С победой на дамаге, Рел

а я малёхо покритикую это что такое..

Код (C++):

1. //--------------------------//
2. // Выделение памяти на куче //
3. //--------------------------//
4. LPVOID Malloc(DWORD size) {
5.     // Получаем кучу процесса
6.     HANDLE heap = GetProcessHeap();
7.     if(heap == NULL) { ERR; return NULL; }
8.  
9.     // Выделяем память на куче процесса
10.     LPVOID buffer = HeapAlloc(heap, HEAP_ZERO_MEMORY, size);
11.     if(buffer == NULL) { ERR; return NULL; }
12.     else { return buffer; }
13. }

еть что же ето за аверь такой, ш не хучит базовые апишки???????

это была Ш¥ДЪкАААААААА, Надеюсь рц -- это дичайшая трабла и она вылезает повсеместно при тяжёлых файловых операциях и/ль недостатке озу.

ЗЫ.. дальше разбирать статью лень

 

Не понял, на моей памяти в тестах HeapAlloc в юзермоде ни один авер не хукал. Или о чем вообще речь?

 

вопрос == можно ли телеметрию выни 10 считать частью антивирусной защиты?

 

априори HeapAlloc не должны же хукать, по сути белая функция.

 

а телеметрия ничего не хукает, она просто является частью ядра и ведёт статистику использования ресурсов. инфа по расходу озу является крайне важной == недостаток озу приводит к массе тормозов да багов.

 

Что за бред? Как вообще телеметрия относится к теме статьи? Хотя кого я спрашиваю, забей, все происходит ровно так же, как и должно происходить.

 

слова "песочница/сендбокс", "ханипот", "телеметрия" действительно ничего не имеют общего с твоей статьёй

 

https://xss.as/threads/43097/

Там перечисление экспорта и сравнение с сырым образом, примитивнее не сделать. В чём же новое ?

Это показывает интеллектуальный уровень как автора, так и публики, которая говорит что публикация годная.

А ничего, что эта задача решалась многократно на ином уровне ?

Во первых изменения в кодовые секции вносит загрузчик - это релоки. Можно их исключить. Но что толку от факта изменения кодовых секций ??

Это не даёт ничего. Провести атаку на авера, но это в ядерном моде делается. Бред это а не публикация. Крутишь визором эксплойт, при трансляции кодовые секции не исполняемы. Таким образом всё адресное пространство делается не исполняемым(NX) и сплойт не может выйти из цикла.

На счёт патча - задача не разрешима, тк данные не отличимы от кода https://wasm.in/threads/poluchit-spisok-procedur.31729/

Нужно смотреть дамп крэклаба. Там эти темы разбирались.

 

Чем богаты, тем и рады. Годность была оценена комьюнити в 2.5 зарплаты белорусских электриков. Как бы ничего не мешает Инде найти в себе мотивацию написать статью лучше, я совсем не против.

--- Сообщение объединено, 13 дек 2020 ---

Сравнительно маленькая вероятность, что в первых байтах функции будет стоять релок.

 

да, но при определенной длине кода, мало вероятно, что данные так удачно совпали, что на выходе интерпретатора образуют CFG. Вроде что-то в теории ID есть такое, когда артифакт признается целеноправленно созданным на основе стат.критерия. Хотя в прикладном плане, наверно, это мало что дает, ибо сразу приходит в голову как обойти и это.

--- Сообщение объединено, 13 дек 2020 ---

хотя посмотрел сейчас ветки "получить список процедур" и "анти-интружн лайбрари" - это я чет не подумавши

 

Rel,

На такой вероятности и строятся OP-атаки, шьется шелл. Нельзя тупо перечислить экспорт. Во первых патч может быть в интернал. О чём вообще эта публикация я не понимаю.

Для защиты от OP есть два пути, это сборка с маркировкой всех процедур(win-cfg), либо трансляция - те самые визоры. Первое статика, второе динамика. Тема атак на вирту раскрыта моими публикациями, больше уже нечего по этим темам написать.

Построение карты сложная задача https://wasm.in/threads/antiinzhekt-otlovit-smenu-konteksta.32315/#post-392808

Покрытие кода" это термин криса касперски, жаль конечно что он реализацию не увидел. Этой картой решались почти все крэкми на кл.

Зачем перечислять экспорт, есчо и нэйтив Zw стабы ?

Понять можно если рассматривать с точки зрения нуби - масса не понятных терминов, между тем общего смысла нет.

 

Чтобы получить адреса экспортируемых функций, чтобы потом проверить пролог этих функций на наличие сплайсинга, как бы об этом статья, не о ваших визорах и виртах, а о поиске перехватов функций методом сплайсинга. Логи тулзы для нескольких аверов представлены в теме, то есть свою функцию она выполняет.

 

А чего бы в этой функции
LPVOID LoadFile(LPCWSTR path, LPDWORD rsize)
файл не закрыть ? ты ведь его уже прочитал в буфер

 

Не понял. Он закрывается автоматически через макрос defer.

 

Ну и тут с инде соглашусь, я такое делал лет 10 назад на фасме правда, но статья написано хорошо, читается легко

--- Сообщение объединено, 13 дек 2020 ---

Не понял. Он закрывается автоматически через макрос defer.

а ну я этих плюсов толком не знаю почти всегда вин апи пишу =))

--- Сообщение объединено, 13 дек 2020 ---

а миссис рем такое на делфи когдато делал =))

 

Таки миссис или мис?

 

можно было бы у него узнать если бы он живой был , но бэхоце утверждал что миссис вроде =))

 

sl0n,

Да, уровень у него 2006-го года, сплайсинг вот насмешил.

 

Ну опять же, чем богаты, тем и рады. Уж не знаю, какое дело элите должно быть до маглов, но мне канеш приятно, что сам Индий потратил столько времени, пытаясь втоптать меня в маглы, откуда я собственно и не пытался вылезать ни разу.

 

Rel,

Кому ты тут это расскажешь, тут люди которые с самого начала малварки.