Это копия, сохраненная 29 июня 2019 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Вы пишите на ассемблере или собираетесь начать на нём писать? Программируете микроконтролёры, пишете драйвера для ОС, а то и саму ОС? Вам сюда.
Вы изучаете алгоритмы работы закрытого софта, пишите патчи бинарников? Вам тоже сюда.
Попрошайки с "решите лабу по асме за меня" идут в общий тред, а лучше нахуй.
Книги по RE:
beginners.re - "Reverse Engineering для начинающих"- бесплатная современная книга на русском языке. К прочтению вкатывающимся и прочим ньюфагам обязательна!
Чтобы не палить свой адрес почты, вот прямая ссылка https://beginners.re/f572d396fae9206628714fb2ce00f72e94f2258f/
https://mega.nz/#!Bc9VVAYC!Vk6CFlW6VIoskLNgDKXbsL6FacDQeOKe6LX92wNicKY Нарваха практический курс по дебагингу
https://www.goodreads.com/shelf/show/reverse-engineering - список книг
Сайты по RE:
http://wiki.yobi.be/wiki/Reverse-Engineering
https://www.reddit.com/r/ReverseEngineering/comments/hg0fx/a_modest_proposal_absolutely_no_babies_involved/
http://www.program-transformation.org/Transform/ReengineeringWiki
http://blog.livedoor.jp/blackwingcat/
https://yurichev.com/blog/
http://wiki.xentax.com/index.php/DGTEFF
https://exelab.ru/
Инструменты для RE:
Дизассемблеры:
0) IDA Pro 7.2 когда подберут пароль к архиву
1) IDA Pro 7.0.torrent (x64 only, для XP нужно патчить PE + вылеты)
2) IDA Pro 6.8.torrent
3) IDA Pro 5.0 - бесплатная версия для некоммерческого использования
4) Radare 2 - наконец прикрутили гуй, но по прежнему нужна только клиническим, не умеющим в скачивания торрентов, или пользователям альтернативных ОС
5) Остальное
Все книги и статьи Криса Касперски (R.I.P.)
https://yadi.sk/d/CxzdM1wyea4WP или https://rutracker.org/forum/viewtopic.php?t=5375505
+ https://rutracker.org/forum/viewtopic.php?t=272818
Книги по ассемблеру:
"Архитектура компьютера" Э. Таненбаум
С.В. Зубков: Assembler. Язык неограниченных возможностей.
Сайты по ассемблеру:
Замена почившему wasm.ru- https://wasm.in/
https://www.unknowncheats.me/wiki/Assembly
http://asmworld.ru/
https://software.intel.com/en-us/articles/intel-sdm
http://www.nasm.us/doc/
https://sourceware.org/binutils/docs/as/index.html#Top
https://msdn.microsoft.com/en-us/library/afzk3475.aspx
disassembler.io Дизассемблер онлайн
Для ковыряющих винду и софт под неё, сайты с описанием структур со смещениями и разными версиями оных:
http://msdn.mirt.net/
http://terminus.rewolf.pl/terminus/
http://geoffchappell.com/
Предыдущие
№5 https://arhivach.ng/thread/395971/
№6 тонущий >>1301036 (OP) если кому нужен тред, сами архивируйте, я в следующий добавлю.
Пора бы уже гидру в шапку добавить.
Тащемта по дефолту там прослушивается порт и включена возможность удаленного подключения. Есть в гидре конечно и свои плюсы, как-то легче что-ли первичный анализ бинарника сделать, но для реальной работы она не катит все таки.
Кто-то поможет объяснить, почему так?
https://godbolt.org/z/zTCRf7
Ссылку прикрепи ответом на первый пост, добавлю.
> если кому нужен тред, сами архивируйте
https://arhivach.ng/thread/415252/ (#6)
https://arhivach.ng/thread/437556/ (и этот сразу заодно)
>>369486
> Как экспортировать символ на fasm?
public internal_name as '_external_name' или просто public name, если переименовывать не нужно.
>>369494
У тебя в крестах локальная переменная, в Си - глобальная. Во втором случае оно смогло в автоматическую векторизацию (обрабатывает несколько шагов цикла за раз), попробуй собрать с -fno-tree-vectorize, если важен размер кода.
Да, крестовые алгоритмы из стандартной библиотеки лучше оптимизируются, потому что компилятору доступно больше информации. В Си можно так: https://godbolt.org/z/ShqpCI (к сожалению, без const не свернет).
Ну, кстати с флагом -fno-tree-vectorize оптимизируется также.
Значит таки лучше на крестах учиться писать для скорости то? Думаю да
Да. Но именно на современных крестах, а не на C++98.
Написал программу, неправильно проверил и сижу ищу ошибку которой не существует.
Как в анекдоте про иностранца, собирающего холодильник, и русских, которые подкидывают ему детальки.
Ладно одной проблемой меньше.
Как в этом прекрасном языке строки вводятся, выводятся? Чот из методички нихрена не понял.
Пните меня хоть в правильное место.
Прерывания какие-то досовские, значения регистров для вызова правильной подпрограммы, вообще охуеть.
Можно
Ну Spacewar! нахерячили же в 62 году. Скорее всего на ассемблере, либо вообще на двоичном запилили (Маловероятно, но возможно).
(Хотя чёрт его знает что было на PDP-1 Вдруг и компилятор чего нибудь высокого. Хотя вряд ли)
Бляяяяяяяяяяяя.
300кк\сек на связи судя по антуражу.
если подкрасишься ничего так будешь, учи мейкап
тому что ты не достаточно няшный
Том что выполнение начинается с первой строчки, а у тебя там вместо кода переменная. Утащи ее вниз. И еще тому, что для int 21h/func=9h DX должен указывать на строку, завершенную долларом, а у тебя не указывает и не на строку.
Подловил однако!
>>372448
Не ну для 8088 все есть а для рабочих процов + архитектуры нет.
Ну спс хоть за что-то.
тактов/цыклов дискасс
Машинный цикл — промежуток времени между двумя последовательными обращениями центрального процессора к внешней оперативной памяти команд/данных, или обмена 1 словом данных с периферийными устройствами, в том числе в циклах обработки аппаратных прерываний и является составляющей частью исполнения машинной команды.
Такт процессора или такт ядра процессора — промежуток между двумя импульсами тактового генератора, который синхронизирует выполнение всех операций процессора.
> для рабочих процов + архитектуры нет
Суперскалярная архитектура, мам. Какие именно такты ты считать собрался? Почитай Intel Architectures Optimization Reference Manual, почитай Агнера Фога для начала.
Software Optimization Guide тута:
https://developer.amd.com/resources/developer-guides-manuals/
https://www.agner.org/optimize/instruction_tables.pdf
Правда, как раз-таки с mov всё посложнее.
Нету.
Можно наподобие https://stackoverflow.com/questions/3898716/how-to-build-an-executable-without-import-table-in-c-c
Только какой-нибудь GetStartupInfo, а дальше искать в кернеле GetProcAddress и через него нужные апишки дергать.
Завтра посмотрю. Под фейковым импортом я понимаю технологию, когда программа дёргает апи динамически при помощи парсинга таблицы импорта dll, а собственный импорт у неё фейковый или вообще спизжен у калькулятора.
> Как он тебе на джоэсс откомпиляет хоть что-нибудь да со своей IAT?
