Этого треда уже нет.
Это копия, сохраненная 29 июня 2019 года.

Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее

Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
В этом треде мы изучаем самый компактный и низкоуровневый /asm/ # OP 1369180 В конец треда | Веб
В этом треде мы изучаем самый компактный и низкоуровневый язык Ассемблер и смежную с ним область: Реверс-инженеринга (RE).

Вы пишите на ассемблере или собираетесь начать на нём писать? Программируете микроконтролёры, пишете драйвера для ОС, а то и саму ОС? Вам сюда.
Вы изучаете алгоритмы работы закрытого софта, пишите патчи бинарников? Вам тоже сюда.

Попрошайки с "решите лабу по асме за меня" идут в общий тред, а лучше нахуй.

Книги по RE:
beginners.re - "Reverse Engineering для начинающих"- бесплатная современная книга на русском языке. К прочтению вкатывающимся и прочим ньюфагам обязательна!
Чтобы не палить свой адрес почты, вот прямая ссылка https://beginners.re/f572d396fae9206628714fb2ce00f72e94f2258f/
https://mega.nz/#!Bc9VVAYC!Vk6CFlW6VIoskLNgDKXbsL6FacDQeOKe6LX92wNicKY Нарваха практический курс по дебагингу
https://www.goodreads.com/shelf/show/reverse-engineering - список книг

Сайты по RE:
http://wiki.yobi.be/wiki/Reverse-Engineering
https://www.reddit.com/r/ReverseEngineering/comments/hg0fx/a_modest_proposal_absolutely_no_babies_involved/
http://www.program-transformation.org/Transform/ReengineeringWiki
http://blog.livedoor.jp/blackwingcat/
https://yurichev.com/blog/
http://wiki.xentax.com/index.php/DGTEFF
https://exelab.ru/

Инструменты для RE:
Дизассемблеры:
0) IDA Pro 7.2 когда подберут пароль к архиву
1) IDA Pro 7.0.torrent (x64 only, для XP нужно патчить PE + вылеты)
2) IDA Pro 6.8.torrent
3) IDA Pro 5.0 - бесплатная версия для некоммерческого использования
4) Radare 2 - наконец прикрутили гуй, но по прежнему нужна только клиническим, не умеющим в скачивания торрентов, или пользователям альтернативных ОС
5) Остальное

Все книги и статьи Криса Касперски (R.I.P.)
https://yadi.sk/d/CxzdM1wyea4WP или https://rutracker.org/forum/viewtopic.php?t=5375505
+ https://rutracker.org/forum/viewtopic.php?t=272818

Книги по ассемблеру:
"Архитектура компьютера" Э. Таненбаум
С.В. Зубков: Assembler. Язык неограниченных возможностей.

Сайты по ассемблеру:
Замена почившему wasm.ru- https://wasm.in/
https://www.unknowncheats.me/wiki/Assembly
http://asmworld.ru/
https://software.intel.com/en-us/articles/intel-sdm
http://www.nasm.us/doc/
https://sourceware.org/binutils/docs/as/index.html#Top
https://msdn.microsoft.com/en-us/library/afzk3475.aspx

disassembler.io Дизассемблер онлайн

Для ковыряющих винду и софт под неё, сайты с описанием структур со смещениями и разными версиями оных:
http://msdn.mirt.net/
http://terminus.rewolf.pl/terminus/
http://geoffchappell.com/

Предыдущие
№5 https://arhivach.ng/thread/395971/
№6 тонущий >>1301036 (OP) если кому нужен тред, сами архивируйте, я в следующий добавлю.
2 1369231
>>369180 (OP)
Пора бы уже гидру в шапку добавить.
3 1369389
>>369231

>добавлять в шапку црушный зонд

4 1369393
>>369389
ЦРУшные зонды у тебя в процессоре. А шапку надо обновить.
5 1369486
Как экспортировать символ на fasm?
6 1369492
>>369393
Тащемта по дефолту там прослушивается порт и включена возможность удаленного подключения. Есть в гидре конечно и свои плюсы, как-то легче что-ли первичный анализ бинарника сделать, но для реальной работы она не катит все таки.
7 1369494
По-моему Сишный компилятор больше инструкций добавляет, а с опцией -O3 вообще мрак получится.
Кто-то поможет объяснить, почему так?
https://godbolt.org/z/zTCRf7
# OP 8 1369517
>>369231
Ссылку прикрепи ответом на первый пост, добавлю.
sage 9 1369602
>>369180 (OP)

> если кому нужен тред, сами архивируйте


https://arhivach.ng/thread/415252/ (#6)
https://arhivach.ng/thread/437556/ (и этот сразу заодно)

>>369486

> Как экспортировать символ на fasm?


public internal_name as '_external_name' или просто public name, если переименовывать не нужно.

>>369494
У тебя в крестах локальная переменная, в Си - глобальная. Во втором случае оно смогло в автоматическую векторизацию (обрабатывает несколько шагов цикла за раз), попробуй собрать с -fno-tree-vectorize, если важен размер кода.
10 1369613
>>369492
Откровения школьника в этом ИТТ треде.
11 1369625
>>369602

>глобальная


Точно, спасибо.
12 1369660
a
13 1369677
>>369602
А как тебе такое?
https://godbolt.org/z/OpS8Du

Забавно получается
14 1369683
>>369677
Да, крестовые алгоритмы из стандартной библиотеки лучше оптимизируются, потому что компилятору доступно больше информации. В Си можно так: https://godbolt.org/z/ShqpCI (к сожалению, без const не свернет).
15 1369687
>>369683
Ну, кстати с флагом -fno-tree-vectorize оптимизируется также.
Значит таки лучше на крестах учиться писать для скорости то? Думаю да
16 1369688
>>369687
Да. Но именно на современных крестах, а не на C++98.
17 1371019
Ебать я даун.
Написал программу, неправильно проверил и сижу ищу ошибку которой не существует.
Как в анекдоте про иностранца, собирающего холодильник, и русских, которые подкидывают ему детальки.

Ладно одной проблемой меньше.

Как в этом прекрасном языке строки вводятся, выводятся? Чот из методички нихрена не понял.
Пните меня хоть в правильное место.
Прерывания какие-то досовские, значения регистров для вызова правильной подпрограммы, вообще охуеть.
18 1371108
Знающие семпаи-аноны, подскажите, а чисто по-приколу можно на ассемблере игру написать?
19 1371183
>>371108
Можно
image.png1,3 Мб, 1280x720
20 1371204
>>371108
Ну Spacewar! нахерячили же в 62 году. Скорее всего на ассемблере, либо вообще на двоичном запилили (Маловероятно, но возможно).
(Хотя чёрт его знает что было на PDP-1 Вдруг и компилятор чего нибудь высокого. Хотя вряд ли)
21 1371205
>>371204
Бляяяяяяяяяяяя.
22 1371214
>>371204
300кк\сек на связи судя по антуражу.
23 1371215
>>371204
если подкрасишься ничего так будешь, учи мейкап
24 1371219
Конечно на двоичном! Да чё вы, ещё Никола Тесла игры писал когда электрон гонял по прутику, хули там
изображение.png167 Кб, 1458x514
25 1371944
Чому краказяблики вылезают?
26 1371947
>>371944
тому что ты не достаточно няшный
27 1372094
>>371944
Том что выполнение начинается с первой строчки, а у тебя там вместо кода переменная. Утащи ее вниз. И еще тому, что для int 21h/func=9h DX должен указывать на строку, завершенную долларом, а у тебя не указывает и не на строку.
28 1372225
>>369613
Подловил однако!
29 1372441
Ребят подскажите сколько цыклов процессора идет на выполнение комманд ассемблера таких как mov inc sub div и остальных. Или подскажите где это искать ибо у самого лапки и не нашел.
30 1372448
>>372441

>цыклов


Тактов.

>подскажите где это искать


intel manual
31 1372468
>>372448
>>372448
Не ну для 8088 все есть а для рабочих процов + архитектуры нет.
Ну спс хоть за что-то.
тактов/цыклов дискасс
Машинный цикл — промежуток времени между двумя последовательными обращениями центрального процессора к внешней оперативной памяти команд/данных, или обмена 1 словом данных с периферийными устройствами, в том числе в циклах обработки аппаратных прерываний и является составляющей частью исполнения машинной команды.

Такт процессора или такт ядра процессора — промежуток между двумя импульсами тактового генератора, который синхронизирует выполнение всех операций процессора.
32 1372469
>>372468
Бля цЫкл
цЫкл карл
Соре за цыклцикл
sage 33 1372479
>>372468

> для рабочих процов + архитектуры нет


Суперскалярная архитектура, мам. Какие именно такты ты считать собрался? Почитай Intel Architectures Optimization Reference Manual, почитай Агнера Фога для начала.
Стикер512x512
34 1372480
>>372479
А если у меня амд?
sage 35 1372481
36 1372513
>>372479
Спасибо.
+ в карму
37 1373091
>>372441
https://www.agner.org/optimize/instruction_tables.pdf
Правда, как раз-таки с mov всё посложнее.
38 1373262
Как сгенерировать фейковую IAT? Посоветуйте, что гуглить.
39 1373311
>>373262
fasm\EXAMPLES\PEDEMO\PEDEMO.ASM
40 1373392
>>373311
А на С/С++ можно так? Есть примеры?

мимо
41 1373399
>>373392
Нету.
Можно наподобие https://stackoverflow.com/questions/3898716/how-to-build-an-executable-without-import-table-in-c-c
Только какой-нибудь GetStartupInfo, а дальше искать в кернеле GetProcAddress и через него нужные апишки дергать.
42 1373419
>>373392
Нет никакой разницы, на каком языке генерировать структурки. Хоть на жс пиши.
43 1373439
>>373419
Хуюрки.
Как он тебе на джоэсс откомпиляет хоть что-нибудь да со своей IAT?
44 1373451
>>373399

>искать в кернеле GetProcAddress


Ты шутишь так?
45 1373457
Изучаю язык ассемблера, использую nasm ассемблер и линкер от Microsoft, пытаюсь вызвать С-функцию call puts, но при ее вызове выбрасывается ошибка "Access violation reading location" что я не так делаю?
46 1373459
>>373311
Завтра посмотрю. Под фейковым импортом я понимаю технологию, когда программа дёргает апи динамически при помощи парсинга таблицы импорта dll, а собственный импорт у неё фейковый или вообще спизжен у калькулятора.
47 1373465
>>373439

> Как он тебе на джоэсс откомпиляет хоть что-нибудь да со своей IAT?


А как на Си компиляют? Какая разница-то, какой у тебя язык? Ну делаешь UInt8Array, создаешь от него DataView, пишешь туда по очереди поля IMAGE_DOS_HEADER, пишешь туда стаб, пишешь туда IMAGE_NT_HEADERS, пишешь IMAGE_SECTION_HEADER, пишешь данные секций, в том числе и секцию с твоей фэйковой директорией импорта, делаешь Blob, он сохраняется браузером, как обычно файлы скачиваются. Если хочется код генерить, есть готовые либы. Если не хочется, можно через FileReader загрузить бинарник и пропатчить его точно таким же способом.
48 1373466
>>373459
Один импорт парсит, другой GetProcAddress в ядре вызывает. Тебе экспорт парсить надо, обсуждалось в прошлом треде.
49 1373469
>>373457

> учусь водить машину, но когда я нажимаю педаль газа, у нее отваливается бампер, что я делаю не так?


КОД ТАЩИ
50 1373471
>>373469

global main
extern puts

section .text
main:
mov rdi, message
call puts
ret
message:
db "Test", 0
51 1373490
>>373471
Ты уверен, что ты линкуешься 64-битным линкером? Ты уверен, что первый аргумент для Microsoft-овой конвенции вызова должен быть в RDI? Ты уверен, что ты shadow space в стеке под аргументы зарезервировал?
52 1373721
Я начал заниматься кряканьем софта некоторое время назад. Подскажите, на каких форумах я могу найти заказы на взлом?
53 1373740
>>373721
мвд.рф
54 1373742
Треда для системников нет, а в С/С++ сидят одни ньюфаги хеллоуворлдщики поэтому спрошу здесь. Пишу классический non pnp драйвер, все вроде работает, но при выгрузке внезапно синий экран. PAGE FAULT IN NONPAGED AREA.
В DriverEntry:
DriverObject->DriverUnload = &Unload;

Unload rouitne:
VOID Unload(
IN PDRIVER_OBJECT DriverObject
)
{
IoDeleteSymbolicLink(&SymbolLink);
IoDeleteDevice(DriverObject->DeviceObject);
}

Где проебался-то?
55 1373903
>>373490
Спс, разобрался, надо было в регистр rcx писать адрес строки.
56 1374046
>>373742

> SymbolLink


Что там? Фолт при выгрузке или слегка после?
57 1374096
Как перейти в защищенный режим?
58 1374100
>>374096
Собираешь валидную таблицу дескрипторов, кладешь ее в GDTR, ставишь бит PE в CR0, выполняешь дальний jmp на начало 32-битного кода. Ну и там загрузка всяких SS и отключение прерываний по вкусу.
59 1374220
>>374100
Спасибо,а теперь наебень кода на асме, заранее спасибо.
Ну или скажи где про это можно нормально почитать, а то я конченый.
60 1374230
>>374220
В гугле.
61 1374243
>>374230
Подожди, ты самый умный или как? Расскажи как быть таким же умным. Я вот не могу уйти в защищённый режим. Ты вот красиво по пунктам расписал, оно понятно все, но вот код не понятно, акты в порты какието, таблиц куча, джампы, и вот везде кал написан а мне непонятно, объясни заранее спасибо
62 1374263
>>374046
Юникод строка, валидная. Фолт во время вызова Unload.
63 1374268
>>374100
На сколько я помню, это уже с 2017 года не прокатывает, с приходом hyperguard'а.
65 1374291
>>374230
Более фундаментальное есть почитать? Я так понял, Windows Internals поможет, да?
66 1374296
>>374268
Чо? А гипервизоры-то тут каким местом вообще?

>>374263
Понятно, что строка. Где у тебя симлинк конкретно? Проверь ради разнообразия, что тебе IoDeleteSymbolicLink возвращает. Алсо, ты уверен, что у тебя после анлоада колбеки какие-нибудь не остаются торчать?

>>374291
Ты хочешь перейти в защищенный режим из винды, лол?
67 1374331
>>374296
Из третьего защищенного режима в нулевой.
68 1374344
>>374331

> Из третьего защищенного режима в нулевой.


Из третьего кольца, ты хотел сказать. Режим на то и защищенный, чтобы ты так не смог.
69 1374381
>>374296
Из сейфмода 9х собрался, умник
70 1374399
>>374296

>Чо? А гипервизоры-то тут каким местом вообще?


Вот таким: http://www.alex-ionescu.com/?m=201708.

>>374331
Тоже самое выше читай. Никак ты не попадешь уже туда напрямую.
71 1374403
>>374381
В 9x как раз без проблем можно было запатчить IDT, перейдя из r3 в r0 буквально десятком инструкций, без дров. И наличие или отсутствие сейфмода при этом никак не мешало.

>>374399
Ну теперь-то ясно. Я просто думал, что в изначальном вопросе спрашивали про банальный переход из реалмода, а вы тут хацкеры, оказывается.
72 1374491
>>374291
Да, читай 7 издание 1 часть, потом сразу 6 издание 1 и 2 часть наверни, чтобы почувствовать разницу и прощупать логику m$.

>>374296
Спасибо, разобрался. Надо каждый раз что-ли строку инициализировать?
73 1374785
Как вернуться в реальный режим(в дос обратно, чтобы все работало)
74 1374815
>>374785
Ну... кладешь в в IDT реалмодную таблицу, в GDT дескрипторы, чтобы на реалмод похоже было (16-битные сегменты, лимит мегабайт вот это все), прыгаешь в такой 16-битный сегмент, сбрасываешь CR0.PE, опять прыгаешь, чтобы CS перезагрузить уже реалмодным значением, перезагружаешь все остальные сегментные регистры сохраненными значениями (если у тебя DOS) или любыми разумными (если не DOS).
75 1375845
>>369180 (OP)
Программята, я тут по залёту. Препод сказал что повысит мне оценку если я принесу ему ёлочку на ассемблере, но у нас, блядь, было всего две пары по нему два года назад. Нагуглил только какую-то сложную ёлку с анимацией, а это слишком подозрительно. Поможете или я могу нахуй пройти?
76 1376301
Реверсач, сегодня наткнулся на файл с тремя kernel32.dll в импорте. Что за магия?
77 1376326
>>376301
Кривой линковщик?
78 1376426
>>376301
Шутка про программиста и два стакана вышла на новый уровень.
aleq5S6dY.jpg69 Кб, 600x495
79 1376703
Анон, где можно посмотреть/спиздить исходные коды различных девайсов, всякие мигалки на 100500 диодов заебали
80 1376951
>>376326
Судя по-всему это было сделано намеренно.

