Алгоритмы - Почему все так озабочены...

Тема в разделе "WASM.HEAP", создана пользователем X-Shar, 16 фев 2021.

  1. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    sl0n, Indy_ Друзья, эксперимент надо изначально ставить с точными формулировками == Слон должен был выложить а-ля crypted.archive.7z и указать там пример конечного результата + в открытую чётко сформулировать задачу, затем Инди выкладывает свои результаты, Слон обнародует пароль на архив и все интересующиеся могут сверить результаты вызова. Тут же Слон изрёк "Инди, покажи свою мощю", Инди что-то показал и опять пошло ОНО, то бишь тупо срачЪЪЪ :)
     
    M0rg0t нравится это.
  2. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    блин это упрощенная вм на асме на брейнфаке, на хссе ну я на таких площадках не играюсь там и турмой и черным налом пахнет, но если хочешь что бы что тотто вместе сделали пиши в лк , ну я подразумеваю жабу, но в блек проектах я со времен хз каких не участвовал но модули для студии продать ничего не мешаети за реверс берусь
    --- Сообщение объединено, 25 фев 2021 ---
    я же выложил все с паролем посмотрите логи
    --- Сообщение объединено, 25 фев 2021 ---
    даже инди в оллидбг покрутил =))
    --- Сообщение объединено, 26 фев 2021 ---
    там мой нотепа запакованый моим пакеро старым какк говно мамонта, просто психанул чуть и вот понеслось, перепостить линки пароль ?
    --- Сообщение объединено, 26 фев 2021 ---
    простите за опечатки был в гостях у друга хренячили в 3 героев под ром =))
     
  3. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    ну-какие логи? крякми обычно выводит надпись а-ля i'm cracked == задача обычно складывается в поиск функции дешифровки, а полиморф эту функу маскирует.
     
  4. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    это упакованый блокнот, инди обещал автоамот за 10 минут его размотать, жду до сиз пор
    --- Сообщение объединено, 26 фев 2021 ---
    потому рел его и тролит ведь автомат одной кнопкой запускается и даже если это байт код пашет 5-10 минут а мы уже второй день выжидаем секретные логи от инди
    --- Сообщение объединено, 26 фев 2021 ---
    не хотел я в это лезть но ржать устал, уверен вы в отличии от инди знаете теорию сложности
     
  5. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    так твой полиморф распаковывает образ блокнота и запускает?
     
  6. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    не знаю может тьюринг и писал правильные алгоритмы но в основно пишут правдоподобные, а для разматывания моего каскадного полиморфа нужно квадратичное время ... не хотел в это лезть просто рел котик
    --- Сообщение объединено, 26 фев 2021 ---
    ну это стековый полиморф ну и смесь с пакером я его когда то с с.т.а.с. на спор написал за неделю
    --- Сообщение объединено, 26 фев 2021 ---
    а инди крутит до сих пор а там всего тройная матрешка мог и 128 кратную собрать
    --- Сообщение объединено, 26 фев 2021 ---
    исходники кривые может как вычище тогда выложу
     
  7. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    а там есть детект отладчика?
     
  8. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    ну чтук 20 детектов и плюс виртуалбоксы плюс само отладка чтобы не зя в отлачике сьесть
    --- Сообщение объединено, 26 фев 2021 ---
    плюсвм на брейнфаке что ури написал за час или два ,я ему не ровня
     
    UbIvItS нравится это.
  9. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    раз так, то я тогда за схему Убивца в #201 сообщении
     
  10. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    но если что мой профиль вирусы а ури универсал .. =)) так что я то же что то умею
     
  11. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    судя по ответам Слона, всё чисто == надо найти депакер образа мс блокнота.
    --- Сообщение объединено, 26 фев 2021 ---
    короче, Инди должен обнародовать патч после акого крякми Слона запускает депакер на прямую :)
     
  12. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    как-то странно получается, т.е. либо ему надо садиться и кодить с нуля повозившись с алгоритмом, либо сливать свой движ. ну как бы такое.... все же раньше речь шла про трассы.
     
  13. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    так и нужно выщимить трассу на депакер и сдампить.
     
  14. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    UbIvItS, не, не догоняю, можно подробно?

    Кстати можно будет оценить на сэмпле Слона как поведет себя вот эта штука
    https://github.com/fireeye/rVMI
     
  15. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    в чём суть защиты экзе от отладчика/вирты/эмуля? суть в сокрытие целевых фунок == если обнаружена отладка, подсовывают фуфел холостого режима; если всё чисто, запускаются целевые функи. То бишь найти просто оеп -- это ни о чём, это просто будет холостой режим.
     
  16. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    Мы ведь про конкретный блокнот говорим, верно? какой там холостой режим?
     