А как на Си компиляют? Какая разница-то, какой у тебя язык? Ну делаешь UInt8Array, создаешь от него DataView, пишешь туда по очереди поля IMAGE_DOS_HEADER, пишешь туда стаб, пишешь туда IMAGE_NT_HEADERS, пишешь IMAGE_SECTION_HEADER, пишешь данные секций, в том числе и секцию с твоей фэйковой директорией импорта, делаешь Blob, он сохраняется браузером, как обычно файлы скачиваются. Если хочется код генерить, есть готовые либы. Если не хочется, можно через FileReader загрузить бинарник и пропатчить его точно таким же способом.
Один импорт парсит, другой GetProcAddress в ядре вызывает. Тебе экспорт парсить надо, обсуждалось в прошлом треде.
> учусь водить машину, но когда я нажимаю педаль газа, у нее отваливается бампер, что я делаю не так?
КОД ТАЩИ
global main
extern puts
section .text
main:
mov rdi, message
call puts
ret
message:
db "Test", 0
Ты уверен, что ты линкуешься 64-битным линкером? Ты уверен, что первый аргумент для Microsoft-овой конвенции вызова должен быть в RDI? Ты уверен, что ты shadow space в стеке под аргументы зарезервировал?
мвд.рф
В DriverEntry:
DriverObject->DriverUnload = &Unload;
Unload rouitne:
VOID Unload(
IN PDRIVER_OBJECT DriverObject
)
{
IoDeleteSymbolicLink(&SymbolLink);
IoDeleteDevice(DriverObject->DeviceObject);
}
Где проебался-то?
Спс, разобрался, надо было в регистр rcx писать адрес строки.
Собираешь валидную таблицу дескрипторов, кладешь ее в GDTR, ставишь бит PE в CR0, выполняешь дальний jmp на начало 32-битного кода. Ну и там загрузка всяких SS и отключение прерываний по вкусу.
Спасибо,а теперь наебень кода на асме, заранее спасибо.
Ну или скажи где про это можно нормально почитать, а то я конченый.
Подожди, ты самый умный или как? Расскажи как быть таким же умным. Я вот не могу уйти в защищённый режим. Ты вот красиво по пунктам расписал, оно понятно все, но вот код не понятно, акты в порты какието, таблиц куча, джампы, и вот везде кал написан а мне непонятно, объясни заранее спасибо
На сколько я помню, это уже с 2017 года не прокатывает, с приходом hyperguard'а.
Более фундаментальное есть почитать? Я так понял, Windows Internals поможет, да?
Чо? А гипервизоры-то тут каким местом вообще?
>>374263
Понятно, что строка. Где у тебя симлинк конкретно? Проверь ради разнообразия, что тебе IoDeleteSymbolicLink возвращает. Алсо, ты уверен, что у тебя после анлоада колбеки какие-нибудь не остаются торчать?
>>374291
Ты хочешь перейти в защищенный режим из винды, лол?
> Из третьего защищенного режима в нулевой.
Из третьего кольца, ты хотел сказать. Режим на то и защищенный, чтобы ты так не смог.
>Чо? А гипервизоры-то тут каким местом вообще?
Вот таким: http://www.alex-ionescu.com/?m=201708.
>>374331
Тоже самое выше читай. Никак ты не попадешь уже туда напрямую.
В 9x как раз без проблем можно было запатчить IDT, перейдя из r3 в r0 буквально десятком инструкций, без дров. И наличие или отсутствие сейфмода при этом никак не мешало.
>>374399
Ну теперь-то ясно. Я просто думал, что в изначальном вопросе спрашивали про банальный переход из реалмода, а вы тут хацкеры, оказывается.
Ну... кладешь в в IDT реалмодную таблицу, в GDT дескрипторы, чтобы на реалмод похоже было (16-битные сегменты, лимит мегабайт вот это все), прыгаешь в такой 16-битный сегмент, сбрасываешь CR0.PE, опять прыгаешь, чтобы CS перезагрузить уже реалмодным значением, перезагружаешь все остальные сегментные регистры сохраненными значениями (если у тебя DOS) или любыми разумными (если не DOS).
Программята, я тут по залёту. Препод сказал что повысит мне оценку если я принесу ему ёлочку на ассемблере, но у нас, блядь, было всего две пары по нему два года назад. Нагуглил только какую-то сложную ёлку с анимацией, а это слишком подозрительно. Поможете или я могу нахуй пройти?
Если на той же ардуино много разных портов ввода-вывода, и на каждый можно подавать напряжение по отдельности, либо считывать с него, то как это делать посредством usb провода?
Натолкните на инфу по этому вопросу. Я даже слабо представляю как такое гуглить
Ну погугли спеку юсб, как там инфа кодируется не подойдёт тебе юсб, попробуй выход на колонки
> не подойдёт тебе юсб, попробуй выход на колонки
Это как вообще? Просто как провода от jack 3.5 обрезать, и в качестве пинов использовать?
> Если на той же ардуино много разных портов ввода-вывода, и на каждый можно подавать напряжение по отдельности, либо считывать с него, то как это делать посредством usb провода?
Ну придумываешь кастомный протокол, кидаешь пакетики в устройство, чтобы управлять output-портами, периодически опрашиваешь устройство на предмет событий с input-портами. На компе через libusb, на устройстве - зависит от микроконтроллера, хоть вручную, хоть через многочисленные USB-либы. И вообще, ты сюда мимо, тебе в /ra/.
Бери прсотую сишную елку и перепиши на асм. Или дизассемблируй. Вот уж проблема то.
Если линукч, то наверно в ядре его
А можно просто конпелятору опцию указать и он будет генерить асм-код завместо бинарника.
LPT/COM/USB/Ethernet/Wi-Fi/Audio 3.5
Выбирай любое. Для всего существуют готовые решения.
>>375845
Можно на таком захуярить прямо онлайн http://rk86.ru/ . Должно быть попроще х86.
>>376703
http://cxem.net/mc/mc.php
https://www.radiokot.ru/circuit/
http://easyelectronics.ru/
И т. д.
> И т. д.
Спасибо братишка, но там в основном уже все в омновном откомпилиравано, дизасемблировать занятие так себе
> Вы пишите на ассемблере или собираетесь начать на нём писать? Программируете микроконтролёры
Не, отреверсить то можно, но мне бы сначала с просто кодингом разобраться, все ж мы люди
Насколько я понял, то gas более типичен для данной ОС, а основное отличие в том, что используется не intel синтаксис, а AT&T (хоть gas и поддерживает intel syntax). AT&T вроде более нагляден и понятен.
Почему?
Вот как только томаш stabs осилит (нативно, а не через внешний костыль, который парсит fas), вот прямо сразу. А до тех пор fasm советовать широкому кругу особенно под linux бессмысленно, и даже сраный nasm будет лучше.
Кстати, кто-нибудь знает, как из фасма / фасм-г экспортировать отладочные символы и импортировать их x64dbg? В каком формате это надо делать?
А что это?
Кэп? Куча бреда в его статьях и книгах никак не отменяет того факта, что по ним училось большинство реверсеров в 2000х.
Почитал. Критикующий ничем не лучше: тоже достаточно неточностей, фактических ошибок и просто вкусовщины.
За читы не бутылят и это достаточно прибыльная ниша. Но судя по ответу у тебя мозго только на байтоебство хватает, так что остается тебе только страдать и тешить себя мыслью о том что не тупой, потому что "уже 2 года тут варюсь".
мехатроника нэ?
Двачую малварь.
Бутылят, на за сами читы, а за вытекающие проблемы этого бизнеса. Чтобы развернуть проект, нужна команда 3-5 человек минимум, нужно как то согласовывать разработку, распределять средства между незнакомыми друг с другом людьми в интернете и еще овер9999 подводных камней.