>>376426
Что за шутка?
81 1376954
Пол года уже прошло. Иду 7.2 бесплатно завезли? Если да, то где скачать?
82 1377050
Появилась недавно идея, сделать электронный замок для ящика стола. Короче говоря, я сажусь за ПК, ввожу пароль. Ящик открывается. Для этого нужно придумывать какую-то муть с подключением всего механизма к ПК. Впринципе, если б я это пилил на какой-нибудь ардуинке И вместо пароля- обычная кнопочка, то проблем бы это не составило. Но т.к я хочу сделать это через ПК, то возникает масса вопросов. Как организовать ввод-вывод (Через какие порты) Можно через usb, но как??
Если на той же ардуино много разных портов ввода-вывода, и на каждый можно подавать напряжение по отдельности, либо считывать с него, то как это делать посредством usb провода?
Натолкните на инфу по этому вопросу. Я даже слабо представляю как такое гуглить
83 1377051
>>377050
Ну погугли спеку юсб, как там инфа кодируется не подойдёт тебе юсб, попробуй выход на колонки
84 1377053
>>377051

> не подойдёт тебе юсб, попробуй выход на колонки


Это как вообще? Просто как провода от jack 3.5 обрезать, и в качестве пинов использовать?
85 1377055
>>377051
Ну, не подойдёт если ты не хочешь ответное устройство городить
>>377053
Ну зачем сразу отрезать, впаяй в свой замок разъем и возьми повод джек-джек
86 1377071
>>377050

> Если на той же ардуино много разных портов ввода-вывода, и на каждый можно подавать напряжение по отдельности, либо считывать с него, то как это делать посредством usb провода?


Ну придумываешь кастомный протокол, кидаешь пакетики в устройство, чтобы управлять output-портами, периодически опрашиваешь устройство на предмет событий с input-портами. На компе через libusb, на устройстве - зависит от микроконтроллера, хоть вручную, хоть через многочисленные USB-либы. И вообще, ты сюда мимо, тебе в /ra/.
87 1377129
>>375845
Бери прсотую сишную елку и перепиши на асм. Или дизассемблируй. Вот уж проблема то.
88 1377130
>>376703
Если линукч, то наверно в ядре его
89 1377137
>>377129
А можно просто конпелятору опцию указать и он будет генерить асм-код завместо бинарника.
90 1377816
>>377050
LPT/COM/USB/Ethernet/Wi-Fi/Audio 3.5
Выбирай любое. Для всего существуют готовые решения.
>>375845
Можно на таком захуярить прямо онлайн http://rk86.ru/ . Должно быть попроще х86.
>>376703
http://cxem.net/mc/mc.php
https://www.radiokot.ru/circuit/
http://easyelectronics.ru/
И т. д.
14749971836651.jpg77 Кб, 400x400
91 1377817

> http://cxem.net/mc/mc.php


> https://www.radiokot.ru/circuit/


> http://easyelectronics.ru/


> И т. д.


Спасибо братишка, но там в основном уже все в омновном откомпилиравано, дизасемблировать занятие так себе
92 1377881
>>377817

>дизасемблировать занятие так себе


И ты об этом пишешь в треде реверсеров?!
9DASeokcaXw.jpg54 Кб, 604x457
93 1377890
>>377881

> Вы пишите на ассемблере или собираетесь начать на нём писать? Программируете микроконтролёры


Не, отреверсить то можно, но мне бы сначала с просто кодингом разобраться, все ж мы люди
94 1377962
Какой диалект на linux использовать - nasm или gas?
Насколько я понял, то gas более типичен для данной ОС, а основное отличие в том, что используется не intel синтаксис, а AT&T (хоть gas и поддерживает intel syntax). AT&T вроде более нагляден и понятен.
95 1377963
>>377962

>nasm или gas?


fasm
96 1377969
>>377963
Почему?
97 1378009
>>377962

>AT&T


Нинужон
98 1378013
>>377963
Вот как только томаш stabs осилит (нативно, а не через внешний костыль, который парсит fas), вот прямо сразу. А до тех пор fasm советовать широкому кругу особенно под linux бессмысленно, и даже сраный nasm будет лучше.
99 1378201
>>378013
Кстати, кто-нибудь знает, как из фасма / фасм-г экспортировать отладочные символы и импортировать их x64dbg? В каком формате это надо делать?
100 1378206
fsdg
101 1378242
>>378206
А что это?
102 1378386
Новая статья про Мыщъха.

https://habr.com/ru/post/447394/
sage 104 1378421
>>378404
Кэп? Куча бреда в его статьях и книгах никак не отменяет того факта, что по ним училось большинство реверсеров в 2000х.
sage 105 1378455
>>378404
Почитал. Критикующий ничем не лучше: тоже достаточно неточностей, фактических ошибок и просто вкусовщины.
106 1378894
Реверсач, я заебался. Как все это байтоебство монетизировать? Уже 2 года тут варюсь, да нравится, да интересно, но без денег на энтузиазме сами понимаете... Вакансии искать сложно, их просто нет. Что делать?
107 1378896
>>378894
приватные читы
малварь
108 1378916
>>378894
Вирусная аналитика
109 1378927
>>378896
Эту ерунду школьникам оставь. Пусть их бутылят.

>>378916
Я что-то ни разу вакансий не видел, еще бы они были, брать рандома с улицы так себе затея.
110 1378952
>>378927
За читы не бутылят и это достаточно прибыльная ниша. Но судя по ответу у тебя мозго только на байтоебство хватает, так что остается тебе только страдать и тешить себя мыслью о том что не тупой, потому что "уже 2 года тут варюсь".
111 1378959
>>378894
мехатроника нэ?
112 1379210
>>378896
Двачую малварь.
113 1379217
>>378927
Ты где смотришь вакансии? Зайди на сайт Касперского и дрвеба, есть там вакансии
114 1379265
>>378952
Бутылят, на за сами читы, а за вытекающие проблемы этого бизнеса. Чтобы развернуть проект, нужна команда 3-5 человек минимум, нужно как то согласовывать разработку, распределять средства между незнакомыми друг с другом людьми в интернете и еще овер9999 подводных камней.

>>379217
ДС/ДС2, опыт от 3 лет.. Понятное дело, что у гигантов типа касперского и прочих будут вакансии. С нуля без опыта-то куда вкатываться-то? А если я еще и из мухосрани?
115 1379367
>>379265
Если продолжить сидеть на шее мамки, точно никуда не устроишься.
116 1379675
>>379367
Капитан, ты?
117 1379837
Посоветуйте статьи про создание собственного ассемблера и написание простого парсера, лексера и генератора машинного кода. Хочу написать компилятор для своей ВМ.
118 1380127
НАДО АКТИВИРОВАТЬ ФУНКЦИЮ ПЕЧАТИ ДОКУМЕНТА
@
ДЛЯ РЕФЕРЕНСА РЯДОМ ЕСТЬ АКТИВНАЯ ФУНКЦИЯ ПЕЧАТИ ОДНОЙ СТРАНИЦЫ
@
ВЫПОЛНЯЕТСЯ ЗА 150 ИНСТРУКЦИЙ, ВСЁ ПРЕДЕЛЬНО ПРОСТО
@
НАШЁЛ, КАК ВЫЗВАТЬ ПЕЧАТЬ ДОКУМЕНТА
@
В ПРОЦЕССЕ ВЫПОЛНЕНИЯ ДЁРГАЕТ НЕБО И АЛЛАХА, ПРОВОДИТ КАКИЕ-ТО СКРЫТЫЕ ПРОВЕРКИ, КОТОРЫЕ ТОЖЕ НАДО ОБОЙТИ
@
СПУСТЯ 1000 ИНСТРУКЦИЙ И 3 ЧАШКИ КОФЕ МЕЧТАЕШЬ О ТОМ, ЧТО ЛУЧШЕ БЫ ШЛЁПАЛ ФОРМЫ НА ДЖАВАСКРИПТЕ


вкатился
image.png60 Кб, 225x225
119 1380129
>>377050
Я делал что-то подобное через ft232 - на стороне PC usb + driver, другим концом в микроконтроллер serial RX/TX. Все предельно просто. API на сях, довольно удобный и высокоуровневый.
Код типа такого
FT_SetBaudRate (ftHandle, 9600);
FT_SetDataCharacteristics(ftHandle, FT_BITS_8, FT_STOP_BITS_1, FT_PARITY_NONE);
...
ftStatus = FT_Write(ftHandle, &buf, sizeof buf, &bytesWritten);

и тд. Никаких проблем. Я с армом спаривал, можешь хоть с ардуинкой, с чем угодно. В /ra/ сходи еще.
120 1380219
>>379265
Никуда, продолжай ныть и отговорки придумывать.
121 1382376
Пишу лабу. Нашел похожую прогу и вычищаю всякое ненужное говно и разбираюсь что здесь что.
Можете пояснить, зачем он закидывает в стек дс и выкидывает ес? В чём суть? (Без этого лаба не работает, поэтому надо рабобраться)
Для чего обычно это используется?
push ds
pop es
122 1382394
>>382376

>Для чего обычно это используется?


>push ds


>pop es


es=ds
Т.к. прямых команд типа mov es, ds нетути.
123 1382398
>>382394
А что это означает? Нахуя тобишь? Код не сильно большой, надеюсь меня не побьют.
Без него ничего не работает, но я не пойму смысол.

lea SI, StringINP+2 ;взятие адреса входящей строки
lea DI, StringOUT+2 ;взятие адреса исходящей строки
mov CL, StringINP+1

push ds
pop es

Proverka:
lodsb
cmp AL, 20h
je stop
cmp AL, 9
je stop
stosb
stop:
loop Proverka
lea dX,StringOUT
mov AH, 09h
int 21h
quit:
exitcode 0
end
124 1382404
>>382398

>Нахуя тобишь?


Пушто lodsb работает с парой DS:SI, а stosb с парой ES:DI.
Если SI и DI в одном сегменте, то надо как-то сделать, чтобы ES=DS.
Т.к. прямого присвоения типа mov ES, DS нету, то костылишь это через pusd DS/pop ES.
image.png183 Кб, 450x565
125 1382408
>>382404
ПАСИБА.
Миллион нефти тебе :3
126 1382415
>>382404

>Если SI и DI не в одном сегменте


слоуфикс
127 1383141
чего в шапке нет ссылки на дизассемблер от большего брата? https://ghidra-sre.org (заходить с впн)
128 1383459
Мимодебилу подскажите.
Проходил туториал от cheat engine и немного разбираюсь в ассемблерах этих. Совсем чуть чуть.
Есть одна игра, и в ней есть кнопка, которая требует 80 левл, чтоб на неё нажать.
Я подумал найти где в ассемблере считается левл и изменить там.
Текущий левл видно в меню персонажа, но я его чит энжином никак не могу найти. Искал уже по типу all, по типу string, ничего нет. Точнее за 2-3 прохода вся таблица исчезает. Будто адрес левла меняется постоянно.
В меню персонажа левл выводится как Level: 4 например.
Нашел эту строку в памяти Level: %d
Сделал Find out what accesses this address
При открытом меню персонажа там есть 2 адреса, которые читают эту строку.
Взял первый, Show disassembler
Если я меняю на nop, то текст пропадает из всего меню персонажа. Все строки. Значит я на верном пути.
Сделал Break and trace instructions и теперь у меня тыща инструкций. Но это не просто printf (string, ADDRESS_OF_LEVEL); а куча хлама, среди котрого хрен найдёшь нужное.

Как мне выследить где хранится ебучий левл?
129 1383468
>>383459
Кстати статы я так же не могу никак отловить, силу, ловкость, вот это всё. После 2-3 изменений в cheat engine пустая таблица.
130 1383471
>>383459

>теперь у меня тыща инструкций. Но это не просто printf (string, ADDRESS_OF_LEVEL); а куча хлама, среди котрого хрен найдёшь нужное


Добро пожаловать в ассемблер.
изображение.png27 Кб, 780x399
131 1383479
>>383471
>>383468
>>383459
Пиздец.
Я справился. Я победил.
Написал пелену текста как я это сделал, а макаба взяла и удалила мне весь пост.
Лень писать, но я выйиграл. Пикрелейтед - проверка на 80 левл.
132 1383480
Как мне последовать за call инструкцией? То есть есть функция yoba, которая внутри вызывает функцию makaba, ида пишет мол вот смотри: yoba + 0x2b ; call makaba. Как мне блять адрес то макабы получить чтобы вызвать ее? (fnProt)yoba = get_addr(yoba) + 0x2b же? Но так не работает.
133 1383485
>>383480

>Как мне последовать за call инструкцией?


F7
sage 134 1383592
>>383480
Подозреваю, что ты хочешь что-то типа call_target = base + offset + 5 + dword_at(base + offset + 1), где base - это yoba, offset - это смещение инструкции call относительно base, т.е., 0x2b, call_target - вычисляемый адрес makaba, 1 - офсет rel32 внутри инструкции call (всегда 1 в этой форме), 5 - размер инструкции call rel32 (всегда 5 в этой форме), rel32 - это смещение вызываемой фукнции относительно следующей за call инструкции.
# OP 135 1383627
>>383141
Потому что никто уже третий тред не может его нормально прикрепить. Вот так:
>>369180 (OP)
ОП, добавь в шапку гидру
136 1383826
Ассемблер ломает мне мозг. Я думал это машинный язык, а он компилируемый получается.
Вот из примера

>e db 'string',0 ; Определяем строку из 7 байт, заканчивающую нулём


Как это будет выглядеть в хексе экзешника? "e" это имя переменной.
Там ведь не будет слова "e" для переменной?
137 1383827
>>383826

>\t\t


Это макаба добавила. Там в оригинале табуляция.

И потом если этот экзешник открыть чем-нибудь, что показывает ассемблерный код, что он покажет?
Я пока ничего не умею, сам проверить не могу.
изображение.png38 Кб, 665x276
138 1383828
>>383827
>>383826
А, я понял.

>e db 'string',0


превратится в

>73 74 72 69 6E 67 00


а

>mov eax, [e]


превратится в

>mov eax, [0xАДРЕС]

image.png9 Кб, 485x164
139 1383861
>>383485
Спасибо конечно, но мне нужно это сделать не в иде, а в рантайме на С.

>>383592
Теперь я еще сильнее запутался... Вот другой пример прикрилейтед. FUNC - экспортируемая функция в дллке, func_internal - нет, но мне нужно получить к ней доступ, чтобы единичку в последнем параметре заменить на нуль при вызове. Как мне вызвать то func_internal? Делаю GetProcAddress(func), получаю адрес func, смещение по которому находится вызов func_internal = func + C. Но все равно вызвать функцию не получается.
sage 140 1384303
>>383861

> Как мне вызвать то func_internal?


Псевдокод:
typedef int func_internal_type(int a, int b, int c, int d, int e);
uintptr_t funcptr = (uintptr_t) GetProcAddress(lib, "func");
uintptr_t call_insn = funcptr + 0x0c;
assert(∗(uint8_t ∗) call_insn == 0xe8); // Опкод CALL.
uintptr_t rel32 = ∗(uintptr_t ∗) (call_insn + 1);
uintptr_t call_target_addr = (call_insn + 5 + rel32) & 0xffffffff;
func_internal_type ∗func_internal = (func_internal_type ∗) call_target_addr;
func_internal(1, 2, 3, 4, 5);

Пример на пальцах. Допустим, у тебя есть:
0x10000000: e8 20 01 00 00: CALL 0x10000125
0x10000005: c3: RET
Ты читаешь из инструкции rel32 (little endian, выделено жирным): rel32 = 0x00'00'01'20, берешь адрес следующей инструкции после call: 0x10000005, прибавляешь к нему rel32 (считаешь в 32-битной арифметике с переполнением, rel32 со знаком, но на это похуй) и получаешь адрес вызываемой функции: 0x10000005 + 0x00000120 = 0x10000125. То же самое делается для относительного JMP.
141 1384523
>>384303
Благодарю, вроде все понял, буду пробовать. Есть вообще доп. материал по данной тематике? Как гуглить решение аналогичных задач? Или нужно асм активно вкуривать и само все придет?

Еще вычитал способ с поиском адреса функции по сигнатуре, выглядит проще. Какой из этих двух способ более правильный?
142 1384525
>>384523
Если знаешь название экспортируемой функции, глупо было б искать ее по сигнатуре
sage 143 1384527
>>384525
Возможно, имеет смысл искать сам опкод по сигнатуре, а то мало ли как компилятор в следующий раз наоптимизирует, офсет изменится, и приехали.