  17. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    есть много трюков но в основм который я использова (не в этом примере) это когда берешь шифруешь всю кодовую секцию выставляешь пейдж гуард и переписываешь киюзердиспетчер но это самое просто там еще можно простые инструкции не существуюшими функциями переписать и в своем хендлере реализовть их логику но да есть техники похитрее создавайте для этого отдеьную тему
     
    q2e74 нравится это.
  18. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    речь-ка идёт о крякми == если крякми решён, он распакует образ блокнота; нет -- запустит акий-нть фуфел.
     
  19. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Thetrik,

    Небыло там никаких проблем с wow никогда. Куда то нитуда ты отладчиком залез :)

    UbIvItS,

    Так визор его прошёл обнаружив событие распаковки, это всё что может быть нужно на этом месте образ в памяти оригинальный, а полиморфик уже не существует. Слоник просто в шоке от происходящего, не думал что полиморфик может быть так просто раскручен, вот и злится.
    --- Сообщение объединено, 26 фев 2021 ---
    sl0n,

    > выжидаем секретные логи от инди

    Линк на видео тебя будет ждать есчо 5 дней, затем удалится с обменника.
    --- Сообщение объединено, 26 фев 2021 ---
    Thetrik,

    > ADD ESP, 4 из под Dye

    Мне интересно стало, вот комменты из другого проекта:

    Код (Text):
    1. ; +
    2. ; o Called via CALL.
    3. ;
    4. ; ARGs    ESP[4]
    5. ;
    6. ; OUT:
    7. ;    ECX        @SYSCALL[2](wow64cpu!CpupSyscallStub -> SYSCALL/RET)
    8. ;
    9. comment '  
    10. At init phase use ZW-stub in compat mode.
    11.  
    12. ZwYieldExecution:
    13.     mov eax,X
    14. Gate:
    15.     call fs:[C0]    ; X86SwitchTo64BitMode: JMP FAR 33:CpupReturnFromSimulatedCode
    16.     retn
    17.    
    18. (W10)
    19. ZwYieldExecution:
    20.     mov eax,ID
    21. Gate:
    22.     mov edx,offset Wow64SystemServiceCall
    23.     call edx
    24.     retn
    25.  
    26. Wow64SystemServiceCall:
    27.     jmp [Wow64Transition]
    28.  
    29. (WOW64CPU)
    30.  
    31. KiFastSystemCall2:
    32.     push 33
    33.     push eax
    34.     Call $+5
    35.     pop eax
    36.     add eax,12
    37.     xchg [esp],eax
    38.     jmp far [esp]
    39. L:
    40.     add rsp,8
    41.     jmp CpupReturnFromSimulatedCode
    42.  
    43. KiFastSystemCall:
    44.     jmp far 33:L
    45. L:
    46.     jmp [r15 + N]    ; TurboThunkDispatch[N]: CpupReturnFromSimulatedCode
    47.  
    48. W(6.1.7601)
    49. TurboDispatchJumpAddressStart:
    50.     jmp [r15][rcx*8]
    51.  
    52. ZwYieldExecution:
    53.     mov eax,ID
    54.     mov ecx,1
    55. Gate:
    56.     lea edx,[esp][4]
    57.      call fs:[C0]
    58.     add esp,4
    59.      retn
    60.       '
    61. %WGATE macro
    62.     %ENVP Edx
    63.      bt [edx].Flags,GF_NTEXT
    64.     .if Carry?
    65.         if OPT_TURBO_OFF eq FALSE
    66.             mov ecx,eax
    67.             shr ecx,16
    68.         else
    69.             xor ecx,ecx
    70.         endif
    71.         movzx eax,ax
    72.         .if [Edx].Wow.Ps.Ssel != (KGDT64_R3_CODE or RPL_MASK)
    73.             ; CALL X86SwitchTo64BitMode/Wow64SystemServiceCall -> RET
    74.             jmp [Edx].Wow.Ps.Sptr
    75.         .endif
    76.         Call @f
    77.         sub esp,8
    78.         invoke Stk86Crc
    79.         add esp,12
    80.         retn
    81.     @@:
    82.         push KGDT64_R3_CODE or RPL_MASK
    83.         push [edx].Wow.Ps.Sptr
    84.         lea edx,[esp][12]
    85.         invoke Stk86Crc
    86.         retf
    87.     .endif
    - слишком старая версия системы(<8), там изменён сервисный прототип(wow не чистит стек).
     
  20. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    Отлично, тадысь такой вариант == sl0n в архиве под паролем выкладывает дамп депакера, потом ты тоже выкладываешь дамп депакера, затем Слон выкладывает пасс на архив. В итоге имеем чистую схему сверки результата :)