>>379217
ДС/ДС2, опыт от 3 лет.. Понятное дело, что у гигантов типа касперского и прочих будут вакансии. С нуля без опыта-то куда вкатываться-то? А если я еще и из мухосрани?
Капитан, ты?
@
ДЛЯ РЕФЕРЕНСА РЯДОМ ЕСТЬ АКТИВНАЯ ФУНКЦИЯ ПЕЧАТИ ОДНОЙ СТРАНИЦЫ
@
ВЫПОЛНЯЕТСЯ ЗА 150 ИНСТРУКЦИЙ, ВСЁ ПРЕДЕЛЬНО ПРОСТО
@
НАШЁЛ, КАК ВЫЗВАТЬ ПЕЧАТЬ ДОКУМЕНТА
@
В ПРОЦЕССЕ ВЫПОЛНЕНИЯ ДЁРГАЕТ НЕБО И АЛЛАХА, ПРОВОДИТ КАКИЕ-ТО СКРЫТЫЕ ПРОВЕРКИ, КОТОРЫЕ ТОЖЕ НАДО ОБОЙТИ
@
СПУСТЯ 1000 ИНСТРУКЦИЙ И 3 ЧАШКИ КОФЕ МЕЧТАЕШЬ О ТОМ, ЧТО ЛУЧШЕ БЫ ШЛЁПАЛ ФОРМЫ НА ДЖАВАСКРИПТЕ
вкатился
Я делал что-то подобное через ft232 - на стороне PC usb + driver, другим концом в микроконтроллер serial RX/TX. Все предельно просто. API на сях, довольно удобный и высокоуровневый.
Код типа такого
FT_SetBaudRate (ftHandle, 9600);
FT_SetDataCharacteristics(ftHandle, FT_BITS_8, FT_STOP_BITS_1, FT_PARITY_NONE);
...
ftStatus = FT_Write(ftHandle, &buf, sizeof buf, &bytesWritten);
и тд. Никаких проблем. Я с армом спаривал, можешь хоть с ардуинкой, с чем угодно. В /ra/ сходи еще.
Никуда, продолжай ныть и отговорки придумывать.
Можете пояснить, зачем он закидывает в стек дс и выкидывает ес? В чём суть? (Без этого лаба не работает, поэтому надо рабобраться)
Для чего обычно это используется?
push ds
pop es
>Для чего обычно это используется?
>push ds
>pop es
es=ds
Т.к. прямых команд типа mov es, ds нетути.
А что это означает? Нахуя тобишь? Код не сильно большой, надеюсь меня не побьют.
Без него ничего не работает, но я не пойму смысол.
lea SI, StringINP+2 ;взятие адреса входящей строки
lea DI, StringOUT+2 ;взятие адреса исходящей строки
mov CL, StringINP+1
push ds
pop es
Proverka:
lodsb
cmp AL, 20h
je stop
cmp AL, 9
je stop
stosb
stop:
loop Proverka
lea dX,StringOUT
mov AH, 09h
int 21h
quit:
exitcode 0
end
>Нахуя тобишь?
Пушто lodsb работает с парой DS:SI, а stosb с парой ES:DI.
Если SI и DI в одном сегменте, то надо как-то сделать, чтобы ES=DS.
Т.к. прямого присвоения типа mov ES, DS нету, то костылишь это через pusd DS/pop ES.
Проходил туториал от cheat engine и немного разбираюсь в ассемблерах этих. Совсем чуть чуть.
Есть одна игра, и в ней есть кнопка, которая требует 80 левл, чтоб на неё нажать.
Я подумал найти где в ассемблере считается левл и изменить там.
Текущий левл видно в меню персонажа, но я его чит энжином никак не могу найти. Искал уже по типу all, по типу string, ничего нет. Точнее за 2-3 прохода вся таблица исчезает. Будто адрес левла меняется постоянно.
В меню персонажа левл выводится как Level: 4 например.
Нашел эту строку в памяти Level: %d
Сделал Find out what accesses this address
При открытом меню персонажа там есть 2 адреса, которые читают эту строку.
Взял первый, Show disassembler
Если я меняю на nop, то текст пропадает из всего меню персонажа. Все строки. Значит я на верном пути.
Сделал Break and trace instructions и теперь у меня тыща инструкций. Но это не просто printf (string, ADDRESS_OF_LEVEL); а куча хлама, среди котрого хрен найдёшь нужное.
Как мне выследить где хранится ебучий левл?
Кстати статы я так же не могу никак отловить, силу, ловкость, вот это всё. После 2-3 изменений в cheat engine пустая таблица.
>теперь у меня тыща инструкций. Но это не просто printf (string, ADDRESS_OF_LEVEL); а куча хлама, среди котрого хрен найдёшь нужное
Добро пожаловать в ассемблер.
Подозреваю, что ты хочешь что-то типа call_target = base + offset + 5 + dword_at(base + offset + 1), где base - это yoba, offset - это смещение инструкции call относительно base, т.е., 0x2b, call_target - вычисляемый адрес makaba, 1 - офсет rel32 внутри инструкции call (всегда 1 в этой форме), 5 - размер инструкции call rel32 (всегда 5 в этой форме), rel32 - это смещение вызываемой фукнции относительно следующей за call инструкции.
Потому что никто уже третий тред не может его нормально прикрепить. Вот так:
>>369180 (OP)
ОП, добавь в шапку гидру
Вот из примера
>e db 'string',0 ; Определяем строку из 7 байт, заканчивающую нулём
Как это будет выглядеть в хексе экзешника? "e" это имя переменной.
Там ведь не будет слова "e" для переменной?
>\t\t
Это макаба добавила. Там в оригинале табуляция.
И потом если этот экзешник открыть чем-нибудь, что показывает ассемблерный код, что он покажет?
Я пока ничего не умею, сам проверить не могу.
Спасибо конечно, но мне нужно это сделать не в иде, а в рантайме на С.
>>383592
Теперь я еще сильнее запутался... Вот другой пример прикрилейтед. FUNC - экспортируемая функция в дллке, func_internal - нет, но мне нужно получить к ней доступ, чтобы единичку в последнем параметре заменить на нуль при вызове. Как мне вызвать то func_internal? Делаю GetProcAddress(func), получаю адрес func, смещение по которому находится вызов func_internal = func + C. Но все равно вызвать функцию не получается.
> Как мне вызвать то func_internal?
Псевдокод:
typedef int func_internal_type(int a, int b, int c, int d, int e);
uintptr_t funcptr = (uintptr_t) GetProcAddress(lib, "func");
uintptr_t call_insn = funcptr + 0x0c;
assert(∗(uint8_t ∗) call_insn == 0xe8); // Опкод CALL.
uintptr_t rel32 = ∗(uintptr_t ∗) (call_insn + 1);
uintptr_t call_target_addr = (call_insn + 5 + rel32) & 0xffffffff;
func_internal_type ∗func_internal = (func_internal_type ∗) call_target_addr;
func_internal(1, 2, 3, 4, 5);
Пример на пальцах. Допустим, у тебя есть:
0x10000000: e8 20 01 00 00: CALL 0x10000125
0x10000005: c3: RET
Ты читаешь из инструкции rel32 (little endian, выделено жирным): rel32 = 0x00'00'01'20, берешь адрес следующей инструкции после call: 0x10000005, прибавляешь к нему rel32 (считаешь в 32-битной арифметике с переполнением, rel32 со знаком, но на это похуй) и получаешь адрес вызываемой функции: 0x10000005 + 0x00000120 = 0x10000125. То же самое делается для относительного JMP.
