которые очень интересны новичкам (по крайне-мере меня постоянно спрашивают):

    1)Чистка крипторов на C#, вообще есть немного статей в рунете, но думаю будет интересно многим, если будет такая статейка в журнале. Например когда-то давно помню на факкаве была программа, с классным названием "ав###а", которая могла чистить крипторы и вирусы. Пользовалась большой популярностью в своё время. :)

    2)Вторая тема, ещё в рунете вообще не раскрыта. Это "Генератор крипторов на VB", на испанских бордах очень популярная тема, по сути что-то типо обфускации кода. Скармливается ей исходник, или часть кода, а на выходе получаем уже "чистый" от ав код.
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    X-Shar,

    Это примитивные темы, тем более что связаны обходом ав и не являются техническими. Лишь одна тема по обходу не раскрыта, это имплементация анклавов и фундаментальная защита от OP: https://wasm.in/threads/antiinzhekt-otlovit-smenu-konteksta.32315/

    Никакой криптор или в общем модель обхода не может скрыть память. В депак апп виде авер может читать любой код.
     
    X-Shar нравится это.
  10. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Оно так, но не все ав до этого "доросли". Также как не у всех ав это адекватно отрабатывает. :)

    Например в том-же защитнике виндовс, многие крипторы работают весьма неплохо. Также-как и у каспера, проверял правда на 2016 но не суть, также работает на запуск простейший RunPE криптор. Главное что-бы "поведенческий анализатор" не на куролесил у вируса. :)

    Нод и др. веб большинство детектит крипторов, но тоже не все. Всё зависит от внешних факторов, вируса и криптора.

    Кстати забыл ещё сказать, что криптование длл вообще в рунете неописанно. Так-же как и криптование x64 приложений.

    Да может-быть многим здесь это не интересно, но описание этих тем привлечёт внимание думаю, по крайне-мере новичков точно. Ну и многие темы в реализации относительно несложные, много времени не должны занять, больше времени тратить на описание как делать. :dntknw:
     
  11. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    X-Shar,

    Элементарный ранпе не является чем то интересным, это обычная примитивная рутина.

    > Оно так, но не все ав до этого "доросли".

    Многие ав чёрт знает сколько времени назад сканили память. Противодействия никакого этому небыло, никаких разработок. Сейчас же это ключевой метод ав. Скан памяти делает бессмысленным всякое криптование. Морф - хорошо, но полноценный является нэйтивным и апп растёт каждом поколении, увы свёртку выполнить нельзя.
     
  12. neutronion_old_school

    neutronion_old_school Попугай Сильвера

    Публикаций:
    0
    Регистрация:
    23 июл 2017
    Сообщения:
    411
    Некоторое время нужно было. Можно в программе или внешней программе, может в драйвере определить кто пытается читать память. Нужно кое для чего.
    Есть такой механизм у проца или контроллера памяти? Теоретически у меня возникло такое решение, внедрится в шедуллер и читать на какие адреса памяти (по eip) переключается процессор, таким образом читаем выполняемую команду и адрес памяти, если к памяти в этой команде идет запрос на чтение.
     
  13. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Может-быть сделали и давно, но в боевых условиях такой детект работает далеко не идеально.

    Вот объясните мне такую вещь, из практике. Делал простецкий криптор, вообще по "древней технологии", тупо распаковка, антиэмуляция и запуск в памяти. Никакого морфа нет там, вернее специально этого не делал, код не менял.

    Так-вот для теста сделал сервер кометы, ну просто что-бы дёргал локалхост и сидел в памяти (чисто ради теста), специально взял комету, что-бы детектили все антивирусы.

    Ну обработал этот вирус пакером. Запустил, блин и как всегда из-за головотяпства забыл про него, прошёл месяц, он так и сидел из-под касперского. Причём касперский обнаружил только сейчас, 15-го октября запустил, сейчас 5-е и задетектил пакер (Так-бы я про него и невспомнил наверное). Видно кто-то начал его юзать, я его в паблик выложил.:grin::crazy:

    Так-что на практике этот детект ну очень кривой. Конечно по одному такому случаю судить нельзя. У меня x64 система не самая новая 7-ка, каспер старенький. Но всё-же. :)
     
  14. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    И ещё, на викслабе не качается третья часть журнала:https://vxlab.info/inception3/

    А качается вторая почему-то, поправьте...:)
     
  15. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    X-Shar,

    Не знаю про что вы говорите. В модуле есть сигнатура известная ав, она скрыта слоем пакера/криптора. После депака эта сигнатура в чистом виде в памяти. Причины недетекта - множество их, устарели базы, авер отключен етц.
     
  16. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    neutronion_old_school,

    #92

    Базовая архитектура этот механизм не предоставляет. Для решения есть один путь, который делится на два способа. Железячная виртуализация(не поддерживает x86) и софтверные визоры.
    Ожидать смену контекста - идея годная, она как помню очень давно была реализована cr4sh. Но это даёт только адреса, на которые передаётся управление. Что бы дальше снять трассу нужно опять же использовать визор.
    Те дебаг механизмы(софтверная имплем.) NT, типо монитора WS в реалтайме не могут применяться, сброс рабочего набора имеет слишком большой тайминг, апп становится не рабочим.
     
  17. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Не назвали ещё одну причину, некоторые (а точнее многие) антивирусы в принципе не детектят по такому алгоритму ! :)

    Поэтому многие и не заморачиваются этим, точно также можно поговорить и о детекте по репутации и т.д.

    Кстати не видел, что-бы кто-то заморачивался этим и в комерсе, т.е. кто продают/покупают. Ну те-кто продают ясно с ними всё, а кто покупает, зачем-же они покупают по сути ненужный товар, т.е. криптор ?

    Я просто хочу сказать, что крипторы ещё не раскрыты, даже RunPe криптор весьма боевой инструмент, всё дело в его применении.
     
  18. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    X-Shar,

    Криптор актуален при его непрерывной поддержке. Тоесть до попадания в базы выполняется чистка. Но она ручная, это не может сделать софт. Слишком сложная задача.
     
  19. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    > Я просто хочу сказать, что крипторы ещё не раскрыты

    Я против крипторов, это примитивные блэк инструменты. И обсуждать их в каком то журнале по мойму низко и не годится.
     
  20. Fail

    Fail Active Member

    Публикаций:
    0
    Регистрация:
    14 мар 2012
    Сообщения:
    503
    :) Что то одно из двух))