а я малёхо покритикую это что такое.. Код (C++): //--------------------------// // Выделение памяти на куче // //--------------------------// LPVOID Malloc(DWORD size) { // Получаем кучу процесса HANDLE heap = GetProcessHeap(); if(heap == NULL) { ERR; return NULL; } // Выделяем память на куче процесса LPVOID buffer = HeapAlloc(heap, HEAP_ZERO_MEMORY, size); if(buffer == NULL) { ERR; return NULL; } else { return buffer; } } еть что же ето за аверь такой, ш не хучит базовые апишки??????? это была Ш¥ДЪкАААААААА, Надеюсь рц -- это дичайшая трабла и она вылезает повсеместно при тяжёлых файловых операциях и/ль недостатке озу. ЗЫ.. дальше разбирать статью лень
а телеметрия ничего не хукает, она просто является частью ядра и ведёт статистику использования ресурсов. инфа по расходу озу является крайне важной == недостаток озу приводит к массе тормозов да багов.
Что за бред? Как вообще телеметрия относится к теме статьи? Хотя кого я спрашиваю, забей, все происходит ровно так же, как и должно происходить.
слова "песочница/сендбокс", "ханипот", "телеметрия" действительно ничего не имеют общего с твоей статьёй
https://xss.as/threads/43097/ Там перечисление экспорта и сравнение с сырым образом, примитивнее не сделать. В чём же новое ? Это показывает интеллектуальный уровень как автора, так и публики, которая говорит что публикация годная. А ничего, что эта задача решалась многократно на ином уровне ? Во первых изменения в кодовые секции вносит загрузчик - это релоки. Можно их исключить. Но что толку от факта изменения кодовых секций ?? Это не даёт ничего. Провести атаку на авера, но это в ядерном моде делается. Бред это а не публикация. Крутишь визором эксплойт, при трансляции кодовые секции не исполняемы. Таким образом всё адресное пространство делается не исполняемым(NX) и сплойт не может выйти из цикла. На счёт патча - задача не разрешима, тк данные не отличимы от кода https://wasm.in/threads/poluchit-spisok-procedur.31729/ Нужно смотреть дамп крэклаба. Там эти темы разбирались.
Чем богаты, тем и рады. Годность была оценена комьюнити в 2.5 зарплаты белорусских электриков. Как бы ничего не мешает Инде найти в себе мотивацию написать статью лучше, я совсем не против. --- Сообщение объединено, 13 дек 2020 --- Сравнительно маленькая вероятность, что в первых байтах функции будет стоять релок.
да, но при определенной длине кода, мало вероятно, что данные так удачно совпали, что на выходе интерпретатора образуют CFG. Вроде что-то в теории ID есть такое, когда артифакт признается целеноправленно созданным на основе стат.критерия. Хотя в прикладном плане, наверно, это мало что дает, ибо сразу приходит в голову как обойти и это. --- Сообщение объединено, 13 дек 2020 --- хотя посмотрел сейчас ветки "получить список процедур" и "анти-интружн лайбрари" - это я чет не подумавши
Rel, На такой вероятности и строятся OP-атаки, шьется шелл. Нельзя тупо перечислить экспорт. Во первых патч может быть в интернал. О чём вообще эта публикация я не понимаю. Для защиты от OP есть два пути, это сборка с маркировкой всех процедур(win-cfg), либо трансляция - те самые визоры. Первое статика, второе динамика. Тема атак на вирту раскрыта моими публикациями, больше уже нечего по этим темам написать. Построение карты сложная задача https://wasm.in/threads/antiinzhekt-otlovit-smenu-konteksta.32315/#post-392808 Покрытие кода" это термин криса касперски, жаль конечно что он реализацию не увидел. Этой картой решались почти все крэкми на кл. Зачем перечислять экспорт, есчо и нэйтив Zw стабы ? Понять можно если рассматривать с точки зрения нуби - масса не понятных терминов, между тем общего смысла нет.
Чтобы получить адреса экспортируемых функций, чтобы потом проверить пролог этих функций на наличие сплайсинга, как бы об этом статья, не о ваших визорах и виртах, а о поиске перехватов функций методом сплайсинга. Логи тулзы для нескольких аверов представлены в теме, то есть свою функцию она выполняет.
А чего бы в этой функции LPVOID LoadFile(LPCWSTR path, LPDWORD rsize) файл не закрыть ? ты ведь его уже прочитал в буфер
Ну и тут с инде соглашусь, я такое делал лет 10 назад на фасме правда, но статья написано хорошо, читается легко --- Сообщение объединено, 13 дек 2020 --- Не понял. Он закрывается автоматически через макрос defer. а ну я этих плюсов толком не знаю почти всегда вин апи пишу =)) --- Сообщение объединено, 13 дек 2020 --- а миссис рем такое на делфи когдато делал =))
Ну опять же, чем богаты, тем и рады. Уж не знаю, какое дело элите должно быть до маглов, но мне канеш приятно, что сам Индий потратил столько времени, пытаясь втоптать меня в маглы, откуда я собственно и не пытался вылезать ни разу.