Благодарю, вроде все понял, буду пробовать. Есть вообще доп. материал по данной тематике? Как гуглить решение аналогичных задач? Или нужно асм активно вкуривать и само все придет?
Еще вычитал способ с поиском адреса функции по сигнатуре, выглядит проще. Какой из этих двух способ более правильный?
Если знаешь название экспортируемой функции, глупо было б искать ее по сигнатуре
Возможно, имеет смысл искать сам опкод по сигнатуре, а то мало ли как компилятор в следующий раз наоптимизирует, офсет изменится, и приехали.
>>384523
> выглядит проще
Да там на самом деле одно-два выражения всего, если лишних переменных не создавать. И да, я только сейчас случайно заметил, что у тебя 64-битный код, а у меня там unsigned читается. Сорян. Надо вот так хотя бы, тогда и в 32- и в 64-битном коде норм будет:
uintptr_t rel32 = (uintptr_t) ∗(int32_t ∗) (call_insn + 1);
uintptr_t call_target_addr = call_insn + 5 + rel32;
1. если он в следующий раз наоптимизирует, твой сигнатура идет нахер
2. тебе не надо знать офсет, чтобы хукнуть импортируемую функцию из ддл
щта?
Если он в следующий раз наоптимизирует, первая вызываемая функция останется первой (ну разве что стекчек появится какой). Чтобы хукнуть экспортируемую, офсет не нужен, но анону нужно самостоятельно вызвать неэкспортируемую фукнцию, которую вызывает экспортируемая.
Юричев
главное не выбирать долго долго а сесть и начать. кому как, у меня начало было так:
курс с asmworld.ru по FASM + Калашников https://rutracker.org/forum/viewtopic.php?t=4480735
Знаю что Калашников старье не актуальное и все что пишется либо на ХР запускать либо в досбоксе. Чисто чтоб привыкнуть к асемблеру.
А дальше все как в книжке Юричева. компилятор + олька + ида, и в путь. Можно по курсу ольки от Нарвахи пробежаться.
брать подписку ради нее одной как то не хочется.
Итак, мы рассмотрели фреймворк для реверс-инжиниринга Ghidra. Сможет ли он заменить IDA Pro? Я думаю, что на данном этапе своего существования — нет. Дело в том, что Java в качестве языка для написания подобных программ, на мой взгляд, не лучший выбор. И дело, конечно, в скорости.
Дизассемблер работает небыстро, особенно на тяжелых файлах. Скажу больше: файлы размером свыше 150 Мбайт реверсить на Ghidra — то еще испытание. С другой стороны, Ghidra кросс-платформенна, и для кого-то это может быть важно.
Следующий момент — это количество поддерживаемых архитектур и загрузчиков файлов: у IDA Pro их значительно больше. Еще очень не хватает такой же плотной интеграции с отладчиками, как в IDA Pro. Опять же, открытость кодов (если NSA выполнит обещание) — это хорошо, да и возможность добавлять поддержку других архитектур — по-настоящему крутая фишка. Но пока будет выполнена эта работа (и исправлены баги), пройдут годы.
Вообще, у меня сложилось стойкое впечатление, что Ghidra — это не конечный продукт. В том виде, в котором этот фреймворк доступен сейчас, он тянет на бета-версию с публичным доступом, но никак не на версию под номером девять. Кстати, в названии архива есть слово PUBLIC. Наверняка где-то есть еще и версия PRIVATE.
Безусловно, у Ghidra есть свои сильные стороны, и в чем-то она уже превосходит IDA Pro, но слабых мест пока что намного больше. А вот разработчикам IDA есть что позаимствовать в новом инструменте. Например, мне понравилась повышенная информативность кода, представленного в виде графа. Да и само построение графа кода выглядит более строго и упорядоченно. Есть патчинг инструкций без дополнительных плагинов и без разделения на x64 и x86. Зачем держать два ярлыка на рабочем столе, если достаточно одного?
я бы добаивл еще ссылку на копию зеркала старого васм.ру https://rutracker.org/forum/viewtopic.php?t=407571
там после "Здесь видим список всех функций с их сигнатурами" закрыто сайтом. Можешь Ctrl+P и пдфкой сюда?)
> Я думаю, что на данном этапе своего существования — нет
Учитывая, как легко и красиво пишутся плагины, то иде пизда. И радару пизда.
ничего не наложали. у них при работе скорее всего крутится на сервере с нужными мощностями, а ты подключаешься по сети дебажешь. Да и понятие скорости там не так важно. ну анализирует оно дольше, да и фиг с ним. Главное простота поддержки кода, уровень вхождения.
Цифра 9 - когда начинали .net core наверно был только в зарождении, а тут все сразу из коробки. так что для них выбор очень даже хороший.
> Уже установили JRE?
Ты мимо пробегал? Пробегай, не задерживайся. Мы тут реверсеры, нам приходится реверсить и жабкуандроид, поэтому жре у всех и так установлен.
При установке драйвера TitanHide столкнулся с ошибкой
StartService fails with error 6 "Invalid Handle" , а также до этого была проблема с загрузкой win без подписи драйвера, при выборе даже в загрузочном меню F8 команда игнорировалась и запускала обычную версию.
Решил ту проблему через msconfig
как же я блять не навижу ебаный шиндовс
Вопрос мб тупой, но всё же задам: в 2к19 пишутся ли годные малвари на чистом асме? Или это, как правило, сишный код с инлайн асм вставками?
Ты как грузишь драйвер-то? Проблема очевидно c SCM-manager'ом. На сколько я помню проект опенсурс, так что смотри исходники и дебаж.
>>386277
Прям целые боты естественно не пишутся на асме, люди ценят свое время. А вообще лучше не лезь, анон, сейчас за малварь активно бутылят, да и не выгодно это уже.
Все в ознакомительных целях на самом деле, я хочу в недалеком будущем начать анализировать малвари, сейчас усиленно учу асм и хочу знать полностью его мощь/возможности.
Тогда ты на выбор попадешь или к мусорам из раши, или к мусорам из СШП. Причем, ко вторым тебе шансов попасть больше. Еще есть такой вариант , что после бутылки от отечественных мусаров тебе предложат поработать штирлицом плаща и кинжала на гыгыру или какого вагнера (в противном случае на тебя повесят все глухари и отправят к маньяками и серийным мокрушникам в черный дельфин) тип штатным хакером, где ты в тюрячке/шараге под одобрительные солдатские пиздюли будешь ломать пентагон с IP адреса минобороны, после чего гыгыру и пуйло поджав хвост и поскуливая, сольют тебя мусорам из СШП. Где ты получишь тот же пожизняк-двадцаточку, но уже с многомиллиардными штрафами.
Да, касперский, по последним сводкам тоже на гыгыру и вагнера работает, параллельно многостаночит на прочие кардерские тусовки. Так что ну его нахуй это хекерство - если ты не какой мексиканский главарь Los Zetas и у тебя нет своей личной армии.
Хакеров везде не любят, тащемта. Тут тот случай что даже заведенный трактор/его отсутсвие похеру.
Потому что речь идет о серьезных деньгах серьезных людей по всему миру.
чекать малвари и сигнатуры в базы антивирусные вносить - утомительная работа, быстро надоест, к тому же нет роста как профессионала. А конкретно реверсеры, нужны не в таких больших количествах.
Но это удобный скил лично для себя. Плюс с обилием крякми - всегда для хобби будут задачки головоломные которые порешать.