>>384523

> выглядит проще


Да там на самом деле одно-два выражения всего, если лишних переменных не создавать. И да, я только сейчас случайно заметил, что у тебя 64-битный код, а у меня там unsigned читается. Сорян. Надо вот так хотя бы, тогда и в 32- и в 64-битном коде норм будет:
uintptr_t rel32 = (uintptr_t) ∗(int32_t ∗) (call_insn + 1);
uintptr_t call_target_addr = call_insn + 5 + rel32;
144 1384562
>>384527
1. если он в следующий раз наоптимизирует, твой сигнатура идет нахер
2. тебе не надо знать офсет, чтобы хукнуть импортируемую функцию из ддл
145 1384566
Кто шарит в windows debug?
Напишите уравнение: x = (a*3+5)/c+b
146 1384568
>>384566
щта?
sage 147 1384872
>>384562
Если он в следующий раз наоптимизирует, первая вызываемая функция останется первой (ну разве что стекчек появится какой). Чтобы хукнуть экспортируемую, офсет не нужен, но анону нужно самостоятельно вызвать неэкспортируемую фукнцию, которую вызывает экспортируемая.
148 1385026
Стоит ли читать Зубкова, учитывая что там большая часть книги описывает работу с dos, win95 и т.д.? Мб есть что-то поактуальнее?
149 1385127
>>385026
Юричев
150 1385209
>>385026
главное не выбирать долго долго а сесть и начать. кому как, у меня начало было так:
курс с asmworld.ru по FASM + Калашников https://rutracker.org/forum/viewtopic.php?t=4480735
Знаю что Калашников старье не актуальное и все что пишется либо на ХР запускать либо в досбоксе. Чисто чтоб привыкнуть к асемблеру.
А дальше все как в книжке Юричева. компилятор + олька + ида, и в путь. Можно по курсу ольки от Нарвахи пробежаться.
151 1385210
>>384525
Так она не экспортируемая.

>>384527
Спасибо еще раз. Почитать-то есть что-нибудь на данную тему? Далее планирую похукать функцию. Это же inline hook называется, когда в начало функции пишешь свой jmp, address?
152 1385211
Может кто поделиться статьей https://xakep.ru/2019/03/20/nsa-ghidra/
брать подписку ради нее одной как то не хочется.
153 1385215
>>385211
Итак, мы рассмотрели фреймворк для реверс-инжиниринга Ghidra. Сможет ли он заменить IDA Pro? Я думаю, что на данном этапе своего существования — нет. Дело в том, что Java в качестве языка для написания подобных программ, на мой взгляд, не лучший выбор. И дело, конечно, в скорости.

Дизассемблер работает небыстро, особенно на тяжелых файлах. Скажу больше: файлы размером свыше 150 Мбайт реверсить на Ghidra — то еще испытание. С другой стороны, Ghidra кросс-платформенна, и для кого-то это может быть важно.

Следующий момент — это количество поддерживаемых архитектур и загрузчиков файлов: у IDA Pro их значительно больше. Еще очень не хватает такой же плотной интеграции с отладчиками, как в IDA Pro. Опять же, открытость кодов (если NSA выполнит обещание) — это хорошо, да и возможность добавлять поддержку других архитектур — по-настоящему крутая фишка. Но пока будет выполнена эта работа (и исправлены баги), пройдут годы.

Вообще, у меня сложилось стойкое впечатление, что Ghidra — это не конечный продукт. В том виде, в котором этот фреймворк доступен сейчас, он тянет на бета-версию с публичным доступом, но никак не на версию под номером девять. Кстати, в названии архива есть слово PUBLIC. Наверняка где-то есть еще и версия PRIVATE.

Безусловно, у Ghidra есть свои сильные стороны, и в чем-то она уже превосходит IDA Pro, но слабых мест пока что намного больше. А вот разработчикам IDA есть что позаимствовать в новом инструменте. Например, мне понравилась повышенная информативность кода, представленного в виде графа. Да и само построение графа кода выглядит более строго и упорядоченно. Есть патчинг инструкций без дополнительных плагинов и без разделения на x64 и x86. Зачем держать два ярлыка на рабочем столе, если достаточно одного?
154 1385217
>>369180 (OP)
я бы добаивл еще ссылку на копию зеркала старого васм.ру https://rutracker.org/forum/viewtopic.php?t=407571
155 1385219
>>385215
там после "Здесь видим список всех функций с их сигнатурами" закрыто сайтом. Можешь Ctrl+P и пдфкой сюда?)
156 1385255
>>385215
иногда гидра лучше листинг выдает, чем ida pro 7.0
157 1385841
>>385210

> Я думаю, что на данном этапе своего существования — нет


Учитывая, как легко и красиво пишутся плагины, то иде пизда. И радару пизда.
Стикер512x512
158 1385864
>>385841
>>385255
Уже установили JRE?

Налажали спец. службы конечно, уж писали бы на сисярпе хотя бы.
159 1385881
>>385864
ничего не наложали. у них при работе скорее всего крутится на сервере с нужными мощностями, а ты подключаешься по сети дебажешь. Да и понятие скорости там не так важно. ну анализирует оно дольше, да и фиг с ним. Главное простота поддержки кода, уровень вхождения.
Цифра 9 - когда начинали .net core наверно был только в зарождении, а тут все сразу из коробки. так что для них выбор очень даже хороший.
sage 160 1385917
>>385864

> Уже установили JRE?


Ты мимо пробегал? Пробегай, не задерживайся. Мы тут реверсеры, нам приходится реверсить и жабкуандроид, поэтому жре у всех и так установлен.
161 1385993
Парни помогите ,жопа горит уже не могу.
При установке драйвера TitanHide столкнулся с ошибкой
StartService fails with error 6 "Invalid Handle" , а также до этого была проблема с загрузкой win без подписи драйвера, при выборе даже в загрузочном меню F8 команда игнорировалась и запускала обычную версию.
Решил ту проблему через msconfig
как же я блять не навижу ебаный шиндовс
162 1386277
Сап, реверсач.
Вопрос мб тупой, но всё же задам: в 2к19 пишутся ли годные малвари на чистом асме? Или это, как правило, сишный код с инлайн асм вставками?
163 1386418
>>385993
Ты как грузишь драйвер-то? Проблема очевидно c SCM-manager'ом. На сколько я помню проект опенсурс, так что смотри исходники и дебаж.

>>386277
Прям целые боты естественно не пишутся на асме, люди ценят свое время. А вообще лучше не лезь, анон, сейчас за малварь активно бутылят, да и не выгодно это уже.
164 1386567
>>386418
Все в ознакомительных целях на самом деле, я хочу в недалеком будущем начать анализировать малвари, сейчас усиленно учу асм и хочу знать полностью его мощь/возможности.
165 1386579
>>386567

Тогда ты на выбор попадешь или к мусорам из раши, или к мусорам из СШП. Причем, ко вторым тебе шансов попасть больше. Еще есть такой вариант , что после бутылки от отечественных мусаров тебе предложат поработать штирлицом плаща и кинжала на гыгыру или какого вагнера (в противном случае на тебя повесят все глухари и отправят к маньяками и серийным мокрушникам в черный дельфин) тип штатным хакером, где ты в тюрячке/шараге под одобрительные солдатские пиздюли будешь ломать пентагон с IP адреса минобороны, после чего гыгыру и пуйло поджав хвост и поскуливая, сольют тебя мусорам из СШП. Где ты получишь тот же пожизняк-двадцаточку, но уже с многомиллиардными штрафами.

Да, касперский, по последним сводкам тоже на гыгыру и вагнера работает, параллельно многостаночит на прочие кардерские тусовки. Так что ну его нахуй это хекерство - если ты не какой мексиканский главарь Los Zetas и у тебя нет своей личной армии.

Хакеров везде не любят, тащемта. Тут тот случай что даже заведенный трактор/его отсутсвие похеру.

Потому что речь идет о серьезных деньгах серьезных людей по всему миру.
166 1386701
>>386567
чекать малвари и сигнатуры в базы антивирусные вносить - утомительная работа, быстро надоест, к тому же нет роста как профессионала. А конкретно реверсеры, нужны не в таких больших количествах.
Но это удобный скил лично для себя. Плюс с обилием крякми - всегда для хобби будут задачки головоломные которые порешать.

а так, загляни https://habr.com/ru/post/438376/
167 1386721
>>386579
Анон, что ты несешь? Речь идет о кристально белой шляпе, которая проводит binary exploitation исключительно в рамках инфосек компании за зарплату. Ни про какие мутные взломы и прочую хрень речи не идет вовсе. Я лишь спросил про мощь асма у более знающих людей (уверен, здесь таких немало), а в ответ полетел бред про бутылку и криминал.
168 1386724
>>386721

>о кристально белой шляпе


Следователю расскажешь и фсбшникам объяснишь, идиотик.
169 1386728
>>386724
Ты совсем даунич?с: Инфосек специалисты для чего в соответствующих компаниях работают? Чтобы проводить аудит безопасности для тех или иных продуктов, причем здесь вообще криминал, даунёнок? Им платят деньги за то, чтобы выходил качественный, трудновзламываемый софт.
170 1386732
>>386728

>Инфосек специалисты для чего в соответствующих компаниях работают?


Чтобы за 15к фублей и статус невыездного подымать россиюшку.
Ну и если что не так - то тут же сесть, разумеется.
171 1386735
>>386732
А, забыл упомянуть, что речь идет не про рашку и даже не про страны СНГ, но это совсем другая история с:
Пожалуй, подожду адекватного ответа по поводу асма, а то продолжать юзлесс демагогию не имеет никакого смысла.
172 1386737
>>386721

Открою америку: белых шляп не существует - все инфосек конторы занимаются чернотой на заказ, при этом все сотрудники реально ходят под такими NDA, что вплоть до пули от киллера или пера в переулке.
173 1386741
>>386737

>белых шляп не существует


Пруф или волейбол
174 1386747
Где моча? Тут /по/рашник протёк!
175 1386753
>>386735

>А, забыл упомянуть


+15
176 1386755
>>386747
Протек мочой тебе за щеку, сглатывай.
177 1386804
>>386701

>к тому же нет роста как профессионала


Тут ты обосрался. Карьерный рост есть:
1. Кататься по дефконам светить лицом, продвигать себя и свою кантору
2. Вкатиться в разработку ав-движка
3. Вкатиться в редтим
4. Пилить девтулы для своей канторы

Самое основное вспомнил.
178 1386818
>>386701
сейчас бы malware analyst был без профессионального роста, лол :-) Хотя, возможно, с ИБ в рашке действительно настолько все плохо, что на всю страну есть только лаборатория Касперского. Основная же масса айтишников - сброд унылых вебмаQAк :-)
179 1386862
>>385864
Он же платный!
180 1386872
>>386818
Он прав в том плане, что в пентестинг довольно легко вкатиться, но для того, чтобы продолжить заниматься чем-то действительно интересным, необходимы оче разносторонние знания вкупе с профильным образованием.
181 1386880
>>385215

>Дизассемблер работает небыстро, особенно на тяжелых файлах.


Этот даун думает, что дисассемблер медленный из-за джавы?

>Кстати, в названии архива есть слово PUBLIC. Наверняка где-то есть еще и версия PRIVATE.


Натурально даун.
182 1386889
Есть, кто шарит за демосцену?
Хочу вкатиться чисто для души поделать, плюс углубить анус свои знания.
Тащемта, с чего начать, куда смотреть? Сам недокодер SoC на си
183 1386897
>>386889

>Тащемта, с чего начать, куда смотреть?


Шейдеры.
всё
184 1386904
>>386897
я смотрел сурсы демок, там в си вставлен ассемблер..
это все шейдеры?
185 1386914
>>386804
ну будем честными, это единицам светит, остальные и будут сидеть "вычленять сигнатуры", в то времяч как жава/шарп джуны получают столько же и в джунах не задерживаются.
186 1386916
>>386818
рынок для реверсеров очень сильно ограничен. И не только в России.
187 1386948
>>386916
Погугли сколько есть вакансий в разных странах на должности: malware analyst, security researcher. Все они реверсеры, камон, их не так мало. Да, порог вхождения высокий, но их все равно достаточно.
188 1386965
>>386904
В старых по-разному может быть.
Современная выглядит так:
var sheider='дохуя длинная строка шейдера в текстовом виде'
call Init_grafika
call zapustit_sheider
loop poka_ne_zakonchitsya

А потом это все кранчем жмешь и получаешь заветные 1-4к.
189 1386969
>>386965
а как оэлдефажные делать...
190 1387051
>>386948
ну твой опыт похоже ограничивается только гуглом))
191 1387462
>>386880
Очевидно он медленный из-за джавы. Очевидно у спец. служб есть и приватная софтина. Не понял твоих претензий.

>>386914
В ДСе зп младшего вирусного аналитика может за 100к переваливать, даже джависты могут позавидовать. Рост возможен и потолок гораздо выше чем у того-же джависта/шарписта.
192 1388062
>>387462
ты это на хх смотришь? или работал там? порог вхождения джав/шарп-иста на такую зп куда ниже чем на того же аналитика. Рост у обычного аналитика не так прекрасен как рассказывают, по большей части ты выполняешь тупую нудную работу. В зависимости от фирмы еще и разной специфичности условия.
Ну и да, совсем забыли тут сказать, работа вирусным аналитиком не так уж и сильно корелируется непосредственно с реверсом.
ну а 100к джавистом/шарпистом можно и в регионах, если добавить немного фриланса
193 1388067
>>388062
А педалить какое-то говно на джаве - это не нудно?)
Вирусный аналитик != реверсер? Анон, ты ебобо? 99.9% малварей требуют глубокого статического анализа, где от вирусного аналитика требуется мэдскиллз по обходу обфускации, пакеров, рантайм шифрования и прочего дерьма. Вирусный аналитик - это реверсер на стероидах, ибо обычный софт, в среднем, гораздо меньше и слабее онально огораживают от отладчиков и дизассемблеров, нежели малвари, и тому есть вполне логичные причины.
194 1388115
>>388067

>99.9% малварей требуют глубокого статического анализа, где от вирусного аналитика требуется мэдскиллз по обходу обфускации, пакеров, рантайм шифрования и прочего дерьма.


Ржали всей лабораторией.
image.png3 Кб, 269x77
195 1388163
196 1388164
>>388115
ой, да что ты пиздишь, наверняка какой-нибудь вебмаQAкич :)
197 1388416
>>387462
Кому очевидно, тебе?
sage 198 1388459
>>388067

> 99.9% малварей требуют глубокого статического анализа


> Ржали всей лабораторией.


Присоединяюсь. 90% малвари состоит из необфусцированного копипастного кода, написанного школьниками на переменах. Глубокий анализ такого заключается в strings virus.exe|grep http. Еще несколько процентов - это вариации на тему ксора с коротким ключом, иногда со скопипащенным из какого-нибудь метасплоита кодом поиска апи по хэшам, но внутри все тот же говнокод. Сколько-нибудь интересные сэмплы очень редки. Ковыряться в этом однообразном говне годами может только совершенно больной человек, даже у JS-макаки жизнь интереснее, чем у вирусного аналитика.
199 1388523
>>388459
Видать в пидорашке любая отрасль идет с 20-ти летним дилэйем как минимум. Держу в курсе, в 2к19 в цивилизованных странах с таким школьным говном имеют дело программы по анализу вредоносного кода, которые детектят недомалвари в строках, копипасты инфекторов исполняемых файлов и прочее дерьмо.
Анон, интересно, откуда у тебя такие мысли. Только если ты не вирусный аналитик в лаборатории Касперского, но если там такая дичь творится, то земля вам пухом там, хуле
sage 200 1388660
>>388523

> Только если ты не вирусный аналитик в лаборатории Касперского


Нет, я с дивана, а ты в целом прав.
201 1388697
>>388523
сам то чьих будешь где работаешь что такими заявлениями кидаешься? Живешь в каком то маня мирке.
я вот много где посмотрел, вирусная налитика именно такая копипаста как выше тебе уже пояснили. Анализ чего то сложного и интересного. это настолько редко что охереть как.
202 1388811
>>388459
>>388697
Да никто не сидит там по 2 года, делая однообразную хуйню. Такой же карьерный рост как и везде. После полугода-год тебя начнут закидывать прикольными тасками, будешь выезжать на конфочки/хакатоны итд.
203 1388816
>>388459
>>388115
Вам если сэмп с сискаллами + кастом пакером + вм дадут, побежите сразу к старшему с криками:

>ряяя нипохукать! ряяя нидампица! ряяя где оеп вапще?

204 1388876
>>388811

>После полугода-год тебя начнут закидывать прикольными тасками, будешь выезжать на конфочки/хакатоны итд.


