# удобный hex-редактор для ковыряния сплоитов

Тема в разделе "WASM.RESEARCH", создана пользователем kaspersky, 3 янв 2010.

  1. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    намедни алиске скинули ссылку на subj, она скинула ее мыщъху, мыщъх сперва только хмыкнул, типа очередная гуйня, без дизасма, да еще и коммерческая. фи!!! оказалось, что не фи, а стратегическое оружие нового поколения, да еще и с самонаводящимися боеголовками.

    вся фенечка в том, что subj поддерживает си-подобный скриптовый язык для описания структур и парсинга файлов различных форматов, в том числе и заковыристых (т.е. это не просто статический шаблон, это 'живая' программа-парсер).

    применяем шаблон к файлу, перемешаемся по его структурам, а редактор показывает какие hex-байтики какому полю какой структуры принадлежат. крысота! имхо, очень облегчает изучение pe-файлов, да и не только их. но это что касается новичков, а профи?

    профи тоже найдут редактор удобным. понадобилось мне сейчас пофиксить одну snort-сигнатуру, которая криво отлавливает double free vulnerability в гифах (CVE-2003-1048), а для этого нужно разобраться что же в файле неправильного, точнее на чем падет mshtml.dll.

    мыщъх уже было расчехлил иду, но… загрузив gif в сабжевый редактор сразу вкурил в чем тут баг. потому как у редактора уже есть библиотека шаблонов для популярных форматов (включая gif), и subj сразу показал строку скрипта, которая обламывается на парсинге (см. картинку ниже). после чего осталось только залезть в иду и подтвердить догадку. кстати, бажный файл нормально отображается far'ом и кучей других просмотрщиков. а вот IE пакостно падает.

    скачать subj можно с http://www.sweetscape.com/
     
  2. Stariy

    Stariy Member

    Публикаций:
    0
    Регистрация:
    22 окт 2003
    Сообщения:
    529
    Адрес:
    Russia
    А чем эта шняга лучшее бесплатного Структориана? http://www.yole.ru/projects/structorian/
     
  3. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    угу, помню юзал Стукториан, вполне нормально.
     
  4. Flint_ta

    Flint_ta New Member

    Публикаций:
    0
    Регистрация:
    25 май 2008
    Сообщения:
    312
    Боянчег собственно у нас 2 года тема висит )
    http://cracklab.ru/f/index.php?action=vthread&forum=3&topic=8548
    Крис, появляйтесь на cracklabe чаще!
     
  5. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    а, это 010, помню смотрел, чем-то он мне не понравился, и я заюзал Стукториан.
     
  6. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    бтв, темка была - http://www.wasm.ru/forum/viewtopic.php?id=29118
     
  7. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    Stariy
    > А чем эта шняга лучшее бесплатного Структориана? http://www.yole.ru/projects/structorian/
    не знаю, не сравнивал. платность имхо далеко не самый значимый критерий.

    Flint_ta
    > Боянчег собственно у нас 2 года тема висит )
    > http://cracklab.ru/f/index.php?action=v … topic=8548
    тема ни разу не раскрыта. низачот. мыщъх предложил заюзать 010 для ковыряния сплоитов. потому как загрузив gif в hiew мыщъх сильно помрачнел, представив себе сколько придется трахаться в поисках чего тут может быть неправильного. а subj показал это сразу и сам. и не только с gif'ом. другие сплоиты тоже пропалились.

    хотя не хотите юзать - дело ваше.

    > Крис, появляйтесь на cracklabe чаще!
    меня там уже разбанили? :derisive:
     
  8. InsidE

    InsidE Member

    Публикаций:
    0
    Регистрация:
    28 май 2009
    Сообщения:
    357
    Адрес:
    Over the hills and far away...
    в свое время написал скрипт для работы с pe файлами,даже нестандартными,т.е. например опт. пе файл у которого всякие структуры в друга-друга засованы,потом от нефиг делать начал создавать пе файлы в хексе,оказалось даже оч. удобно ))
     
  9. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    >>> Крис, появляйтесь на cracklabe чаще!
    >> меня там уже разбанили? :derisive:
    > а можно это запостить на баш?)))
    можно, конечно ;=)
     
  10. Flint_ta

    Flint_ta New Member

    Публикаций:
    0
    Регистрация:
    25 май 2008
    Сообщения:
    312
    Я не то имел ввиду, сам юзаю 010 Editor как дефолтный hex редактор достаточно давно, а шаблоны файлов не раз выручали.