а так, загляни https://habr.com/ru/post/438376/
Анон, что ты несешь? Речь идет о кристально белой шляпе, которая проводит binary exploitation исключительно в рамках инфосек компании за зарплату. Ни про какие мутные взломы и прочую хрень речи не идет вовсе. Я лишь спросил про мощь асма у более знающих людей (уверен, здесь таких немало), а в ответ полетел бред про бутылку и криминал.
Ты совсем даунич?с: Инфосек специалисты для чего в соответствующих компаниях работают? Чтобы проводить аудит безопасности для тех или иных продуктов, причем здесь вообще криминал, даунёнок? Им платят деньги за то, чтобы выходил качественный, трудновзламываемый софт.
>Инфосек специалисты для чего в соответствующих компаниях работают?
Чтобы за 15к фублей и статус невыездного подымать россиюшку.
Ну и если что не так - то тут же сесть, разумеется.
А, забыл упомянуть, что речь идет не про рашку и даже не про страны СНГ, но это совсем другая история с:
Пожалуй, подожду адекватного ответа по поводу асма, а то продолжать юзлесс демагогию не имеет никакого смысла.
Открою америку: белых шляп не существует - все инфосек конторы занимаются чернотой на заказ, при этом все сотрудники реально ходят под такими NDA, что вплоть до пули от киллера или пера в переулке.
Протек мочой тебе за щеку, сглатывай.
>к тому же нет роста как профессионала
Тут ты обосрался. Карьерный рост есть:
1. Кататься по дефконам светить лицом, продвигать себя и свою кантору
2. Вкатиться в разработку ав-движка
3. Вкатиться в редтим
4. Пилить девтулы для своей канторы
Самое основное вспомнил.
сейчас бы malware analyst был без профессионального роста, лол :-) Хотя, возможно, с ИБ в рашке действительно настолько все плохо, что на всю страну есть только лаборатория Касперского. Основная же масса айтишников - сброд унылых вебмаQAк :-)
Он же платный!
Он прав в том плане, что в пентестинг довольно легко вкатиться, но для того, чтобы продолжить заниматься чем-то действительно интересным, необходимы оче разносторонние знания вкупе с профильным образованием.
>Дизассемблер работает небыстро, особенно на тяжелых файлах.
Этот даун думает, что дисассемблер медленный из-за джавы?
>Кстати, в названии архива есть слово PUBLIC. Наверняка где-то есть еще и версия PRIVATE.
Натурально даун.
Хочу вкатиться чисто для души поделать, плюс углубить анус свои знания.
Тащемта, с чего начать, куда смотреть? Сам недокодер SoC на си
ну будем честными, это единицам светит, остальные и будут сидеть "вычленять сигнатуры", в то времяч как жава/шарп джуны получают столько же и в джунах не задерживаются.
Погугли сколько есть вакансий в разных странах на должности: malware analyst, security researcher. Все они реверсеры, камон, их не так мало. Да, порог вхождения высокий, но их все равно достаточно.
В старых по-разному может быть.
Современная выглядит так:
var sheider='дохуя длинная строка шейдера в текстовом виде'
call Init_grafika
call zapustit_sheider
loop poka_ne_zakonchitsya
А потом это все кранчем жмешь и получаешь заветные 1-4к.
а как оэлдефажные делать...
ну твой опыт похоже ограничивается только гуглом))
ты это на хх смотришь? или работал там? порог вхождения джав/шарп-иста на такую зп куда ниже чем на того же аналитика. Рост у обычного аналитика не так прекрасен как рассказывают, по большей части ты выполняешь тупую нудную работу. В зависимости от фирмы еще и разной специфичности условия.
Ну и да, совсем забыли тут сказать, работа вирусным аналитиком не так уж и сильно корелируется непосредственно с реверсом.
ну а 100к джавистом/шарпистом можно и в регионах, если добавить немного фриланса
А педалить какое-то говно на джаве - это не нудно?)
Вирусный аналитик != реверсер? Анон, ты ебобо? 99.9% малварей требуют глубокого статического анализа, где от вирусного аналитика требуется мэдскиллз по обходу обфускации, пакеров, рантайм шифрования и прочего дерьма. Вирусный аналитик - это реверсер на стероидах, ибо обычный софт, в среднем, гораздо меньше и слабее онально огораживают от отладчиков и дизассемблеров, нежели малвари, и тому есть вполне логичные причины.
>99.9% малварей требуют глубокого статического анализа, где от вирусного аналитика требуется мэдскиллз по обходу обфускации, пакеров, рантайм шифрования и прочего дерьма.
Ржали всей лабораторией.
ой, да что ты пиздишь, наверняка какой-нибудь вебмаQAкич :)
Кому очевидно, тебе?
> 99.9% малварей требуют глубокого статического анализа
> Ржали всей лабораторией.
Присоединяюсь. 90% малвари состоит из необфусцированного копипастного кода, написанного школьниками на переменах. Глубокий анализ такого заключается в strings virus.exe|grep http. Еще несколько процентов - это вариации на тему ксора с коротким ключом, иногда со скопипащенным из какого-нибудь метасплоита кодом поиска апи по хэшам, но внутри все тот же говнокод. Сколько-нибудь интересные сэмплы очень редки. Ковыряться в этом однообразном говне годами может только совершенно больной человек, даже у JS-макаки жизнь интереснее, чем у вирусного аналитика.
Видать в пидорашке любая отрасль идет с 20-ти летним дилэйем как минимум. Держу в курсе, в 2к19 в цивилизованных странах с таким школьным говном имеют дело программы по анализу вредоносного кода, которые детектят недомалвари в строках, копипасты инфекторов исполняемых файлов и прочее дерьмо.
Анон, интересно, откуда у тебя такие мысли. Только если ты не вирусный аналитик в лаборатории Касперского, но если там такая дичь творится, то земля вам пухом там, хуле
> Только если ты не вирусный аналитик в лаборатории Касперского
Нет, я с дивана, а ты в целом прав.
сам то чьих будешь где работаешь что такими заявлениями кидаешься? Живешь в каком то маня мирке.
я вот много где посмотрел, вирусная налитика именно такая копипаста как выше тебе уже пояснили. Анализ чего то сложного и интересного. это настолько редко что охереть как.
>После полугода-год тебя начнут закидывать прикольными тасками, будешь выезжать на конфочки/хакатоны итд.
А через два года начнёшь получать 300кк в наносекунду.
понадобилось крякнуть программу купить не вариант - уже не продается
вообщем нужно написать декриптор для этой штуки
https://paste.dlab.im/?0b0853f6e4817a61#NTz16ZkNLTjEdqZhreTOPZUCFJS3lxbvwxU5o7I01ac=
да,я тупой инвалид,но не осилил
А не, это внезапно майнер.
[MINING]
pool = 185.170.43.187:8080 ; pool address
wallet = 83VL4uUXJynELY1oc7vqwmdG5L4ykZYtb4XjbYDkDvDvF9Chh7xMZJy4FTPuSEUfYGTBJCFoH6qBcVV1AFakRHjeRPu7hKL
pass = x
proxy = false
[CPU]
cpubase_usage = 20 ; Basic power
cpuidle_usage = 90 ; IDLE power
[GPU]
gpubase_usage = low ; 40% aka basic power
gpuidle_usage = high ; 100% aka IDLE power
Объясните ньюфагу, каким образом дрова исполняются в кольце 2 и 1, и каким образом он исполняются без ведома владельца пк? В общих чертах хотя бы, а то путаница насчет этого
Чуется мне, что все буткиты/руткиты - это малварь, завернутый в нечто похожее на драйвер, чи да?