А через два года начнёшь получать 300кк в наносекунду.
205 1388896
суп реверсач
понадобилось крякнуть программу купить не вариант - уже не продается
вообщем нужно написать декриптор для этой штуки
https://paste.dlab.im/?0b0853f6e4817a61#NTz16ZkNLTjEdqZhreTOPZUCFJS3lxbvwxU5o7I01ac=
да,я тупой инвалид,но не осилил
sage 206 1388903
>>388896

> DDosBot


Нахуй пошел.
sage 207 1389079
>>388903
Не факт, может стилер, лол
185.170.43.187/jjj888/skghn.php
sage 208 1389080
>>389079
А не, это внезапно майнер.

[MINING]
pool = 185.170.43.187:8080 ; pool address
wallet = 83VL4uUXJynELY1oc7vqwmdG5L4ykZYtb4XjbYDkDvDvF9Chh7xMZJy4FTPuSEUfYGTBJCFoH6qBcVV1AFakRHjeRPu7hKL
pass = x
proxy = false

[CPU]
cpubase_usage = 20 ; Basic power
cpuidle_usage = 90 ; IDLE power

[GPU]
gpubase_usage = low ; 40% aka basic power
gpuidle_usage = high ; 100% aka IDLE power
209 1389082
Сап котаны
Объясните ньюфагу, каким образом дрова исполняются в кольце 2 и 1, и каким образом он исполняются без ведома владельца пк? В общих чертах хотя бы, а то путаница насчет этого
Чуется мне, что все буткиты/руткиты - это малварь, завернутый в нечто похожее на драйвер, чи да?
210 1389247
>>389079
Там чего только веселого не гуглится по этому айпи.
sage 211 1389281
>>389082

> дрова исполняются в кольце 2 и 1


Никаким. Это влажные мечты Intel, которые никому не пригодились. Пользовательский софт в r3, все остальное в r0.

> В общих чертах хотя бы


> каким образом он исполняются без ведома владельца пк


Процессор при запуске ОС (опустим переключение в защищенный режим) начинает исполнять код в r0. Таким образом ядро ОС исполняется в r0, и оно может, грубо говоря, менять уровень привилегий при переключении потоков (задач), может вместе с процессором изолировать память различных задач, а процессор не дает задачам из r3 исполнять привилегированные инструкции. А вот владелец пека вообще ничего не может, он устройство ввода, его можно даже не опрашивать.

> буткиты/руткиты - это малварь, завернутый в нечто похожее на драйвер


Да, но драйвер - это файл, который работает с системой по какому-то определенному апи и сам предоставляет какие-то интерфейсы, а руткит может не быть файлом или не использовать стандартные апи для драйверов.
212 1389312
>>389281

>а руткит может не быть файлом или не использовать стандартные апи для драйверов.



Это ломает мой девственный мозг новичка, как код может быть исполнен, если он не файл? Из-под чего он исполняется, где хранится код зловреда?
Или руткит инжектят каким-то раком в бут сектор и он хранится, не имея при этом файла, который содержит исполняемый код, тупо запускаясь вместе с ОС при включении компа? А что творится на уровне гипервизора или SMM я пока тоже не представляю.
image.png60 Кб, 536x398
213 1389341
>>389082
Смотри пикрил. Обычный юзер ты, твои приложухи, игрухи, итд находится в VTL 0 пользовательском режиме ring3. Драйверымышки, клавиатуры, системные и прочее находятся в VTL 0 режиме ядра ring0, тут же сидят и руткиты/буткиты.
Руткиты - это и есть драйверы, то есть pe-файл с расширением .sys. После отображения в ядро могут скрыть себя множеством способов. С расширением архитектуры винды и добавлением внутренних механизмов защиты, их действия сильно ограничены.
Windows Internals 6 или 7 издание почитай, много чего узнаешь.

>>389281

>а руткит может не быть файлом или не использовать стандартные апи для драйверов


Апи ядра они используют, без этого никак и функции легитимных/системных драйверов.
214 1389363
>>389079
>>388903
>>389080
>>389247
и никто не помог
:(
215 1389366
>>389079
обьясните алгоритм,хотя бы
у меня при циклах каждый раз где-то все наебывается и выходит полная залупа,а не нужный результат
и биткойн кошель кидайте сразу)
216 1389388
>>389366

>обьясните алгоритм,хотя бы


XOR
217 1389430
>>389341
Зачем шестое читать, оноже старое
218 1389434
Объясните по дескрипторам потоков/процессов, в книгах фашиста и таненбаума не могу ничего этого найти. Какую книгу читать тогда?
219 1389458
>>389430
В идеале и 6 и 7 прочитать, чтобы прощупать логику маломягких.

>>389434
Windows Internals. Очень подробно разбираются процессы и потоки, страниц на 300 все очень детально разжевано.
220 1389460
>>389458
И я так полагаю, в книге по ядру линукса тоже есть такое?
221 1389461
>>388896
Может ты ссылку на файл кинешь?
222 1389462
>>389460
Тебе про линукс надо? Тогда не знаю, гугли сам. Нахуй линукс, все деньги у майков.
223 1389465
>>389462
Виндовс само собой, а линукс для души.
224 1389471
>>389461
а зачем тебе?
225 1389499
>>389471

>понадобилось крякнуть программу


Ты дурачек?
226 1389523
>>389499

>вообщем нужно написать декриптор для этой штуки

227 1389524
>>389499
со всем остальным,кроме этого метода,у меня все окей
нужно просто написать декриптор для этих строчек,чтобы можно было бы переводить их в url и обратно
извиняюсь,могу тупить,время позднее
228 1389533
Котаны, посоветуйте плиз нормальный сорс, откуда можно почитать/посмотреть про хукинг, желательно на английском, а то все как-то не очень объясняют или это я прост тупой, ГЫ
229 1389565
>>389524
Но ведь это C#, Карл. Почему ты просто пропатчить бинарник не можешь?
230 1389605
>>376951
Программист перед сном ставит на тумбочку два стакана. Один с водой, если захочет пить, а второй пустой, если не захочет.
231 1389957
>>389605
Отличная шутка.
Так как собственный импорт сбилдить на С/C++ в visual studio?
232 1390024
>>389957
Что? Поясни, что значит "импорт сбилдить"? Сгенерировать таблицу импортов? Слинковаться с длл? Сделать библиотеку импорта?
233 1390099
>>390024
Да я сам не знаю. Просто хочу чтобы при просмотре любым pe-viewer'ом в таблице импорта моего хеллоу ворлда отображалось три kernel32.dll
234 1390255
>>390099
Фасм:
format pe gui
entry start
include 'win32w.inc'

start: invoke ExitProcess,0
_ = VirtualAlloc ; "Use" function to prevent fasm from removing it from imports.
_ = CreateFile

data import
library kernel32_1,'KERNEL32.DLL',kernel32_2,'KERNEL32.DLL',kernel32_3,'KERNEL32.DLL'
import kernel32_1,ExitProcess,'ExitProcess'
import kernel32_2,VirtualAlloc,'VirtualAlloc'
import kernel32_3,CreateFile,'CreateFileW'
end data
235 1390390
>>389312

>как код может быть исполнен, если он не файл?


Банально уязвимость в сетевом стеке, типа большой пакет озалупливает ОС, и она передаёт управление куда-то внутрь этого пакета. Файла нет, а троян есть.
>>389312

>А что творится на уровне гипервизора или SMM я пока тоже не представляю.


И не надо, есть IME, который имеет вышеперечисленных.
236 1390450
>>390390

>Банально уязвимость в сетевом стеке, типа большой пакет озалупливает ОС, и она передаёт управление куда-то внутрь этого пакета.


Эмм, содержимое такого пакета парсится как строка? Поэтому и сам зловред представляет собой строку? (условно, скрипт баша/мелкомягкой силаскорлупы) Просто если там обычный код, который нужно, офк, скомпилировать перед исполнением, то мне сложно представить как этот троян исполнится.

>И не надо, есть IME, который имеет вышеперечисленных.


Не буду кривить душой, не раздуплил причем здесь софт, который позвляет вводить символы, которых нет на клаве
sage 237 1390474
Это просто троллинг тупостью
238 1390479
>>390450

>Эмм, содержимое такого пакета парсится как строка?


Причём тут строки? Мы про бинари.
>>390450

>Не буду кривить душой, не раздуплил причем здесь софт, который позвляет вводить символы, которых нет на клаве


https://ru.wikipedia.org/wiki/Intel_Management_Engine
239 1390487
>>390479

>Причём тут строки? Мы про бинари.


До сих пор не понимаю как можно пропихнуть бинарник в пэйлоуде пакета, да чтобы он еще и запустился. Только если это не dll/so, который должен экспортироваться в какой-то процесс и нагадить.

>https://ru.wikipedia.org/wiki/Intel_Management_Engine


Спасибо, раздуплил.
240 1390490
>>390479
А это просто тупой, попавшийся на троллинг тупостью.
241 1390491
>>390487
Иди нахуй, дебил.
242 1391094
>>390479
Тебя спрашивают про архитектуру винды, а ты ему железячную
фигню пихаешь, о которой ньюфагу еще последующие лет 5 не придется думать даже.

>>390487
Тебе нужно перестать думать юзермодными абстракциями и загуглить что такое произвольное выполнения кода, переполнение буфера.
У тебя задача вообще какая стоит? Или ты просто исследуешь? Так исследуй блеать! Виртуалку поднял, виндбг подрубил, основные модули в иде открыл, а дальше уже само пойдет.
243 1391171
>>391094

>Тебя спрашивают про архитектуру винды, а ты ему железячную


Больше половины ответа про винду, гений.
244 1391205
>>391094
Ламповый асембли уже давно в тред элитистов превратился. Щас в сипп треде обсуждение асм живее чем тут
sage 245 1391249
>>391205
Он никогда особенно живым и не был.
246 1391345
>>391205
Врешь. Сижу в С и С++ тредах, там одни ньюфаги просят помощи с laba_001.sln, ничего серьезного даже близко не обсуждают.
247 1391429
>>385993
Решил проблему , переустановкой шиндовс.
как же я блять не навижу ебаный шиндовс
248 1391589
>>388896
бамп реквесту,сразу кидайте свой биткойн кошелек как напишите - кину что есть
нужна консольная прога,которой можно дешифровать это и наоборот- шифровать нужные строки в этот вид
249 1391616
>>391589
Тебе уже сказали, там банальный XOR по кругу.
250 1391622
>>391616
я обсираюсь с этими циклами все время и мне выводит какую-то хуйню
поэтому и прошу
251 1391626
>>391622
Билят.
s=Base64decode('DxEBFw4dF0RfQUZDXlZGWkBEVFBDRBgNCFJLUEoUCVQPC1sXXEI=')
key='geug428ugthrifhnsjehtkrgbjshegb3'

а потом каждый байт xor

res=s[l] ^ key[j]

l от нуля до длины получившихся данных
j = strlen(key); if j>strlen(key) {j = 0}
252 1391632
test
253 1391636
>>391626

>j от нуля до strlen(key); if j>strlen(key) {j = 0}


слоуфикс
254 1391657
>>391636
import base64

s=base64.b64decode('DxEBFw4dF0RfQUZDXlZGWkBEVFBDRBgNCFJLUEoUCVQPC1sXXEI=')
key='geug428ugthrifhnsjehtkrgbjshegb3'
y=0
res=[]

for x in range(0, len(s)):
res.append((chr(ord(s[x])^ord(key[y]))))
y+=1
if y==len(key): y=0;

print(''.join(res))
255 1391673
>>391636
спасибо
>>391657
не робит,но все равно спасибо,алгоритм понял
256 1391682
>>391657
Сколько лишних слов!
s = base64.b64decode(...)
key='...'
print(bytes(a ^ b for a, b in zip(s, itertools.cycle(key.encode()))).decode())
257 1391693
>>391682
хотел помочь нуждающемуся,но назад выходит другой результат
делаю тоже самое,но в обратном порядке,в чем подвоха?
мимо
258 1391695
>>391693
человеку вроде же как нужен был и шифратор и дешифратор под это дело?
в любом случае,интересно в чем ошибка
в криптографии ноль
259 1391696
Реверсач, выручай
Немного путаница с import address table.
До биндинга import lookup table и import address table указывают на один и тот же адрес (каждый энтри). После биндинга, каждый энтри в import address table меняется на указатель на функцию в дллке (это я понял), но при этом также меняется указатель в каждом энтри import lookup table после биндинга, почему? И нахуя нужен Хинт?
Олсо, указатели на функции в энтри IAT после биндинга - это же VA, а не RVA, я правильно понимаю?
260 1391698
>>391673

>не робит,но все равно спасибо,алгоритм понял


Это питон 2.7 если что.
>>391693
Я слабо знаю эти ваши пистоны, а за ''.join ваще бы убивал, но иногда вот приходится на нем писать под себя.
261 1391707
>>391698
Вот тут работает https://ideone.com/274G6w
262 1391817
>>391696

> но при этом также меняется указатель в каждом энтри import lookup table


Не должно такого быть, оно же загрузку сломает. Возможно, линкер делает такую таблицу, где FirstChunk и OriginalFirstChunk указывают на одну и ту же цепочку? Фасм таким страдал раньше. Так-то не должно. Попробуй на другом файле.

> И нахуя нужен Хинт?


Чтобы не выполнять двоичный поиск по таблице в таблице имен в экспортах дллки, а сразу попробовать элемент с указанным индексом. Если таблица экспорта в целевой длл не менялась с момента линковки ссылающегося на нее модуля, получается лукап экспорта за O(1) вместо O(log n). Если менялась... а я вот не знаю, используется ли это значение в качестве первого индекса в двоичном поиске, или оно в таком случае с середины начинает? Cам посмотри реализацию, если интересно.

> это же VA, а не RVA, я правильно понимаю


Да, прибито гвоздями к расположению модулей в памяти и поэтому бесполезно во времена ASLR.

>>391698

> Это питон 2.7 если что.


Это часы, если что: https://pythonclock.org/ Тик-так.
263 1391820
>>391817

>Это часы, если что: https://pythonclock.org/ Тик-так.


Пох. Пока sqlmap не переведут на 3, я не перейду.
1355435053367.jpg13 Кб, 359x293
265 1391882
266 1392929
Не могу понять как память устроена в винде. Какие-то страницы PML4, PDE, PTE и еще дофига всего там. Для чего это нужно вообще все? Где почитать можно?
267 1392980
Суп, реверсач
Тут есть анонс со знанием ARM?
В плане архитектуры, ассемблера и прочего будет полегче, чем х86? В плане порога вхождения
268 1392993
>>392980
Ну вот смотри: в ARM вместо одного - два с половиной набора инструкций, всякие DSP-расширения с кучей однообразных арифметических инструкций, выносящие мозг псевдоинструкции (или ебля со сборкой констант по кусочкам, что еще хуже), режимы адресации, которые сложнее, чем в x86, и это все только "обычный" 32-битный код в юзермоде. Плюс AArch64, который по сути отдельная архитектура. Плюс десятки разнообразных, сложных и несовместимых между собой механизмов, про которые нужно знать, если ты соберешься писать под bare metal.

x86 в целом легче, потому что куча софта и информации на любой вкус, потому что локально отлаживаться проще.
269 1393091
>>392929
Внутреннее устройство Microsoft Windows любого издания.
270 1393411
Гайс, чем Линукс легче Винды в плане системного программирования и архитектуры операционной системы в принципе?
271 1393418
>>393411
Не надо линукс, под него непрофитно писать вирусы.
272 1393423
>>393411

> чем Линукс легче Винды


В линуксе компилятор в комплекте. В винде устанавливается за пять минут. Все остальное в винде проще.
273 1393434
>>393411
Во всем он проще + опенсурс.
sage 274 1393462
>>393434
Исходники винды тоже частично доступны, и качество кода там не в пример лучше. Плюс есть исходники реактос.
275 1393470
>>393418
Щас бы в 2к19 писать вирусы, не будучи при этом госслужащим, которому за это ничего не будет))
>>393434
Один говорит винда проще, ты говоришь, что Линукс. Аргументы есть?
276 1393530
>>393470
Окей, давай пойдем другим путем. Расскажи нам, что ты понимаешь под системным программированием. Ты хочешь писать юзермодные утилиты? Компиляторы? Драйвера? Ты хочешь дергать за ноги малинку из баш-скриптов?
анон, который предлагал винду
277 1393538
>>393530
Компиляторы и дрова, допустим.
278 1393559
Где-нибудь имеются сэмплы вирусов под винду, написанных на современном C++, а не на C++ в стиле C?
279 1393607
>>393462
Все равно придется долго сидеть с идой/виндбг. Реактос спасает, да. Майки тоже молодцы, начали пилить сэмплы и доки нормальные.

>>393538
Все бабки у майков. А чего ты собрался драйвера-то писать если чего полегче ищешь, лол?

