ShowWindow не работает

Тема в разделе "WASM.ASSEMBLER", создана пользователем asm0day01, 23 янв 2022.

  1. asm0day01

    asm0day01 Member

    Публикаций:
    0
    Регистрация:
    7 янв 2020
    Сообщения:
    128
    msg_(help)
     

    Вложения:

    • ShowWindow.zip
      Размер файла:
      484 байт
      Просмотров:
      157
  2. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.968
    Вообще работает. Особенно если SW_HIDE применить становится очевидно, что работает. Если у тебя не работает, то достаточной инфы ты не предоставил.
     
  3. Mikl___

    Mikl___ Супермодератор Команда форума

    Публикаций:
    14
    Регистрация:
    25 июн 2008
    Сообщения:
    3.729
    asm0day01,
    а смысл программы? Найти предварительно запущенную программу с заголовком окна "Shell_TrayWnd" и сделать это окно видимым? А где та часть, которая запускает окно с заголовком "Shell_TrayWnd"?
     
  4. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.968
    Это панель задач експлорера, ее по идее ничего больше не должно создавать.
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.272
    Ох, сразу вспоминается тот алгоритм инжекта в экплорер из глубин вирустека... года, наверное, 2013ого штоле. Тот, который Индий продал блекушникам в паверлоудер, или как там эта чушь называлась?
     
    M0rg0t нравится это.
  6. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Я ничего не продавал, был реверс механизма вывода сообщений в гуй ядерный механизм NtRaiseHardError. Участвовал в этом Грейт, но спросить у него вы уже не можете. Всё было выложено в паблик, тогда писался инжект не мной, другим человеком инжект в гуй. Я описал они собрали.

    А есчо были сервисные RC-атаки, почему то про это никто не вспоминает. Годный способ блокировки памяти.
     
    Последнее редактирование: 27 янв 2022
  7. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.272
    Ну, к сожалению, все подробности этого уже, видимо, не восстановить (вместе с вирустеком), даже на веб архиве остались только названия тем.
     
  8. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Некий twister" если правильно помню довольно много времени прошло разрабатывал инжект в гуй через таблицы описателей, он это подхватил как раз не хватало способа передать управление, но можно было отобразив обьект загрузить в память нужный код.

    Давай расскажи как писать сплойты что бы не набутылили :)
     
  9. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.272
    Да, я помню его, хороший был человечек. Он пытался дрочить оконную подсистему для инжектов задолго до того, как это стало мейнстримом.

    Это надо у китайцев спрашивать, которые на конфы ездят и там свои сплойты показывают.
     
    Последнее редактирование: 27 янв 2022
  10. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Было я там тоже много копал. Затем был какой то пробив по транзитному слою, но не важно. У меня это сохранилось, это был прототип рс атак на аверы.
     

    Вложения:

    • SuspendApc.7z
      Размер файла:
      33,1 КБ
      Просмотров:
      156
  11. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.272
    Кстати, ту пдф-ку про Касперского, которую ты выпускал давным давно в период "аверов больше нет". Проблем у тебя не было из-за нее? Никто набутылить не пытался?
     
  12. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Проблем небыло, хотя я волновался по этому поводу. Выложено было на fulldisclosure, за несколько дней как ни странно авер всё пофиксил, наверно сутками переписывали фильтры.
     
  13. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.272
    Так а сами сотрудники Касперского никаких ответов или комментариев этой темы не делали?

    Вообще, насколько я понимаю, там есть своя процедура, как репортить уязвимости и не попасть на бутылку или на иск от компании. Так что, если будет мотивация что-то делать, просто опубликуй исследование правильно и спи спокойно.
     
  14. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Ресерч запрещён в принципе, если бы хотели набутылить то сделали бы. Но это были их ошибки, поэтому ничего и небыло.

    > Так а сами сотрудники Касперского никаких ответов или комментариев этой темы не делали?

    Нет.

    Сейчас там вирта в фильтрах, её тоже можно рейсом пробить, но я не смотрел(не следует путать с вирт машинами) это сделают другие, кому это нужно. У меня немного иные уже интересы.
     
    Последнее редактирование: 28 янв 2022
  15. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    читаю постоянно эти посты про бутылки (?) и каждый раз удивляюсь - ну кому оно надо-то? Вот трансуха PolarBear (мб кто помнит) в 2018 году два зиродея выложил, при этом находясь в пендостане, и ничего. Это все бред полный, я еще понимаю (и знаю случаи) когда ловили,допустим , за публикацию дыры в сбербанке каком-то или ржд. (там украли деньги у баушки и все такое). Но какие-то рце лпе - это специфическая техническая инфа, которой даже при желании , при полной публикации сплоита в виде РоС может воспользоваться мало кто.

    Если уж так хочется, выложить от анонима на форуме / гитхаб или написать, что прислал аноним, или попросить кого-то, кто не боится, выложить.
    вообще, базар ни о чем.
     
  16. ormoulu

    ormoulu Well-Known Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    1.208
    У пендосских трансов шансов поиметь проблемы мало (тем не менее, Хатчинсу это как-то удалось, например). Но в этой стране и прилегающих, если огорчать дядьженю, можно отхватить, так сказать, вне коммунити и мы все это хорошо знаем и помним.
     
  17. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.272
    У меня есть теория, что у Индия просто повредился мозг засчет химии или психических проблем, поэтому он уже интересные исследования не тащит, вот и приходится прикрываться отсутствием мотивации и боязнью набутыливания.

    Так, у нас же тут на форуме есть спец по трансам, можно его вызвать, чтобы он нам все пояснил про пендосских трансов.
     
  18. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.968
    Я предположу, что трансы не только не боятся набутыливания, а даже были бы не против. Вот и вся разгадка. А фиксация некоторых на набутыливании деда Зигмунда пугает.
     
  19. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.272
    Спасибо, что одариваешь нас своей мудростью, о великий спец.
     
  20. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    > он уже интересные исследования не тащит

    Так а что исследовать, нт очень стабильна зет уязвимость с повышением прав найти не реально. Софт я уже перекрутил, не интересно. Есть тема по античитам, но нет инструмента для свёртки, а без него там делать нечего ресерч невозможен.