> дрова исполняются в кольце 2 и 1
Никаким. Это влажные мечты Intel, которые никому не пригодились. Пользовательский софт в r3, все остальное в r0.
> В общих чертах хотя бы
> каким образом он исполняются без ведома владельца пк
Процессор при запуске ОС (опустим переключение в защищенный режим) начинает исполнять код в r0. Таким образом ядро ОС исполняется в r0, и оно может, грубо говоря, менять уровень привилегий при переключении потоков (задач), может вместе с процессором изолировать память различных задач, а процессор не дает задачам из r3 исполнять привилегированные инструкции. А вот владелец пека вообще ничего не может, он устройство ввода, его можно даже не опрашивать.
> буткиты/руткиты - это малварь, завернутый в нечто похожее на драйвер
Да, но драйвер - это файл, который работает с системой по какому-то определенному апи и сам предоставляет какие-то интерфейсы, а руткит может не быть файлом или не использовать стандартные апи для драйверов.
>а руткит может не быть файлом или не использовать стандартные апи для драйверов.
Это ломает мой девственный мозг новичка, как код может быть исполнен, если он не файл? Из-под чего он исполняется, где хранится код зловреда?
Или руткит инжектят каким-то раком в бут сектор и он хранится, не имея при этом файла, который содержит исполняемый код, тупо запускаясь вместе с ОС при включении компа? А что творится на уровне гипервизора или SMM я пока тоже не представляю.
Смотри пикрил. Обычный юзер ты, твои приложухи, игрухи, итд находится в VTL 0 пользовательском режиме ring3. Драйверымышки, клавиатуры, системные и прочее находятся в VTL 0 режиме ядра ring0, тут же сидят и руткиты/буткиты.
Руткиты - это и есть драйверы, то есть pe-файл с расширением .sys. После отображения в ядро могут скрыть себя множеством способов. С расширением архитектуры винды и добавлением внутренних механизмов защиты, их действия сильно ограничены.
Windows Internals 6 или 7 издание почитай, много чего узнаешь.
>>389281
>а руткит может не быть файлом или не использовать стандартные апи для драйверов
Апи ядра они используют, без этого никак и функции легитимных/системных драйверов.
обьясните алгоритм,хотя бы
у меня при циклах каждый раз где-то все наебывается и выходит полная залупа,а не нужный результат
и биткойн кошель кидайте сразу)
Виндовс само собой, а линукс для души.
со всем остальным,кроме этого метода,у меня все окей
нужно просто написать декриптор для этих строчек,чтобы можно было бы переводить их в url и обратно
извиняюсь,могу тупить,время позднее
Но ведь это C#, Карл. Почему ты просто пропатчить бинарник не можешь?
Программист перед сном ставит на тумбочку два стакана. Один с водой, если захочет пить, а второй пустой, если не захочет.
Что? Поясни, что значит "импорт сбилдить"? Сгенерировать таблицу импортов? Слинковаться с длл? Сделать библиотеку импорта?
Да я сам не знаю. Просто хочу чтобы при просмотре любым pe-viewer'ом в таблице импорта моего хеллоу ворлда отображалось три kernel32.dll
Фасм:
format pe gui
entry start
include 'win32w.inc'
start: invoke ExitProcess,0
_ = VirtualAlloc ; "Use" function to prevent fasm from removing it from imports.
_ = CreateFile
data import
library kernel32_1,'KERNEL32.DLL',kernel32_2,'KERNEL32.DLL',kernel32_3,'KERNEL32.DLL'
import kernel32_1,ExitProcess,'ExitProcess'
import kernel32_2,VirtualAlloc,'VirtualAlloc'
import kernel32_3,CreateFile,'CreateFileW'
end data
>как код может быть исполнен, если он не файл?
Банально уязвимость в сетевом стеке, типа большой пакет озалупливает ОС, и она передаёт управление куда-то внутрь этого пакета. Файла нет, а троян есть.
>>389312
>А что творится на уровне гипервизора или SMM я пока тоже не представляю.
И не надо, есть IME, который имеет вышеперечисленных.
>Банально уязвимость в сетевом стеке, типа большой пакет озалупливает ОС, и она передаёт управление куда-то внутрь этого пакета.
Эмм, содержимое такого пакета парсится как строка? Поэтому и сам зловред представляет собой строку? (условно, скрипт баша/мелкомягкой силаскорлупы) Просто если там обычный код, который нужно, офк, скомпилировать перед исполнением, то мне сложно представить как этот троян исполнится.
>И не надо, есть IME, который имеет вышеперечисленных.
Не буду кривить душой, не раздуплил причем здесь софт, который позвляет вводить символы, которых нет на клаве
>Эмм, содержимое такого пакета парсится как строка?
Причём тут строки? Мы про бинари.
>>390450
>Не буду кривить душой, не раздуплил причем здесь софт, который позвляет вводить символы, которых нет на клаве
https://ru.wikipedia.org/wiki/Intel_Management_Engine
>Причём тут строки? Мы про бинари.
До сих пор не понимаю как можно пропихнуть бинарник в пэйлоуде пакета, да чтобы он еще и запустился. Только если это не dll/so, который должен экспортироваться в какой-то процесс и нагадить.
Спасибо, раздуплил.
А это просто тупой, попавшийся на троллинг тупостью.
Иди нахуй, дебил.
Тебя спрашивают про архитектуру винды, а ты ему железячную
фигню пихаешь, о которой ньюфагу еще последующие лет 5 не придется думать даже.
>>390487
Тебе нужно перестать думать юзермодными абстракциями и загуглить что такое произвольное выполнения кода, переполнение буфера.
У тебя задача вообще какая стоит? Или ты просто исследуешь? Так исследуй блеать! Виртуалку поднял, виндбг подрубил, основные модули в иде открыл, а дальше уже само пойдет.
>Тебя спрашивают про архитектуру винды, а ты ему железячную
Больше половины ответа про винду, гений.
Ламповый асембли уже давно в тред элитистов превратился. Щас в сипп треде обсуждение асм живее чем тут
Он никогда особенно живым и не был.
Врешь. Сижу в С и С++ тредах, там одни ньюфаги просят помощи с laba_001.sln, ничего серьезного даже близко не обсуждают.
бамп реквесту,сразу кидайте свой биткойн кошелек как напишите - кину что есть
нужна консольная прога,которой можно дешифровать это и наоборот- шифровать нужные строки в этот вид
Билят.
s=Base64decode('DxEBFw4dF0RfQUZDXlZGWkBEVFBDRBgNCFJLUEoUCVQPC1sXXEI=')
key='geug428ugthrifhnsjehtkrgbjshegb3'
а потом каждый байт xor
res=s[l] ^ key[j]
l от нуля до длины получившихся данных
j = strlen(key); if j>strlen(key) {j = 0}
import base64
s=base64.b64decode('DxEBFw4dF0RfQUZDXlZGWkBEVFBDRBgNCFJLUEoUCVQPC1sXXEI=')
key='geug428ugthrifhnsjehtkrgbjshegb3'
y=0
res=[]
for x in range(0, len(s)):
res.append((chr(ord(s[x])^ord(key[y]))))
y+=1
if y==len(key): y=0;
print(''.join(res))
Сколько лишних слов!
s = base64.b64decode(...)
key='...'
print(bytes(a ^ b for a, b in zip(s, itertools.cycle(key.encode()))).decode())
хотел помочь нуждающемуся,но назад выходит другой результат
делаю тоже самое,но в обратном порядке,в чем подвоха?
мимо
человеку вроде же как нужен был и шифратор и дешифратор под это дело?