>>393559
Смысл писать малварь на современном С++? Только если это не полноценный модульный бот. Если тебе надо, то возьми и сам перепиши, какой-то глупый реквест. А лучше не пиши, набутылят, будешь потом плакать.
280 1393646
Хз че тут за винду топят аноны, как это дерьмо вообще можно учить?
Обрыганный и кривой реестр, миллиард API функций, половина из которых имеют по несколько лишних пермутаций. Обрыганское, совершенно конченное строение бинарников и обратная совместимость с никому не нужным говном мамонта. Учить Windows Internals == быть мазохистом
281 1393649
>>393646
Ты так говоришь потому что сам нифига не разобрался. Если бы глубже изучал, то понял бы что все это необходимо и это нифига не костыли, а фичи!
sage 282 1393683
>>393646

> миллиард API функций


Вот в линуксе другое дело - чтобы получить карту памяти процесса, нужно всего лишь написать парсер текстового файла. Это гораздо удобнее, чем запоминать всякие там VirtualQuery!

> Обрыганское, совершенно конченное строение бинарников


Вот в линуксе другое дело - в эльфах есть сегменты и секции, на секции лоадеру насрать, но тем не менее большинство файлов их с собой таскают. Эльфы грузит как бы ядро, но это пока эльфы не с динамической линковкой. В этом случае эльфы грузит (и заново парсит, блять) как бы ld, но как бы не всегда. А формат как бы ОТКРЫТЫЙ и документированный, но сплошь и рядом objdump -d показывает хуй, а readelf так и вообще сегфолт.

> обратная совместимость с никому не нужным говном мамонта


Вот в линуксе другое дело - чтобы скопировать с машины на машину программу, нужно просто взять исходники и скомпилировать программу на целевой машине. Ой, попутно еще поставить перл для мэйка, графические либы для перла, ффмпег для графических либ, иксы для ффмпега... ой, вот уже и гном на машине завелся. А по-другому никак, совместимость ведь не нужна, в глибц опять поправили оформление кода и бампнули версию - пересобирай свои хелловорлды, тебе заняться нечем. А хочешь ебаться по-особому - попробуй линковаться статически, тебе обязательно понравится!
283 1393686
Я иногда в ахуе. Как люди, пишущие про "МИЛЛИАРД ФУНКЦИЙ" смогли хотя бы основные функции/методы стдлибы своего ЯП запомнить?
284 1393694
>>393686
Ну вот, например, я пишу на сишке больше 15 лет, но до сих пор не помню порядок количеств и размеров в calloc() и fread(). И ведь это всего лишь сишка, где в стандартной либе полторы функции.
285 1393698
>>393686
А зачем? IDE подскажет. Они без неё даже Hello World без ошибок не напишут.
286 1393752
Щас бы быдлоспоры по поводу ОС начинать :-)
Хочешь заниматься вирусной аналитикой - грызи винду и желательно х86 архитектуру.
Хочешь заниматься встроенными системами, мобайл, интернетом вещей - грызи Линукс и желательно ARM архитектуру вдовесок.
Для каждой ОС есть своя область применения. Винда вечно будет популярна среди обычных юзеров, ибо это GUI oriented ОС, и 90% вирусов будет писаться именно под винду. Линукс же всегда будет доминировать на серверах и в мобилах+имбэддэд.
Точно также и со срачем х86 и ARM. Будем откровенными, ARM никогда не догонит х86 по производительности, а х86 не станет никогда такой же энергоэффективной, как ARM.
Два абсолютно разных, несовместимых друг с другом рынка.
287 1393820
>>393694
По-моему базовая либа си последнего стандарта, независимо от компилятора в себе только хедеров штук 20 несёт. А в GCC так вообще сразу ставится glibc с тысячами функций не считая алиасов
288 1393827
>>393820
Ну я преувеличил, конечно, но в стандартной либе математика в основном, и еще wide-функции. А "обычных" часто используемых функций не так уж и много. И все это меркнет в сравнении с крестами или какой-нибудь джавой, которую, кажется, никто полностью не знает.
289 1393908
>>393686
А ты сидел и ботал все это? Ну и лох, иде и гугл все подскажет если надо будет. Гораздо важнее запоминать технологии, как писать код можно, а как нельзя и другие фундаментальные вещи.
290 1393950
>>393752
Вирусный аналитик должен знать и то и другое. Сидя на одной ОС далеко не уедешь.
291 1393989
Кто-нибудь пытался написать свой протектор? Или все вмпротекту доверяют? Начал писать пакер и понял, что все это бесполезно без нормального антидампа. Но как вообще можно предотвратить дамп? Scylla легко дампит и фиксит дамп на раз два.
292 1394002
А где вообще можно почитать о том, как с нуля написать простую навесную защиту с виртуализацией?

https://www.oreans.com/codevirtualizer.php
293 1394010
>>394002
Где почитать не знаю, погугли llvm.
294 1394020
>>393908

>гораздо важнее


Разве что если ты джун-макака в ООО "Вазгенян Мессенджер" и не хочешь получить пизды от амбициозного тимлидера Заура Камазовича.
Только, в таком случае непонятно что ты забыл а этом треде
295 1394024
>>394020
С++ уже наизусть весь выучил? Несешь хуйню. Я никогда в жизни не учил питон, яву и шарп, но если что-то нужно написать на этих яп, то беру и пишу без задней мысли с помощью доков. Зачем мне учить все это объясни пожалуйста. Еще раз повторяю, гораздо важнее ботать технологии, а не сам яп.
296 1394036
>>394024
А потом

>Сап двач чё за хуйня с этой виндой тупой блин нихуя не понимаю почему мой 2 мегабайтный софт крашит систему

142231.jpg269 Кб, 1009x1200
297 1394066
Сап, низкоуровневые. Есть ли какая-то разница в int 20h и 4Ch функции int 21h? По описанию они одинаковые, вроде, есть причины использовать какой-то определенный выход из программы?
298 1394087
>>394036
Сам себе противоречишь.
299 1394211
Знающие, подскажите. Хочу что бы при запуске мой комп начал выполнять инструкции с флешки и нарисовал что то на экране. Все что я нахожу под древние архитектуры, а хочется по x64
300 1394299
>>394211
Гугли rubber duck usb.
sage 301 1394307
>>393989
Какой толк с дампа, если код виртуализован? Да хотя бы если он просто расшифровывается перед выполнением и шифруется после? Ты должен предполагать, что виртуальное адресное пространство и системные вызовы полностью под контролем реверсера, а всякую антиотладку прикручивать лишь для того, чтобы киддисам не скучно было.

>>394066
Да, есть разница. Для int 20h CS должен указывать на PSP, а еще ты не можешь вернуть статус в ОС.

>>394211

> хочется по x64


LMGTFY: https://wiki.osdev.org/Entering_Long_Mode_Directly
Удачи с рисованием на экране без прерываний, в защищенном режиме и без малейшего понимания основ.
302 1394311
>>390255
Спасибо. В визуал студио по аналогии можно такое линкером наколдовать наверное. Есть умельцы итт?

Еще интересует сборка TLS без использования CRT, такое возможно вообще?
303 1394315
>>394307
Думаю ты прав. Можешь посоветовать что в приоритете, на что в первую очередь стоит обратить внимание? Виртуализация? На данный момент имею:
Обычный pe-лодырь, как вот тут: https://kaimi.io/2012/09/pe-packer-step-by-step-1/
Антиотладочные трюки из книги The_Ultimate_Anti-Reversing_Reference 2011 года. Не знаю зачем тратил на это время, абсолютно все обходится плагином Scylla Hide. И парочку трюков с гитхабов/блогов.
Убрал все лишние зависимости, все возможные вызовы апи заменил сискалами. Что дальше делать не знаю.
304 1394363
>>394299
>>394307
Спасибо
305 1394445
>>394315

>Думаю ты прав. Можешь посоветовать что в приоритете, на что в первую очередь стоит обратить внимание? Виртуализация?


Накидайте мануалов по виртуализации кода. Я написал простую VM и ассемблер нескольких инструкций для нее, но дальше не знаю, что делать. Хочу запилить йоба-криптор.
306 1394509
>>393989

>Но как вообще можно предотвратить дамп?


Рискну предположить, что нужно пидорасить хэдеры и код распаковщика/декриптора перез передачей управления защищаемой программе. Естессно, это можно зареверсить и дампнуть в момент, когда образ загружен, но хэдеры еще не пидорнуты. Тут в бой вступает антиотладка, обфускация и тд
307 1394539
может кто дать пару подсказок как лучше написать задачу?прога стирающая экран при появлении сочетания латинской буквы "r" после любой цифры
308 1394577
Как во встроенном ассемблере вижуал студии зарезервировать байты более коротким способом, чем __emit, и чтобы инструкции резервирования можно было размещать по нескольку штук на одной строке?

__declspec(naked) void Shellcode()
{
__asm
{
pushad
call DeltaOffset
DeltaOffset:
pop ebp
sub ebp, offset DeltaOffset
lea eax, [ebp + dllPath]
push eax
mov eax, 0xEEEEEEEE
call eax
popad
push 0xEEEEEEEE
retn

dllPath:
__emit('C')
__emit(':')
__emit('\\')
__emit('\\')

}
}
308 1394577
Как во встроенном ассемблере вижуал студии зарезервировать байты более коротким способом, чем __emit, и чтобы инструкции резервирования можно было размещать по нескольку штук на одной строке?

__declspec(naked) void Shellcode()
{
__asm
{
pushad
call DeltaOffset
DeltaOffset:
pop ebp
sub ebp, offset DeltaOffset
lea eax, [ebp + dllPath]
push eax
mov eax, 0xEEEEEEEE
call eax
popad
push 0xEEEEEEEE
retn

dllPath:
__emit('C')
__emit(':')
__emit('\\')
__emit('\\')

}
}
309 1394584
>>394577
Попробую сделать макрос #define b(byte) __asm __emit
Не знаю, будет ли работать вложенная инструкция __asm внутри другого блока __asm
310 1394602
Как обрабатывать ошибки при заражении файла? В своем инфекторе для удобства я создал структуру:

struct FileInfo
{
....HANDLE hFile;
....HANDLE hMapping;
....LPBYTE hView;
....DWORD dwFileSize;
};

Функция открытия файла возвращает эту структуру. Если hFile == INVALID_HANDLE_VALUE, бросать исключение или возвращать пустую структуру?
311 1394623
>>394602
Поделитесь своими вкусами и мнениями об исключениях в лоу-лвл коденке. Нужны ли они или лучше писать goto cleanup как писали деды?
312 1394653
>>394602

>заражении файла


Ты в нулевых застрял?

>бросать исключение или возвращать пустую структуру


Возвращать NULL.

>>394623
Как эти вещи вообще связаны? Исключения нужны, без них никак.

>>394577
Ты что делаешь вообще? Уверен что хочешь писать путь как C:\\ ? Я бы не стал.
15281432191660.mp423,4 Мб, mp4,
1280x720, 1:18
313 1394675
Я пока тут самый крутой
https://www.youtube.com/watch?v=tGFOvuOxwuU
Написал крутую прогу, которая сишнику даже не приснится.
314 1394681
>>394675
Подтерся твоей прогой и пошел спать, завтра продолжать строить реальные решения для бизнеса, чем заниматься ассемблированием своего очка.
Стикер512x512
315 1394692
>>394681

>реальные решения для бизнеса


>asm thread


Даа...
sage 316 1394696
>>394311

> В визуал студио по аналогии можно такое линкером наколдовать наверное


Сложно. Вероятно, нужно слинковаться с old-style импорт-либой или с либой, включающей в себя old-style импорт. Других идей у меня нет.

> TLS без использования CRT, такое возможно вообще?


Да, гугли магический символ __tls_used.

>>394315
>>394445
Никогда не писал протекторы, но как бы бери llvm ir, или бери capstone и дизассемблируй, превращай инструкции в инструкции своей вм, все в твоих руках. Алсо, погугли мануалы и сдк коммерческих протекторов. Например, как там вызовами функций протектора "размечается" защищаемая функция.

>>394509

> пидорасить хэдеры


Любые хедеры можно пересоздать с нуля. Например, распакованный регион адресного пространства сдампить одним куском и сделать одной секцией. Да и много ты не напортишь. Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.

>>394577

> во встроенном ассемблере


Нинужно, ниподдерживается, делай отдельный асм-файл.

>>394602

> ....HANDLE hFile;


> ....HANDLE hMapping;


Нинужно. Можно закрывать оба сразу же, как только создал вью.

> заражении файла


Репорт за малварь.

>>394623
Да, ничего плохого в goto в данном случае нет.

>>394653

> Исключения нужны, без них никак


Как это никак? setjmp лол.
sage 316 1394696
>>394311

> В визуал студио по аналогии можно такое линкером наколдовать наверное


Сложно. Вероятно, нужно слинковаться с old-style импорт-либой или с либой, включающей в себя old-style импорт. Других идей у меня нет.

> TLS без использования CRT, такое возможно вообще?


Да, гугли магический символ __tls_used.

>>394315
>>394445
Никогда не писал протекторы, но как бы бери llvm ir, или бери capstone и дизассемблируй, превращай инструкции в инструкции своей вм, все в твоих руках. Алсо, погугли мануалы и сдк коммерческих протекторов. Например, как там вызовами функций протектора "размечается" защищаемая функция.

>>394509

> пидорасить хэдеры


Любые хедеры можно пересоздать с нуля. Например, распакованный регион адресного пространства сдампить одним куском и сделать одной секцией. Да и много ты не напортишь. Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.

>>394577

> во встроенном ассемблере


Нинужно, ниподдерживается, делай отдельный асм-файл.

>>394602

> ....HANDLE hFile;


> ....HANDLE hMapping;


Нинужно. Можно закрывать оба сразу же, как только создал вью.

> заражении файла


Репорт за малварь.

>>394623
Да, ничего плохого в goto в данном случае нет.

>>394653

> Исключения нужны, без них никак


Как это никак? setjmp лол.
317 1394828
>>394696

>Любые хедеры можно пересоздать с нуля.


А если пидорасить ОЕР еще при упаковке и восстанавливать в TLS коллбэке и потом еще пидорасить CRT startup в отдельном треде после запуска?

>Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.


Так речь же идет об упаковщике, как я понял. Распаковщик берет на себя задачи системного лоадера же. Он же может и пидорасить что нибудь после того, как отработает, не?
318 1394830
>>394828
TLS коллбэки палятся антивирусами.
319 1394831
>>394830
Ну речь же о протекторе, в продакшне то софтина может и подписываться будет.
sage 320 1394847
>>394828

> Он же может и пидорасить что нибудь после того, как отработает, не?


Разве что импорты, но (в простом варианте) IAT все равно останется, и останется одним куском, любой дампер импорты восстановит. Экспорты окончательно ломать нельзя: другая длл сделает GetProcAddress(GetModuleHandle("твоя_dll_или_exe"), "func"), а экспорты распидорашены. Ресурсы ломать нельзя: ты сам делаешь DialogBoxParam, а ресурсы распидорашены. Это все решаемо, конечно.

> CRT startup


По-моему, Themida раньше так делала. Да и вообще, можно просто взять у нее чеклист: https://www.oreans.com/winlicense_features.php
321 1394889
>>394847
Можно хоть весь хэдер затереть, если он не будет использоваться, сохранять его в каком-нибудь месте и восстанавливать по-надобности.

>>394830
Что за бред? Секция TLS ни о чем не говорит, это стандартная фича винды, ею пользуются почти все продвинутые десктоп приложения.

Вообщем анон выше прав, трюки все эти хорошо, но если вместо кода будет мусор, на разбор которого уйдет месяцок другой, вот это будет действительно неприятно ковырять крэкеру.
image.png574 Кб, 477x630
322 1394956
Аноны, книга вышла пикрилейтед. Кто-нибудь знаком с творчеством сей авторов? Стоит брать, как считаете?
323 1394957
>>394681
Ой блять, реальное решение для бизнеса у него, у меня вот сейчас реально реальное решение для бизнеса. Высокоуровневые просто обосрутся от такой задачи, она простая но они обосрутся. А если не обосрутся, то всё будет дико тормозить.
Но мой пост был не о этом. А о том что ассемблер нужно !обуздать!. Ассемблер не хочет чтобы его изучали, он хочет работать.
324 1394982
>>394957
В результате моих действий, в конце-концов, пострадают плохие люди, плохие иженеры(и не иженеры вовсе). Которые сейчас потирают свои грязные ручёнки в ожидании большого(огромного) куша от моей конторы, но скоро им прийдёт сообщение: в ваших услугах не нуждаемся. Ниже я опишу что такое плохой инженер.
Плохой инженер не делает технику, не ремонтирует технику. Плохой инженер занижает цену на ремонт, потому что он, сука хитрая, просчитал что ему выгоднее из 10 аппаратов сделать 3 с очень лёгкой поломкой, а к остальным найти отмазку вроде Ремонту не подлежит.
СУКА, КАКЖЕ Я НЕНАВИЖУ ЭТИХ ПИДАРЮГ.
И сейчас эти пидары потюрают свои ручёнки, ага блять.. нашли спасательную ниточку в период кризиса, который они же и создали. Соснут хуйца, нехуй было меня злить.
325 1394991
>>394982
Ахаха, всегда знал что реверсачеры поехавшие.

