# удобный hex-редактор для ковыряния сплоитов

намедни алиске скинули ссылку на subj, она скинула ее мыщъху, мыщъх сперва только хмыкнул, типа очередная гуйня, без дизасма, да еще и коммерческая. фи!!! оказалось, что не фи, а стратегическое оружие нового поколения, да еще и с самонаводящимися боеголовками.

вся фенечка в том, что subj поддерживает си-подобный скриптовый язык для описания структур и парсинга файлов различных форматов, в том числе и заковыристых (т.е. это не просто статический шаблон, это 'живая' программа-парсер).

применяем шаблон к файлу, перемешаемся по его структурам, а редактор показывает какие hex-байтики какому полю какой структуры принадлежат. крысота! имхо, очень облегчает изучение pe-файлов, да и не только их. но это что касается новичков, а профи?

профи тоже найдут редактор удобным. понадобилось мне сейчас пофиксить одну snort-сигнатуру, которая криво отлавливает double free vulnerability в гифах (CVE-2003-1048), а для этого нужно разобраться что же в файле неправильного, точнее на чем падет mshtml.dll.

мыщъх уже было расчехлил иду, но… загрузив gif в сабжевый редактор сразу вкурил в чем тут баг. потому как у редактора уже есть библиотека шаблонов для популярных форматов (включая gif), и subj сразу показал строку скрипта, которая обламывается на парсинге (см. картинку ниже). после чего осталось только залезть в иду и подтвердить догадку. кстати, бажный файл нормально отображается far'ом и кучей других просмотрщиков. а вот IE пакостно падает.

скачать subj можно с http://www.sweetscape.com/

 

А чем эта шняга лучшее бесплатного Структориана? http://www.yole.ru/projects/structorian/

 

угу, помню юзал Стукториан, вполне нормально.

 

Боянчег собственно у нас 2 года тема висит )
http://cracklab.ru/f/index.php?action=vthread&forum=3&topic=8548
Крис, появляйтесь на cracklabe чаще!

 

а, это 010, помню смотрел, чем-то он мне не понравился, и я заюзал Стукториан.

 

бтв, темка была - http://www.wasm.ru/forum/viewtopic.php?id=29118

 

Stariy
> А чем эта шняга лучшее бесплатного Структориана? http://www.yole.ru/projects/structorian/
не знаю, не сравнивал. платность имхо далеко не самый значимый критерий.

Flint_ta
> Боянчег собственно у нас 2 года тема висит )
> http://cracklab.ru/f/index.php?action=v … topic=8548
тема ни разу не раскрыта. низачот. мыщъх предложил заюзать 010 для ковыряния сплоитов. потому как загрузив gif в hiew мыщъх сильно помрачнел, представив себе сколько придется трахаться в поисках чего тут может быть неправильного. а subj показал это сразу и сам. и не только с gif'ом. другие сплоиты тоже пропалились.

хотя не хотите юзать - дело ваше.

> Крис, появляйтесь на cracklabe чаще!
меня там уже разбанили?

 

в свое время написал скрипт для работы с pe файлами,даже нестандартными,т.е. например опт. пе файл у которого всякие структуры в друга-друга засованы,потом от нефиг делать начал создавать пе файлы в хексе,оказалось даже оч. удобно ))

 

>>> Крис, появляйтесь на cracklabe чаще!
>> меня там уже разбанили?
> а можно это запостить на баш?)))
можно, конечно ;=)

 

Я не то имел ввиду, сам юзаю 010 Editor как дефолтный hex редактор достаточно давно, а шаблоны файлов не раз выручали.