в любом случае,интересно в чем ошибка
в криптографии ноль
Немного путаница с import address table.
До биндинга import lookup table и import address table указывают на один и тот же адрес (каждый энтри). После биндинга, каждый энтри в import address table меняется на указатель на функцию в дллке (это я понял), но при этом также меняется указатель в каждом энтри import lookup table после биндинга, почему? И нахуя нужен Хинт?
Олсо, указатели на функции в энтри IAT после биндинга - это же VA, а не RVA, я правильно понимаю?
> но при этом также меняется указатель в каждом энтри import lookup table
Не должно такого быть, оно же загрузку сломает. Возможно, линкер делает такую таблицу, где FirstChunk и OriginalFirstChunk указывают на одну и ту же цепочку? Фасм таким страдал раньше. Так-то не должно. Попробуй на другом файле.
> И нахуя нужен Хинт?
Чтобы не выполнять двоичный поиск по таблице в таблице имен в экспортах дллки, а сразу попробовать элемент с указанным индексом. Если таблица экспорта в целевой длл не менялась с момента линковки ссылающегося на нее модуля, получается лукап экспорта за O(1) вместо O(log n). Если менялась... а я вот не знаю, используется ли это значение в качестве первого индекса в двоичном поиске, или оно в таком случае с середины начинает? Cам посмотри реализацию, если интересно.
> это же VA, а не RVA, я правильно понимаю
Да, прибито гвоздями к расположению модулей в памяти и поэтому бесполезно во времена ASLR.
>>391698
> Это питон 2.7 если что.
Это часы, если что: https://pythonclock.org/ Тик-так.
>Это часы, если что: https://pythonclock.org/ Тик-так.
Пох. Пока sqlmap не переведут на 3, я не перейду.
Тут есть анонс со знанием ARM?
В плане архитектуры, ассемблера и прочего будет полегче, чем х86? В плане порога вхождения
Ну вот смотри: в ARM вместо одного - два с половиной набора инструкций, всякие DSP-расширения с кучей однообразных арифметических инструкций, выносящие мозг псевдоинструкции (или ебля со сборкой констант по кусочкам, что еще хуже), режимы адресации, которые сложнее, чем в x86, и это все только "обычный" 32-битный код в юзермоде. Плюс AArch64, который по сути отдельная архитектура. Плюс десятки разнообразных, сложных и несовместимых между собой механизмов, про которые нужно знать, если ты соберешься писать под bare metal.
x86 в целом легче, потому что куча софта и информации на любой вкус, потому что локально отлаживаться проще.
Внутреннее устройство Microsoft Windows любого издания.
> чем Линукс легче Винды
В линуксе компилятор в комплекте. В винде устанавливается за пять минут. Все остальное в винде проще.
Исходники винды тоже частично доступны, и качество кода там не в пример лучше. Плюс есть исходники реактос.
Окей, давай пойдем другим путем. Расскажи нам, что ты понимаешь под системным программированием. Ты хочешь писать юзермодные утилиты? Компиляторы? Драйвера? Ты хочешь дергать за ноги малинку из баш-скриптов?
анон, который предлагал винду
Все равно придется долго сидеть с идой/виндбг. Реактос спасает, да. Майки тоже молодцы, начали пилить сэмплы и доки нормальные.
>>393538
Все бабки у майков. А чего ты собрался драйвера-то писать если чего полегче ищешь, лол?
>>393559
Смысл писать малварь на современном С++? Только если это не полноценный модульный бот. Если тебе надо, то возьми и сам перепиши, какой-то глупый реквест. А лучше не пиши, набутылят, будешь потом плакать.
Обрыганный и кривой реестр, миллиард API функций, половина из которых имеют по несколько лишних пермутаций. Обрыганское, совершенно конченное строение бинарников и обратная совместимость с никому не нужным говном мамонта. Учить Windows Internals == быть мазохистом
Ты так говоришь потому что сам нифига не разобрался. Если бы глубже изучал, то понял бы что все это необходимо и это нифига не костыли, а фичи!
> миллиард API функций
Вот в линуксе другое дело - чтобы получить карту памяти процесса, нужно всего лишь написать парсер текстового файла. Это гораздо удобнее, чем запоминать всякие там VirtualQuery!
> Обрыганское, совершенно конченное строение бинарников
Вот в линуксе другое дело - в эльфах есть сегменты и секции, на секции лоадеру насрать, но тем не менее большинство файлов их с собой таскают. Эльфы грузит как бы ядро, но это пока эльфы не с динамической линковкой. В этом случае эльфы грузит (и заново парсит, блять) как бы ld, но как бы не всегда. А формат как бы ОТКРЫТЫЙ и документированный, но сплошь и рядом objdump -d показывает хуй, а readelf так и вообще сегфолт.
> обратная совместимость с никому не нужным говном мамонта
Вот в линуксе другое дело - чтобы скопировать с машины на машину программу, нужно просто взять исходники и скомпилировать программу на целевой машине. Ой, попутно еще поставить перл для мэйка, графические либы для перла, ффмпег для графических либ, иксы для ффмпега... ой, вот уже и гном на машине завелся. А по-другому никак, совместимость ведь не нужна, в глибц опять поправили оформление кода и бампнули версию - пересобирай свои хелловорлды, тебе заняться нечем. А хочешь ебаться по-особому - попробуй линковаться статически, тебе обязательно понравится!
Ну вот, например, я пишу на сишке больше 15 лет, но до сих пор не помню порядок количеств и размеров в calloc() и fread(). И ведь это всего лишь сишка, где в стандартной либе полторы функции.
А зачем? IDE подскажет. Они без неё даже Hello World без ошибок не напишут.
Хочешь заниматься вирусной аналитикой - грызи винду и желательно х86 архитектуру.
Хочешь заниматься встроенными системами, мобайл, интернетом вещей - грызи Линукс и желательно ARM архитектуру вдовесок.
Для каждой ОС есть своя область применения. Винда вечно будет популярна среди обычных юзеров, ибо это GUI oriented ОС, и 90% вирусов будет писаться именно под винду. Линукс же всегда будет доминировать на серверах и в мобилах+имбэддэд.
Точно также и со срачем х86 и ARM. Будем откровенными, ARM никогда не догонит х86 по производительности, а х86 не станет никогда такой же энергоэффективной, как ARM.
Два абсолютно разных, несовместимых друг с другом рынка.
По-моему базовая либа си последнего стандарта, независимо от компилятора в себе только хедеров штук 20 несёт. А в GCC так вообще сразу ставится glibc с тысячами функций не считая алиасов
Ну я преувеличил, конечно, но в стандартной либе математика в основном, и еще wide-функции. А "обычных" часто используемых функций не так уж и много. И все это меркнет в сравнении с крестами или какой-нибудь джавой, которую, кажется, никто полностью не знает.
А ты сидел и ботал все это? Ну и лох, иде и гугл все подскажет если надо будет. Гораздо важнее запоминать технологии, как писать код можно, а как нельзя и другие фундаментальные вещи.
Вирусный аналитик должен знать и то и другое. Сидя на одной ОС далеко не уедешь.
https://www.oreans.com/codevirtualizer.php
Где почитать не знаю, погугли llvm.
>гораздо важнее
Разве что если ты джун-макака в ООО "Вазгенян Мессенджер" и не хочешь получить пизды от амбициозного тимлидера Заура Камазовича.