>Плохой инженер занижает цену на ремонт


Но вот тут согласен.
image.png76 Кб, 666x227
326 1395332
Как это читать/понимать? Какие знания нужны, подскажите люди добрые
327 1395351
>>395332
Знание PE формата. Читай "Записки исследователя компьютерных вирусов" Криса
sage 328 1395402
>>395351

> Знание PE формата. Читай "Записки


Ты, видимо, не читал. Это .com.
329 1395421
Сап, байтоебач
Насколько актуальны книги Криса Касперского в 2к19?
330 1395440
>>395351
Спасибо аноныч
sage 331 1395445
>>395421
Найди что-нибудь посовременнее. Книги Криса - классика, но только потому что в те времена другого не было. Эти книги состоят из ошибок, петросянства и базовой информации, в которой автор сам поверхностно разобрался во время написания книги. Читать Криса стоит, надеяться что-то понять, читая только лишь Криса - глупо.
332 1395454
Аноны, а почему в треде нет движухи по поводу ARM и реверсинга мобильных приложух/мобильных малварей и встраиваемых систем с выходом в тырнет? Годная тема же.
sage 333 1395483
>>395454
В треде вообще движухи нет. Спрашивай свои ответы, обсудим.
334 1395494
>>395483
В общем, недавно понял, что я не люблю винду, а люблю линукс, плюс узрел ARM асм краем глаза и он мне понравился. Подумываю вкатиться в это дело как следует.
Хотел спросить знает ли кто-то какие-то хорошие источники почитать/посмотреть. На инглише или русском, желательно офк на инглише. Кроме Linux internals, это и ежу понятно.
В общем, знатоки мобайл секьюрити и имбэдэда, если таковые имеются, закидайте меня годнотой плиз.
335 1395530
>>395421
Устарели уже как лет 5 если не больше. Но все о чем он писал, знать необходимо.
336 1395588
Как пользоваться сэмплами на арм асме из книги Юричева? Чем компилить сорцы под виндой?
337 1395589
>>395494

>В общем, недавно понял, что я не люблю винду, а люблю линукс, плюс узрел ARM асм краем глаза и он мне понравился. Подумываю вкатиться в это дело как следует.


>Хотел спросить знает ли кто-то какие-то хорошие источники почитать/посмотреть. На инглише или русском, желательно офк на инглише. Кроме Linux internals, это и ежу понятно.


>В общем, знатоки мобайл секьюрити и имбэдэда, если таковые имеются, закидайте меня годнотой плиз.



Проблема арма в том что он наглухо проприетарно огорожен и в большинстве своих реализаций, из исключений разве что школомалина да микроконтроллеры на Cortex M. Кроме того арм очень многое не прощает в многопоточности что прокатывает на шинтеле по причине отсутсвия инвалидации кеша по умолчанию. SIMD там по прежнему с заебами "перед использованием включить те и те флаги и не забыть сохранить" аля MMX/3DNow.
338 1395590
>>395588

> Как пользоваться сэмплами на арм асме из книги Юричева? Чем компилить сорцы под виндой?



https://developer.arm.com/tools-and-software/open-source-software/developer-tools/gnu-toolchain/gnu-rm/downloads
sage 340 1395776
>>395589

> Проблема арма в том что он наглухо проприетарно огорожен


Это не более-менее решаемая проблема. Чаще всего можно нарыть мануалы, а то и целые сдк у китайцев. Часто производители SoC закупают IP у одного и того же разработчика (тот же Synopsys DesignWare например), и поэтому можно использовать чужие мануалы, ну и в крайнем случае, можно худо-бедно отреверсить интересующие вещи.
341 1396355
Поясните пж, как вычисляется псевдокодом иды глобальная переменная класса относительно GOT (Global Offset Table). Xrefs не видит, а в псевдокоде есть. В процесс включены операции со Stack Pointer'ом вида: LDR R12, [SP, #0x1A4+var_190]. Научите считать эту дичь.
sage 342 1396662
>>396355
Сколько-нибудь полный пример тащи.
343 1396674
>>396662
https://ideone.com/nGn0dH
Как-то так. Нужно еще что-то добавить?
sage 344 1396683
>>396674
Ну вот смотри. Вся адресация очень простая: в GOT при загрузке кладутся правильные (абсолютные) адреса всякой хуйни, ты знаешь офсет GOT относительно своего кода (при линковке впатчивается линкером), но ты не знаешь, куда именно загрузили твой код. И ты идешь с конца: читаешь из PC адрес кода, вычисляешь относительно этого адреса адрес GOT, читаешь из нужного элемента GOT абсолютный адрес данных, работаешь с этими данными по этому адресу.

По 004D9E14 вычисляется абсолютный адрес GOT: PC + офсет. Не забывай, что инструкции, читающие PC, получают не адрес текущей инструкции, а адрес текущей инструкции + 8, потому что конвейер, потому что ARM. Т.е., чтобы посчитать адрес GOT относительно PC, наш офсет должен быть равен $_GLOBAL_OFFSET_TABLE_ - (0x4D9E14 + 8), мы его берем из R8, а положили его туда по по 004D9E04 (сравни - офсет правильный). В результате после выполнения R8 = PC + R8, в R8 у тебя адрес GOT.

Дальше по 004D9E10 в R3 грузится смещение нужного элемента относительно начала GOT, в котором IDA облажалась (как обычно). Тыкни H по этому литералу, чтобы увидеть просто число, потом тыкни Ctrl+R по нему же (если ничего не произойдет - сходи в конец функции и поищи этот литерал там). В диалоге Reference information пересчитай адрес относительно GOT: type=32-bit full offset, base address = $_GLOBAL_OFFSET_TABLE_ (или адрес GOT числом напиши), галки снять, target address = 0xFFFFFFFF. После этого во втором операнде LDR ты должен заметить правильное имя переменной (имя_ptr). Если видишь что-то типа "dword_abcd - $_GLOBAL_OFFSET_TABLE_" или "off_abcd - $_GLOBAL_OFFSET_TABLE_ " - Enter по имени, и переименовываешь вот это говно_abcd в имя_ptr, т.е., чтобы оно выглядело как имя_ptr dcd имя.

Ну и дальше. По 004D9E28 R3 (офсет в GOT) сохраняется на стеке (компилятор - говно). Дальше по 004D9E7C он обратно читается в R12. Т.е., в R8 GOT, в R12 офсет внутрь GOT, значит по 004D9E90 в R10 из GOT (R8 + R12) читается адрес переменной. Ну а следующие две инструкции пишут по этому адресу и еще рядом. Ну и раз это называется screen size, то очевидно это структура из width и height, тыкаешь Enter на k_screenSize, Alt+Q, все дела.
sage 344 1396683
>>396674
Ну вот смотри. Вся адресация очень простая: в GOT при загрузке кладутся правильные (абсолютные) адреса всякой хуйни, ты знаешь офсет GOT относительно своего кода (при линковке впатчивается линкером), но ты не знаешь, куда именно загрузили твой код. И ты идешь с конца: читаешь из PC адрес кода, вычисляешь относительно этого адреса адрес GOT, читаешь из нужного элемента GOT абсолютный адрес данных, работаешь с этими данными по этому адресу.

По 004D9E14 вычисляется абсолютный адрес GOT: PC + офсет. Не забывай, что инструкции, читающие PC, получают не адрес текущей инструкции, а адрес текущей инструкции + 8, потому что конвейер, потому что ARM. Т.е., чтобы посчитать адрес GOT относительно PC, наш офсет должен быть равен $_GLOBAL_OFFSET_TABLE_ - (0x4D9E14 + 8), мы его берем из R8, а положили его туда по по 004D9E04 (сравни - офсет правильный). В результате после выполнения R8 = PC + R8, в R8 у тебя адрес GOT.

Дальше по 004D9E10 в R3 грузится смещение нужного элемента относительно начала GOT, в котором IDA облажалась (как обычно). Тыкни H по этому литералу, чтобы увидеть просто число, потом тыкни Ctrl+R по нему же (если ничего не произойдет - сходи в конец функции и поищи этот литерал там). В диалоге Reference information пересчитай адрес относительно GOT: type=32-bit full offset, base address = $_GLOBAL_OFFSET_TABLE_ (или адрес GOT числом напиши), галки снять, target address = 0xFFFFFFFF. После этого во втором операнде LDR ты должен заметить правильное имя переменной (имя_ptr). Если видишь что-то типа "dword_abcd - $_GLOBAL_OFFSET_TABLE_" или "off_abcd - $_GLOBAL_OFFSET_TABLE_ " - Enter по имени, и переименовываешь вот это говно_abcd в имя_ptr, т.е., чтобы оно выглядело как имя_ptr dcd имя.

Ну и дальше. По 004D9E28 R3 (офсет в GOT) сохраняется на стеке (компилятор - говно). Дальше по 004D9E7C он обратно читается в R12. Т.е., в R8 GOT, в R12 офсет внутрь GOT, значит по 004D9E90 в R10 из GOT (R8 + R12) читается адрес переменной. Ну а следующие две инструкции пишут по этому адресу и еще рядом. Ну и раз это называется screen size, то очевидно это структура из width и height, тыкаешь Enter на k_screenSize, Alt+Q, все дела.
345 1396787
Хочу написать свой дизассемблер по статье https://habr.com/ru/post/128042/ и интел мануалу. Посоветуйте простые реализации дизасма, чтобы можно было изучать теорию и смотреть, как дизассемблирование реализуется на практике. Я нашел крутые вещи типа VirXdasm (дизассемблер, который весит 333 байта), но там очень хардкорные алгосы.
346 1396790
>>396787
Крис Касперски тоже дает много теории, а практики у него нет. Он не показывает, как строятся таблицы, как происходит поиск в них и как обрабатываются составляющие части инструкции. Но излагает он более понятно.
347 1396795
>>396683
Черт, гениально. После настройки в Reference information пойнтер сам обозначился именем, гайд однозначно золотой. А про width и height мне известно. Спасибо за столь развернутый ответ, однозначно сохраню его.
sage 348 1396917
>>396787
Ну короч берешь Intel SDM, там в конце 2 тома таблицы есть. Ты их копипастишь, разбираешь условные обозначения, разбираешь формат инструкций (в начале 2 тома) - получаешь дизассемблер. На недовасме поищи "Заклинание кода".
349 1396946
>>396917
Я хочу научиться писать оптимизированные алгоритмы, а не те, которые писал Зомби при помощи огромного switch case http://www.rohitab.com/discuss/topic/36031-defs-lde/
350 1396948
>>396946

>Заклинание кода



"У буквы "заин" долгая и богатая история. Многие поколения магов пытались определить, в чем заключается ее сокровенный смысл. Некоторые утвеждали, что она несет врагам смерть и страдания от разящего клинка, иные указывали на ее форму и говорили, что этот разящий клинок применим далеко не всегда и не везде, а только в некоторых, хотя и весьма ответственных операциях. "

Хорошее начало дизассемблирования, лол
sage 351 1396976
>>396948

> Хорошее начало дизассемблирования, лол


Ну это ж аквила, чего ты хочешь.
352 1396982
>>396976
Нормально. Я прям чувствую его фанатизм. Не в пример двачерам.
353 1397277
>>396946
Краткий гайд.

1. Делаешь запрос в гугле а не на дваче
fastest disassembler library
2. git clone...
3. Копаешься в тысячах строк кода сколько тебе угодно
4. Понимаешь, что лучше ничего придумать нельзя, одному уж точно
5. Пользуешься готовыми решениями и не выебываешься.
sage 354 1397302
>>397277

> Пользуешься готовыми решениями


Капстоун нельзя назвать быстрым и тем более компактным решением. Медиана не поддерживается. Что-то другое подскажешь?

> лучше ничего придумать нельзя


Расскажи это авторам вирусов из 90х, у которых дизассемблер длин с таблицами занимал полкило.
355 1397377
>>396787
загляни в гит эмулятора https://github.com/Ryujinx/Ryujinx красиво и просто написан на шарпе. сделаны таблицы для опкодов и т.д.
356 1398224
>>378386

>Крис дважды по заданию шерифа участвовал в платных боевых операциях по задержанию бандитских группировок. В первой операции четверо ребят вместе с ним, не служивших в армии, брали банду из шести вооруженных человек. Крису пришлось первый раз в жизни, по необходимости, стрелять в человека. Все шестеро были задержаны.


Истории уровня /b какие-то..
Хотя я конечно могу и ошибаться.
357 1398265
>>397302
Вот этот например https://github.com/zyantific/zydis
358 1399038
Меня одного пугает Китай? Китайцы спокойно постят в своих блогах о том как пилят малварь, обходят разные продукты безопасности, буткиты, руткиты, анальные зонды. И их даже никто за это не бутылит! Информация размещена в свободном доступе, на всяких
новостных порталах аля наш XAKEP. Что за пиздец? У них такое законом не запрещено?
359 1399048
>>399038
разрабатывать малварь не запрещено законом, запрещено распространять с целью порчи/кражи данных.
360 1399083
>>399038
можно линки на блоги?
361 1399295
>>399038

>У них такое законом не запрещено?


Так они же буржуйские программы вскрывают. За вскрытие программы из КНР их будет ждать что похуже побольше, чем бутылка.
362 1399497
Сап,реверсач
есть сэмл app. any.run/tasks/d55 93b4d -1911- 4d4f-b60d-6eff182efd9b уберите пробелы
Накрыт KoiVM+confuser
Чем вскрывать и как?никаких идей
На tuts4you 1.5 упоминания и то вскользь
363 1399663
>>399497
dnspy, ded4dot, любой анпакер для кофусера с гитхаба.
В чем проблема-то? Ты дебагером пользоваться умеешь?
364 1399732
>>399663
де4дот вообще говно ебанное и виртуализацию не осилит
в днспае его нормально не выходит продебажить
365 1399793
>>399732
Если ты не можешь .net-помойку дебажить, то у меня для тебя плохие новости. Кроме того, зачем тебе девиртуализировать приложение? У тебя задача какая?
366 1399847
Чуваки, начал читать книгу Ирвина, в ней используют masm, а у меня линукс. Как быть, что посоветуете? Может выкрутиться как то можно, чтобы запустить masm на линуксе?

Книга нравится, кроме ассемблера рассказывает подробно про процессор. Поэтому другую читать нехочется. Остальные мне показались слабенькими. Может я не прав и есть крутые книги?
368 1399859
>>399853
Спасибо, но это виндовая утилита, а у меня линукс. Там сплошные батники и экзешники.
369 1399863
>>399793
вскрыть и получить исходники

>то у меня для тебя плохие новости


не злись,я совсем новичек:3
370 1399874
Реверсач, а нахой юзать бесплатную кастрированную айду, если есть гуй Каттер от радар2 с таким же функционалом, только бесплатный и поддерживающий очень много архитектур?
371 1399938
>>399874

>нахой юзать бесплатную кастрированную айду


Действительно, нахой? Есть же торрент.
Кстати, пароль от архива с 7.2 ещё не слили?

>с таким же функционалом


В голосину.
372 1399949
>>399847
Зачем тебе запускать masm на линуксе? Возьми fasm или nasm, почитай про различия в синтаксисе.

>>399938

> В голосину.


Присоединяюсь.
373 1399963
>>399949

>Зачем тебе запускать masm на линуксе?


Хрен его знает. В книге винда и masm.
374 1399964
>>399949

>fasm или nasm


Что предпочтительней?
375 1399980
>>399964
fasm мощнее, nasm больше подходит для линукса, поддерживает привычную отладочную информацию без костылей.
376 1399986
>>399980
спасибо
377 1400090
>>399793
>>399863
хотя даже исходники не нужны,нужно найти порядка 5 разных стрингов и заменить их значения на свои нужные
в любом случае надо как-то снять этот KoiVM
378 1400505
Пытаюсь вкатиться в ROP. Как можно автоматизировать поиск гаджетов?
379 1400589
>>400505
https://github.com/JonathanSalwan/ROPgadget
А вообще под любой дебагер есть плагины для ROP.
380 1400592
Вечер в хату!
Прохожу тут курсик по radare2 (да, я вижу по шапке, что он тут не в почёте, но мой вопрос не совсем по нему) - https://github.com/s4n7h0/Practical-Reverse-Engineering-using-Radare2
Там всё на элементарном уровне освоения команд, но вот с пятой лабой янихуянепонел. Задание "найти шелкод и понять что он делает". Ну символ obj.shellcode я вижу. Опкоды по нему парсятся в какое-то говно непонятное - https://pastebin.com/cZxZtJUt
ЧЯДНТ?
381 1400603
>>400592

>.string "^1\xc9\xb1'"



5E pop si
31C9 xor cx,cx
B1XX mov cl,XX
382 1400627
>>400603
Спасибо!
сссука всё-таки дело в радаре оказалось...
"e bin.strings=false" сделал, конечно строковые константы при этом отвалились. Как реинтерпретировать конкретные байты так и не ясно.
383 1400758
>>400589
Мне на С/C++ либа нужна. Есть годные?
sage 384 1400829
>>400627
Берешь иду, видишь свою "строку", выбираешь ее мышью или стрелками, нажимаешь на клавиатуре C, профит. Берешь r2, нажимаешь кучу кнопочек, чтобы попасть в visual mode, куда-то все же попадаешь, теряешься в набегающих домиках и гей-параде из разноцветного ASCII-арта и цифр, но героически нажимаешь D C, тоже профит (или нет?).
385 1400852
>>400829
Да, действительно. Хотя ни в одном cheat-sheet или quick start это не упоминалось, да и не трогал я этот visual mode.
За пол дня конечно хер столько команд и опций запомнить.
386 1402447
В Си треде не отвечают. Продублирую сюда.

Аноны, пишу драйвер, использую стороннюю либу при инициализации, далее ею не пользуюсь, а весит она знатно, аж целый метр. В обычном приложении подгружаю длл по-надобности, потом выгружаю. В ядре как эти дела делаются? Неужели придется отдельный драйвер пилить, его дергать и потом выгружать?
387 1402464
>>394956
Матросов годно шарит, он Intel BootGuard сломал пару лет назад. За остальных не скажу.
388 1402465
>>394956
Где можно купить?
389 1402491
>>402465
На амазоне, например. Или https://dropmefiles.com/zjhT3
390 1402591
>>402491
Чаю. украл забрал
391 1402896
>>402491
Спасидо.
392 1402912
>>402896
Эсдек плз.
393 1403341
Аноны, приветствую.
Хочу научиться писать скрипты в айде для автоматизации статического анализа, слышал годная тема, особенно, если прога обфусцирована или же просто слишком грузная для ручной суходрочки.
Посоветуете что почитать или посмотреть. До этого писал скрипты только на баше, но всё же более или менее базовые.
sage 394 1403457
>>403341

> что почитать


1) Любую книгу по питону.
2) idaapi.py/idc.py/idautils.py
3) Исходники проектов типа flare.
Это просто чтобы научиться писать скрипты хоть как-нибудь. Плюс теория. По теории не подскажу.
395 1403497
Сап, Антош. Хочу инжектить свою DLL во все виндовые процессы уровня пользователя в т.ч. svchost на постоянной основе на этапе их создания. Предусловия - полный физический и административный доступ к машине. ОС - шиндошс 10 х64. Я попробовал appinit_dlls, но оно работает только для того, что грузит user32.dll (очевидно). Как я понял, SSDT и вообще все фишки связанные с ядром соснулей, ибо требуют включения testsign для дров. Вроде есть варианты через колбэки и APC - это то, что мне надо? Где почитать?
396 1403502
>>399847
Gas + .intel_syntax noprefix вполне. Впрочем, на вкус и цвет - мне AT&T кажется логичней.
sage 397 1403538
>>403502

> AT&T кажется логичней


А тебе не кажется нелогичным, что под все остальные архитектуры, кроме интел, у gas сразу же, по умолчанию нормальный порядок операндов?
398 1403608
>>403497
Судя по твоему набору слов, ты понятия не имеешь что делаешь. Учи архитектуру ОС. Где ты вообще этот баянистый способ реализации руткита вычитал? Ему больше 20 лет.
399 1403700
>>403608

> Судя по твоему набору слов, ты понятия не имеешь что делаешь.


Как минимум общее представление имею, просто с конкретно такой задачей впервые столкнулся.

> Учи архитектуру ОС.


Пустые понты кидать не хочу, поэтому скажу, что в целом в курсе, могу не знать каких-то тонких деталей, необходимых для данного случая.

> Где ты вообще этот баянистый способ реализации руткита вычитал? Ему больше 20 лет.


Который именно? В интернете, само собой. Если кинешь ссылку на что-то более актуальное - буду благодарен.
400 1403748
Как ОС работает с dll/so в винде/линуксе при загрузке в процесс в случае системных либ типа kernel32.dll и пользовательских типа libmylib.so? Она создает копию либы в виртуальном пространстве процесса или создает отдельный процесс под эту либу (какой нибудь dllhost.exe/svchost.exe) и пользовательские процессы просто напрямую смотрят туда? Если два процесса импортируют одну и ту же либу, если один процесс в ней сделает детур на свой код, то повлияет ли это на второй процесс?
401 1403765
>>403748

> Как ОС работает с dll/so в винде/линуксе при загрузке в процесс в случае системных либ типа kernel32.dll и пользовательских типа libmylib.so? Она создает копию либы в виртуальном пространстве процесса или создает отдельный процесс под эту либу (какой нибудь dllhost.exe/svchost.exe) и пользовательские процессы просто напрямую смотрят туда?


Первое, только не копию, а отображение с коровой (COW). Это если очень по-простому. В линуксе нет "системных" либ, в винде это только ntdll.dll (kernel32.dll нужна только Win32 процессам).

> Если два процесса импортируют одну и ту же либу, если один процесс в ней сделает детур на свой код, то повлияет ли это на второй процесс?


Опять же COW, иначе каждый мамкин хакер загружал бы в память OpenSSL и отключал бы шифрование во всей системе.
402 1403771
>>403765
Прочитал про copy on write. А если у либы есть состояние и она сама в себя пишет при вызове определенной функции, чтобы его изменить. Что произойдет, если процесс А вызовет эту функцию? Изменение состояния либы будет заметно в процессе Б, использующем эту же либу? И еще, если ОС копирует в VM процесса либу во время первой записи, то эта либа как то хостится ОСью? Для этого есть какие нибудь системные процессы, или это где то в кишках ОС зарыто и из пользовательского пространства до туда не добраться?
403 1403784
>>403771
С линуксами вроде понял. При загрузке процесса делается мемори мап на исполняемую и readonly секции shared object'а с дальнейшим копированием в VM space процесса при записи благодаря CoW, а writable-секции так и вовсе при запуске копируются в адресное пространство запускаемого процесса если верить гуру с stackoverflow. А что с видновсами? Я в эльфе не шарю, но вот в РЕ знаю, что file alignment и virtual alignment могут быть (и КМК, почти всегда) разные, там так просто файл не замапишь. Что в винде то происходит?
404 1403832
>>403784

> Что в винде то происходит?


Да плюс на минус то же самое, с другими названиями и реализациями. В теории и архитектуре ОСей последние лет так 30 если не 50 никаких существенных изменений не происходило, и старый добрый Таненбаум до сих пор прекрасно все описывает. Совершенствуются конкретные механизмы, да - за ними тебе к Руссиновичу и в исходники ReactOS.
image.png7 Кб, 365x147
405 1403916
сап,реверсач
что за протектор для дотнета?NB2.Properties(особо в них не шарю,извините)
в гугле пусто
406 1403928
Как в айде темную тему поставить?(
407 1404002
>>403765

> в винде это только ntdll.dll (kernel32.dll нужна только Win32 процессам).


Кстати ntdll.dll не грузится в пико процессы.
408 1404241
>>403700
Гугли cплайсинг.

>>403748
У тебя задача какая? Ты хочешь узнать можно ли похукать все глобально? Можно, но без танцев с бубнами не обойтись.

>>403765

>только ntdll.dll


Если процесс wow64, то еще 4 либы сверху, насколько я помню.

>>403928
IDA Skins гугли.

>>403916
Выглядит как обычный конфусер. Гугли de4dot.
409 1404251
>>404241
вроде какой-то кастомный конфузер,после де4дот во всяком случае херня выходит
410 1404255
>>404251
А ты думал тебе чистенький сурс вытащат? Нет таких инструментов. Вообще пиздуйте в C# тред со своими кофусерами, заебали срать здесь высокоуровневой парашей.
411 1404267
>>402447
Бамп вопросу. Или просто забить на этот 1 мб? У юзверя ведь много ресурсов.
412 1404292
>>404255

>пиздуйте в C# тред


там вообще не шарят
413 1404299
>>404292
Ну тогда в PHP-тред, там даже кнопку ответа не найдут.
414 1405062
Объясните, пожалуйста, начнающему ассемблерщику мне. Я не понимаю. В Long mode (x86-64) опреранды могут задаваться их линейными адресами (в качестве immediate-аргументов в командах). Но ведь при загрузке требуемые данных (которые мы хотим адресовать) могут быть размещены достаточно произвольно - страница с данными может быть в разных местах памяти. И адрес данных будет меняться от загрузки к загрузке. А значение immediate-аргумента не изменяется. Как же инструкция доберётся до нужных данных? Видимо, я что-то упускаю. Извините, за корявую формулировку.
415 1405083
>>405062
Не совсем понял, о чем ты конкретно. Нарисовал бы пример что ли.

> страница с данными может быть в разных местах памяти


Таблица страниц.

> адрес данных будет меняться от загрузки к загрузке


Вместе с адресом кода. RIP-relative адресация, редко (гораздо реже, чем в 32-битном режиме) таблица поправок.
416 1405146
Говорят, современные компиляторы АСМов сосут, это правда?
417 1405152
>>405083
Ну вот например.

data: dd 123456789h
...
mov rax , [data]

Место данных data в памяти определяется во время загрузки, а immediate-аргумент команды mov ([data] - некоторый адрес) фиксирован (при трансляции, видимо).
418 1405174
>>405146
БАМП.

Оптимизация у АСМов сосёт, да?
Понятно.
419 1405177
>>405174
Какая оптимизация? Ты уверен, что хорошо понимаешь, как действуеет ассемблер, и для чего он применяется?
420 1405179
>>405146
Сосут по сравнению с чем? И что в них такого нового появилось за последние 30 лет?

>>405152
Ну вот, оно сассемблируется с ошибками, потому что ты кладешь дворд в rax, а еще потому что 123456789h не влезает в dd с вычислением адреса относительно адреса следующей инструкции, т.е. будет:
mov rax,[rip+(data-next_instruction)]
next_instruction:
...
data dq 123456789h
Вот если бы у тебя положение секции данных менялось относительно кода, то при загрузке пришлось бы патчить адреса.

>>405177
У асмов есть оптимизация. Например, можно воткнуть длинный jmp, а можно короткий. Это работает. Остальную оптимизацию делает приставка к клавиатуре.
421 1405180
>>405177
Ну говорят, что компиляторы С/С++ сейчас оптимизированы гораздо лучше АСМовских.
422 1405181
>>405179
А есть какой-нибудь кроссплатформенный ассемблер и бесплатный, но чтобы быстро было?
423 1405182
>>405180
Говорят, что кур доят. Автоматическая векторизация по-прежнему сосет. Алиасинг в си/си++ по-прежнему создает проблемы. Приставка к клавиатуре по-прежнему рулит. Только она медленная и дорогая, поэтому ей пользуются относительно редко.

>>405181
nasm/fasm/gas, похуй.
424 1405200
>>405182
А есть какой-нибудь кроссплатформенный машинный код?
Или кроссплатформенность начинается только с АСМа?
425 1405205
>>405179

>относительно адреса следующей инструкции


То есть абсолютных адресов в immediate-аргументах не бывает?

>Вот если бы у тебя положение секции данных менялось относительно кода


А что если они загружаются (или даже транслируются) по отдельности? Что, вообще с раздельной сборкой?

>патчить адреса


Как это делается?
426 1405209
>>405179
Кстати адресация в immediate-аргументах в виде (сегментный регистр + immediate-смещение) имеет смысл в Long mode?
427 1405232
>>405200

>кроссплатформенный машинный код


Сухая вода? Выбери одно или машинно-специфичный язык (машинный код) или код не зависящий от платформы ('машины').
428 1405248
>>405205

> То есть абсолютных адресов в immediate-аргументах не бывает?


Ну хватит уже это immediate называть. immediate - это значение, которое ты непосредственно используешь для чего-то, константа, число (в mov eax,1 единица - просто число), поэтому оно immediate и называется. А ты говоришь про офсеты.

Бывают абсолютные адреса. Эффективная адресация осталась, ты можешь не использовать в ней scale/index/base, оставив только 32-битное смещение, тем самым получив абсолютный адрес в пределах первых 4 гб. Алсо, есть mov rax с 64-битным офсетом (да, только для rax).

> А что если они загружаются (или даже транслируются) по отдельности?


Линкер, когда занимается связаванием (link) символов, как раз патчит все ссылки на символ так, как будет в памяти.

> Как это делается?


Ну формируется список адресов (у линкера или если мы про рантайм - то в исполняемый файл кладется) и типов поправок (ну где относительный адрес, где абсолютный, где только кусок какой-нибудь, там дохуя вариантов, особенно для некоторых особо хитровыебанных процессоров). Ну и код (линкер или загрузчик) идет по списку и что-то делает в зависимости от типа. Например, в 32-битном коде для mov eax,[data] линкер положит в инструкцию правильный адрес data, а если у нас дллка виндовая, которая загружена не по своему предпочтительному адресу, то загрузчик прибавит к адресу data внутри инструкции разницу между предпочтительным адресом загрузки дллки и фактическим. Ну это самые простые примеры.

>>405209

> сегментный регистр +


Для fs/gs сохранилась более-менее, для остальных сегментных регистров база из дескриптора не учитывается и считается равной нулю.

>>405232
Считать ли x86-код кроссплатформенным, если его раньше всякие трансметы микрокодом выполняли?
429 1405250
>>405248

> есть mov rax с 64-битным офсетом (да, только для rax)


В смысле, для al/ax/eax/rax, и, конечно же, не только в регистр, но и обратно, из регистра в память.
430 1405255
>>404267
И ведь никто не помог! Решение: поместить либу в отдельную секцию и пометить ее как сбрасываемую. После инициализации драйвера, загрузчик винды сам её выгрузит.
431 1405263
>>405248

>Ну хватит уже это immediate называть.


Извините ещё раз за корявость формулировок. Ты прав. Это называется "смещение в команде".

>Линкер, когда занимается связаванием (link) символов, как раз патчит все ссылки на символ так, как будет в памяти.


А если без линкера? Что в случае сборки в бинарный файл?

>Считать ли x86-код кроссплатформенным, если его раньше всякие трансметы микрокодом выполняли?


Думаю, сейчас нет. Машинные инструкции и сейчас в микрокод транслируется процессором. Но ведь программисту микрокоды недоступны. И машинный язык однозначно определён архитектурой ЦП. Нет тут кросплатформенности (в нынешних x86 процессорах).
432 1405271
>>405263

> А если без линкера? Что в случае сборки в бинарный файл?


Не понял вопроса. Если у тебя ассемблер, нет секций и бинарник на выходе (допустим, fasm и format binary), то ассемблер все равно делает то же самое, что и линкер внутри себя, когда назначает адреса меткам и впатчивает эти адреса в инструкции.

> Но ведь программисту микрокоды недоступны


Это пока процессор не твой собственный. Берешь, значит, много-много баксов и подходящую по размеру FPGA... Хотя вообще-то я пошутил.

> И машинный язык однозначно определён архитектурой ЦП


Набор команд в x86 уже давно имеет мало отношения к архитектуре, это просто абстрактная хрень, которая живет лишь из-за необходимости поддерживать совместимость.
433 1405294
>>405232

>Сухая вода?


https://ru.wikipedia.org/wiki/Novec_1230

Я всё понимаю, но разве нельзя сделать такую штуку, которая будет некоторые кроссплатформенные команды перефигачивать под конкретное железо и ОС?

Полно их.
Только тут разница в низкоуровневом программировании, ниже, чем у АСМа.
434 1405295
Buf1 db 11
Len1 db ?
Opnd1 db 12 dup( ? )
Buf2 db 11
Len2 db ?
Opnd2 db 12 dup( ? )
Res db 12 dup(' '),'$'

codeseg
startupcode
push DS
pop ES
BEGIN:
;Ввод первого слагаемого
B1:
lea DX, Buf1
mov AH, 0Ah
int 21h
cmp Len1, 0
je B1

Помохите пожалуйста.
Переписываю потихонечку чужой код и не могу понять для чего тут Len1. Точнее я знаю, он туда засунет в последствии кол-во символов в строке.
Но что означает это?
cmp Len1, 0
je B1

Зачем сравнивать Len1 с нулём, и в случае равенства или нуля переходить обратно на начало?
Что это за колдунство?
В лен1 же нихуя нет.
Зачем он сравнивает?
434 1405295
Buf1 db 11
Len1 db ?
Opnd1 db 12 dup( ? )
Buf2 db 11
Len2 db ?
Opnd2 db 12 dup( ? )
Res db 12 dup(' '),'$'

codeseg
startupcode
push DS
pop ES
BEGIN:
;Ввод первого слагаемого
B1:
lea DX, Buf1
mov AH, 0Ah
int 21h
cmp Len1, 0
je B1

Помохите пожалуйста.
Переписываю потихонечку чужой код и не могу понять для чего тут Len1. Точнее я знаю, он туда засунет в последствии кол-во символов в строке.
Но что означает это?
cmp Len1, 0
je B1

Зачем сравнивать Len1 с нулём, и в случае равенства или нуля переходить обратно на начало?
Что это за колдунство?
В лен1 же нихуя нет.
Зачем он сравнивает?
435 1405296
>>405263
>>405271
А сейчас на микрокоде писать нельзя проги?

А как обстоит дело и машинными кодами на Видеокартах?
И есть ли под них свой АСМ?
436 1405300
Как сделать сайт на машинных кодах?
437 1405302
>>405300
Без задней мысли, просто берешь и делаешь.
438 1405303
>>405302
Так покажи примерчик хоть.
439 1405304
>>405295

> Зачем он сравнивает?


Ну видимо чтобы запросить ввод повторно, если юзер просто нажал Enter.

>>405296

> А сейчас на микрокоде писать нельзя проги?


У интела микрокод не документирован, обновления зашифрованы. Максимум, что есть - это статьи про какой-то очень древний AMD, у которого микрокод еще шел без шифрования.

>>405302

> Так покажи примерчик хоть.


mov ah,09h
imov dx,_text
int 21h
int 20h
_text db 'Content-Type: text/plain',13,10,13,10,'Hello, world!$'
441 1405306
А что на видеокарты до сих пор не завезли кроссплатформенный Ассемблер?

У Нвидиа свои языки, у АМД свои.
Модели видях ещё новые нужны для новых языков.
Херня какая-то.
442 1405308
>>405305
это ассемблер, а не машкод.
И это сервер, а не сайт.
443 1405309
>>405308

> не машкод


Ну скомпилируй, будет машкод.

> не сайт


Ну вот тебе сайт https://board.asm32.info/
445 1405312
>>405304

> Ну видимо чтобы запросить ввод повторно, если юзер просто нажал Enter.


Пасиба. Понял. А если буковку ввести? Он сожрёт и пропустит дальше по коду?
446 1405324
>>405312
А если буковку ввести, то во втором байте буфера, т.е., в Len1 уже не будет 0 (а будет 1, например), сравнение не выставит ZF, je не сработает.
447 1405332
>>405310
ты глупый?
448 1405335
>>405309
Речь идёт о программировании на машкоде, а не о перегоне в него из других языков, улавливаешь?

Так что твой АСМовский сервак ничем не особо не отличается от сервака на Раби. Только побыстрее работает в десятки раз и всё.
449 1405342
БАМП!
Для GPU ASM какой есть универсальный?
2.png1,3 Мб, 1920x1036
450 1405350
Бля, не вижу смысла учить ASM из-за такой хуеты с GPU.

Лучше тогда C/C++ взять, а GPU хуярить на универсальном OpenCL.
451 1405366
>>405146
Современные писатели на АСМ сосут, это правда.
sage 452 1405423
>>405335
Нет, не улавливаю. Хочешь - бери таблицу опкодов и пиши, только кроме кучи дополнительной ебли это ничем не будет отличаться от использования ассемблера. Никаких дополнительных преимуществ, ничего такого, что нельзя с точностью до бита воспроизвести из ассемблера.

>>405350

> не вижу смысла учить ASM


Не учи, разрешаю.
453 1405429
Господа, нас пытаются тралливалить.
454 1405435
>>405294
Стандартная библиотека называется. Ты из какого века вылез-то? У асма никогда не было кроссплатформенности.
455 1405438
>>405429
Да это не троллинг. Сюда действительно иногда дебилы первокурсники из C/C++ тредов закатываются и начинают тупить. Тут только ОП-хуй который с сагой пишет всегда адекватный.
456 1405450
>>405423
Тогда почему сразу С/С++ не взять?
Ебли же меньше, а скорость работы сложных программ уже выше, потому что не будешь вручную оптимизировать каждую строчку на АСМе.
457 1405451
>>405435
я читал статьи про кроссасмы всякие.
458 1405465
>>405451
Ты кроссассемблирование/кросскомпилляцию с кросплатформенностью (языка машинного) не путаешь?
sage 459 1405472
>>405450

> Тогда почему сразу С/С++ не взять?


Я для тебя специально пояснил: между машинным кодом и ассемблером разница - только ебля. Между ассемблером и более высокоуровенвым языком разница в огромном количестве возможностей и полным контролем над кодом. Ну почти. В ассемблерах обычно ты не можешь выбирать из разных вариантов кодирования одной и той же инструкции, но ты всегда можешь написать под это макрос, если это почему-то важно.

> скорость работы сложных программ уже выше


Зависит только от тебя. Не от компилятора, а от тебя. И нет, причина использования высокоуровневых языков - скорость разработки, а не работы. Модификация оптимизированного ассемблерного кода может закончиться переписыванием с нуля.

> почему сразу С/С++ не взять?


Если ты не пишешь какую-нибудь жестокую математику для SIMD, хитровыебанный JIT, низкоуровневые процедуры для своей ОС типа сохранения/восстановления контектста или обработчика прерывания который все равно выполняет только самую грязную работу, а потом вызывает код на Си - без вариантов стоит брать нормальный высокоуровневый язык, а ассемблер использовать там, где он действительно необходим.

>>405438

> ОП-хуй который с сагой


Я не оп.
460 1405477
Хочу заняться фазингом. Сейчас у каждой второй десктоп приложухи драйвер под копотом, никто писать их толком не умеет, багоров куча. Подводные?
461 1405481
>>405304

>У интела микрокод не документирован, обновления зашифрованы


Зашифрованы чем, универсальным интеловским ключом? Почему тогда до сих пор никто не вытащил из кремния этот ключ электронным микроскопом и не выложил в паблик? Я не верю, что там в каждом камне физическая защита уровня смарткарт на всем УУ.
sage 462 1405485
>>405481

> Зашифрованы чем, универсальным интеловским ключом


Да, там предполагался 2048-битный RSA. И там несколько блоков под разные семейства с разными ключами:
https://www.dcddcc.com/docs/2014_paper_microcode.pdf
https://www.emsec.ruhr-uni-bochum.de/media/emma/veroeffentlichungen/2017/08/16/usenix17-microcode.pdf

> не вытащил из кремния этот ключ электронным микроскопом и не выложил в паблик


Размер кристалла, техпроцесс. Это тебе не R3051 реверсить.
463 1405491
>>405485
Ну у того же AMD есть такие возможности точно. Могли бы отреверсить и выложить, чтобы мимокрокодилы там регулярно находили всякие непотребства и опускали Intel. Гораздо дешевле, чем вкладываться в рекламу и всякое такое.
464 1405659
Куда делся тред про машинный кодинг?
465 1405663
>>405472
Я так нихуя и не понял.
АСМ зачем нужен, если скорость почти та, что на С, но писать дольше и сложнее?

Если сравнить Питоноговно с этими языками, так он в десятки раз медленней работает, тут всё предельно ясно.

Но вот с выбором АСМ вместо С или плюсов не ясно.
466 1405664
>>405465
нет.
467 1405668
>>405182

>nasm/fasm/gas


Какой самый быстрый и самый кроссплатформенный?
468 1405743
>>405663
На АСМе пишут куски кода в системах реального времени и ОС, в кодах вирусов, в софте встроенных систем. На чистом АСМе уже давно не программируют, уже как лет 40 точно.
Уметь читать чистый АСМ нужно реверсерам. Статический анализ = чтение чистого ассемблерного листинга с целью восстановить исходный алгоритм функции/блока кода/всей программы, нужное подчеркнуть. Для чего? Чтобы написать похожую программу, написать кряк для нее, найти дыру в безопасности для тех или иных целей и т.п. Нужное подчеркнуть, как говорится.
469 1405750
Можете обьяснить BCD-числа и их умножение.

Такая ебанина пиздец. Мама я у них поел просто.

Точнее алгоритм перевода в неупакованный bcd у меня есть, вот он. https://pastebin.com/t4Kgs8hY
Но алгоритм не мой, я черт его знает что там происходит.
И умножение я хуй знает как сделать. Умножение через мул как то ниполучаицца.
Там сначала результат залетает в АХ, потом надо аам делать ради (исправления чего-то?), и результаты раскидываются по двум регистрам.
Теперь сразу два регистра выводить?
Йа тупой, арррр.
470 1405820
>>405663
Он нужен для выполнения специфических задач, где нужен прямой доступ к регистрам, например. Короче с асмом дела обстоят, как в том самом анекдоте: Ньюфаги не знают, олдфаги не помнят.
471 1405845
>>405743
Ну и поэтому компиляторы АСМа сосут в оптимизацию.
Потому что 40 лет назад он всё.
472 1405846
>>405659
БАМП!
11760587.jpg160 Кб, 640x468
473 1405851
Народ, на каком АСМе можно написать программу, которая будет работать на 32 и 64 архитектуре, Intel, AMD, ARM, а также Винде, Линуксе, Маке и желательно Андроид с Айфоном?
petrosyan2.jpg20 Кб, 512x384
474 1405860
>>405845

>компиляторы АСМа сосут в оптимизацию

sage 476 1405867
>>405861
Он, конечно, троллит, но здравое зерно в этом есть. https://www.slideshare.net/ShaneWilton/one-shellcode-to-rule-them-all Подобные вещи сделать можно, но вот сделать именно программу будут мешать отличия файловых форматов.
477 1405871
>>405867
А что код на Ассемблере сильно ОС-зависимый?
478 1405872
>>405743

> в кодах вирусов


Размечтался. Сейчас вирусы пишут на Node.js и тянут за собой хром с драйвером контроллера xBox.
479 1405879
>>405871
Ну, если он работает в реальном режиме и загружается с дискеты - нет. А иначе дергать ось тебе таки придется.
480 1405881
>>405879
А что компилятор не может на себя взять работу с АПИ, чтобы можно было сразу для любой оси писать?
481 1405883
>>405881
А компиляторов-то и нет. Можешь хоть в хекс-редакторе писать на асме, хотя это и несколько сложновато. Ну, com уж точно можно.
482 1405886
>>405883
Так универсального ОС АПИ для ассма нет?
483 1405887
>>405886
Нет. Ну, накостылить-то можно, а смысл?
484 1405890
>>405887
А в Си есть?
sage 485 1405892
>>405886
А универсального апи вообще нет. Оно либо не универсальное, либо ограниченное и не позволяет пользоваться всеми возможностями ОС.
486 1405894
>>405890
Аналогично. Стандартная библиотека не покрывает всего. Хотя странновато, что потоки в нее включили, а получение листинга директории - нет.
487 1405895
Перестаньте кормить этого тролля.
488 1405897
>>405895
тебе оставить?
ололо котик.jpeg71 Кб, 700x488
489 1405903
Какой АСМ выбрать и как вкатиться побыстряку за пару дней?

Не смог найти книги "АСМ для чяйников", она есть?

Легко ли будет вкатиться после Пайтона?
490 1405910
>>405903
AVR. Желательно 8535.
Методички ЮУрГУ.
С питона слезать будет больно.
Не, ну а хуле?
изображение.png86 Кб, 748x814
491 1405913
>>405903

>Не смог найти книги "АСМ для чяйников", она есть?

492 1405916
>>405910
серьёзно давай, ты тупая?
изображение.png46 Кб, 1366x728
493 1405922
>>405916
Это ты тупая. Вот он, ассемблер. Деньги можно зарабатывать.
494 1405940
>>405438

>Тут только ОП-хуй


Куда вы столько пишите? Завтра придётся перекатывать
Настоящий ОП-хуй
495 1405941
>>405922
Что за допотопный шлак?
изображение.png569 Кб, 430x615
496 1405947
>>405940
У нас тут
sage 497 1405958
>>405750
А в чем вопрос-то? У тебя есть два числа, состоящие из BCD-цифр. Берешь и умножаешь цифры в столбик, как в школе. Самый простой метод.

> я черт его знает что там происходит


Ну берутся цифры одну за другой из ввода, приводится ASCII-код к 0..9 (используя тот факт, что '0'...'9' - это 0x30...0x39, поэтому можно просто взять младшие 4 бита), потом это все зачем-то двигается (хотя удобнее и логичнее хранить числа в little-endian, начиная с младшего разряда).

> аам делать ради (исправления чего-то?)


Ну потому что 09h умножить на 02h = 12h не будет валидным неупакованным BCD. И надо отнять и поделить получить две правильные цифры. Можешь это сделать медленнее вручную, через деление на 10, но это займет несколько инструкций, а тебе дали одну удобную, которая сама сделает из 12h = 18 = (18 / 10, 18 % 10) = (ah = 01h, al = 08h).
498 1405963
Асмач, что за йоба-функции по типу: _enable(), _disable(), _writecr(), _mm_... итп? Очень часто их вижу в хэдерах, но не понимаю что они делают и для чего вообще нужны? Да, визуал студио.
499 1405970
>>405958

> Берешь и умножаешь цифры в столбик, как в школе. Самый простой метод.


Но не самый эффективный. habr.com/post/451860/
>>405963

>_writecr


Записывает регистр CR

P.S. Как избавится от уебанской гугкапчи? В настройках поставил 2капчу, не работает. Абу пидарас
500 1405978
>>405970
Так для чего в целом эти команды нужны? Какой спектр задач решать? Там хэдеры сотнями таких команд засраны.
501 1405979
>>405958
А выводить как два регистра сразу?
502 1405982
>>405978
Компутером управлять.
503 1405989
>>405979
Ну например:
or ax,3030h
mov [output+0],ah
mov [output+1],al
mov dx,mesg
mov ah,09h
int 21h

...
mesg db 'Result is '
output db 'XX'
mesg2 db '.', 13, 10, '$'

Или:
or ax,3030h
push ax
mov dl,ah
mov ah,02h
int 21h
pop ax
mov dl,al
mov ah,02h
int 21h
504 1405993
>>405989
Спасибо тебе, мил человек.
Дай бог тебе здоровья.
505 1406027
>>405989
это на каком асме?
506 1406030
>>405922
Atmel Studio (ранее AVR Studio) — основанная на Visual Studio бесплатная проприетарная интегрированная среда разработки (IDE) для разработки приложений для 8- и 32-битных микроконтроллеров семейства AVR и 32-битных микроконтроллеров семейства ARM от компании Atmel, работающая в операционных системах Windows NT/2000/XP/Vista/7/8/10.

Чо за лажа?
507 1406214
; ПЕРЕКАТ
jmp >>1406213 (OP)
jmp >>1406213 (OP)
jmp >>1406213 (OP)
jmp >>1406213 (OP)
; END ПЕРЕКАТ
508 1406217
>>405872
Скажи это руткитам, которые орудуют на уровне гипервизора и ниже, лол
Стикер512x512
509 1406257
>>406217

> на уровне гипервизора


> и ниже



А если серьезно, то такие только на бумаге в теории есть. В реале запилить рабочий прототип практически невозможно, разве что в лабораторных условиях и то будет работать все через раз.
510 1406505
>>406257
Ты серьезно думаешь, что такие руткиты выкладывают в паблик? Почитай слитые каталоги АНБ, охуеешь, какие вещи успешно реализуют.
511 1406532
>>406505
Хуйню там слили у анб, никакими гипервизорами, фирмваре даже и не пахнет, сам модуль у них тоже тухлый. В паблике как раз есть вещи по-круче, особенно у китайцев.
512 1406913
Сап, аноны
Расскажите нубу кто шарит
Есть ли какая-то сила за разработкой драйверов? Ведь код драйвера имеет больше привелегий, нежели рядова прога (кольца 2 и 1, если не ошибаюсь)
Значит ли это, что существуют малвари, написанные в стиле драйверов? Или завернутые в драйвер?
513 1406997
>>406913
Я другой анон. Как устанавливается малварь в виде драйвера?
514 1407137
>>406913

>Есть ли какая-то сила за разработкой драйверов


Безусловно. Средняя зп ~150 тыс. долларов в год.

>Значит ли это, что существуют малвари, написанные в стиле драйверов


Да.

>>406997
Как и обычный драйвер, логично же.
515 1412360
Ну что у вас тут? Код то мало-мальский написали хоть, или может реверснули чёнить?
516 1413049
Что будет если поделить на ноль на асме?
517 1418886
>>413049
Мать умрет
Тред утонул или удален.
Это копия, сохраненная 29 июня 2019 года.

Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее

Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
« /pr/В начало тредаВеб-версияНастройки
/a//b//mu//s//vg/Все доски