Только, в таком случае непонятно что ты забыл а этом треде
С++ уже наизусть весь выучил? Несешь хуйню. Я никогда в жизни не учил питон, яву и шарп, но если что-то нужно написать на этих яп, то беру и пишу без задней мысли с помощью доков. Зачем мне учить все это объясни пожалуйста. Еще раз повторяю, гораздо важнее ботать технологии, а не сам яп.
А потом
>Сап двач чё за хуйня с этой виндой тупой блин нихуя не понимаю почему мой 2 мегабайтный софт крашит систему
Сам себе противоречишь.
Какой толк с дампа, если код виртуализован? Да хотя бы если он просто расшифровывается перед выполнением и шифруется после? Ты должен предполагать, что виртуальное адресное пространство и системные вызовы полностью под контролем реверсера, а всякую антиотладку прикручивать лишь для того, чтобы киддисам не скучно было.
>>394066
Да, есть разница. Для int 20h CS должен указывать на PSP, а еще ты не можешь вернуть статус в ОС.
>>394211
> хочется по x64
LMGTFY: https://wiki.osdev.org/Entering_Long_Mode_Directly
Удачи с рисованием на экране без прерываний, в защищенном режиме и без малейшего понимания основ.
Спасибо. В визуал студио по аналогии можно такое линкером наколдовать наверное. Есть умельцы итт?
Еще интересует сборка TLS без использования CRT, такое возможно вообще?
Думаю ты прав. Можешь посоветовать что в приоритете, на что в первую очередь стоит обратить внимание? Виртуализация? На данный момент имею:
Обычный pe-лодырь, как вот тут: https://kaimi.io/2012/09/pe-packer-step-by-step-1/
Антиотладочные трюки из книги The_Ultimate_Anti-Reversing_Reference 2011 года. Не знаю зачем тратил на это время, абсолютно все обходится плагином Scylla Hide. И парочку трюков с гитхабов/блогов.
Убрал все лишние зависимости, все возможные вызовы апи заменил сискалами. Что дальше делать не знаю.
>Думаю ты прав. Можешь посоветовать что в приоритете, на что в первую очередь стоит обратить внимание? Виртуализация?
Накидайте мануалов по виртуализации кода. Я написал простую VM и ассемблер нескольких инструкций для нее, но дальше не знаю, что делать. Хочу запилить йоба-криптор.
>Но как вообще можно предотвратить дамп?
Рискну предположить, что нужно пидорасить хэдеры и код распаковщика/декриптора перез передачей управления защищаемой программе. Естессно, это можно зареверсить и дампнуть в момент, когда образ загружен, но хэдеры еще не пидорнуты. Тут в бой вступает антиотладка, обфускация и тд
__declspec(naked) void Shellcode()
{
__asm
{
pushad
call DeltaOffset
DeltaOffset:
pop ebp
sub ebp, offset DeltaOffset
lea eax, [ebp + dllPath]
push eax
mov eax, 0xEEEEEEEE
call eax
popad
push 0xEEEEEEEE
retn
dllPath:
__emit('C')
__emit(':')
__emit('\\')
__emit('\\')
}
}
__declspec(naked) void Shellcode()
{
__asm
{
pushad
call DeltaOffset
DeltaOffset:
pop ebp
sub ebp, offset DeltaOffset
lea eax, [ebp + dllPath]
push eax
mov eax, 0xEEEEEEEE
call eax
popad
push 0xEEEEEEEE
retn
dllPath:
__emit('C')
__emit(':')
__emit('\\')
__emit('\\')
}
}
Попробую сделать макрос #define b(byte) __asm __emit
Не знаю, будет ли работать вложенная инструкция __asm внутри другого блока __asm
struct FileInfo
{
....HANDLE hFile;
....HANDLE hMapping;
....LPBYTE hView;
....DWORD dwFileSize;
};
Функция открытия файла возвращает эту структуру. Если hFile == INVALID_HANDLE_VALUE, бросать исключение или возвращать пустую структуру?
Поделитесь своими вкусами и мнениями об исключениях в лоу-лвл коденке. Нужны ли они или лучше писать goto cleanup как писали деды?
1280x720, 1:18
https://www.youtube.com/watch?v=tGFOvuOxwuU
Написал крутую прогу, которая сишнику даже не приснится.
Подтерся твоей прогой и пошел спать, завтра продолжать строить реальные решения для бизнеса, чем заниматься ассемблированием своего очка.
> В визуал студио по аналогии можно такое линкером наколдовать наверное
Сложно. Вероятно, нужно слинковаться с old-style импорт-либой или с либой, включающей в себя old-style импорт. Других идей у меня нет.
> TLS без использования CRT, такое возможно вообще?
Да, гугли магический символ __tls_used.
>>394315
>>394445
Никогда не писал протекторы, но как бы бери llvm ir, или бери capstone и дизассемблируй, превращай инструкции в инструкции своей вм, все в твоих руках. Алсо, погугли мануалы и сдк коммерческих протекторов. Например, как там вызовами функций протектора "размечается" защищаемая функция.
>>394509
> пидорасить хэдеры
Любые хедеры можно пересоздать с нуля. Например, распакованный регион адресного пространства сдампить одним куском и сделать одной секцией. Да и много ты не напортишь. Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.
>>394577
> во встроенном ассемблере
Нинужно, ниподдерживается, делай отдельный асм-файл.
>>394602
> ....HANDLE hFile;
> ....HANDLE hMapping;
Нинужно. Можно закрывать оба сразу же, как только создал вью.
> заражении файла
Репорт за малварь.
>>394623
Да, ничего плохого в goto в данном случае нет.
>>394653
> Исключения нужны, без них никак
Как это никак? setjmp лол.
> В визуал студио по аналогии можно такое линкером наколдовать наверное
Сложно. Вероятно, нужно слинковаться с old-style импорт-либой или с либой, включающей в себя old-style импорт. Других идей у меня нет.
> TLS без использования CRT, такое возможно вообще?
Да, гугли магический символ __tls_used.
>>394315
>>394445
Никогда не писал протекторы, но как бы бери llvm ir, или бери capstone и дизассемблируй, превращай инструкции в инструкции своей вм, все в твоих руках. Алсо, погугли мануалы и сдк коммерческих протекторов. Например, как там вызовами функций протектора "размечается" защищаемая функция.
>>394509
> пидорасить хэдеры
Любые хедеры можно пересоздать с нуля. Например, распакованный регион адресного пространства сдампить одним куском и сделать одной секцией. Да и много ты не напортишь. Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.
>>394577
> во встроенном ассемблере
Нинужно, ниподдерживается, делай отдельный асм-файл.
>>394602
> ....HANDLE hFile;
> ....HANDLE hMapping;
Нинужно. Можно закрывать оба сразу же, как только создал вью.
> заражении файла
Репорт за малварь.
>>394623
Да, ничего плохого в goto в данном случае нет.
>>394653
> Исключения нужны, без них никак
Как это никак? setjmp лол.
>Любые хедеры можно пересоздать с нуля.
А если пидорасить ОЕР еще при упаковке и восстанавливать в TLS коллбэке и потом еще пидорасить CRT startup в отдельном треде после запуска?
>Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.
Так речь же идет об упаковщике, как я понял. Распаковщик берет на себя задачи системного лоадера же. Он же может и пидорасить что нибудь после того, как отработает, не?
Ну речь же о протекторе, в продакшне то софтина может и подписываться будет.
> Он же может и пидорасить что нибудь после того, как отработает, не?
Разве что импорты, но (в простом варианте) IAT все равно останется, и останется одним куском, любой дампер импорты восстановит. Экспорты окончательно ломать нельзя: другая длл сделает GetProcAddress(GetModuleHandle("твоя_dll_или_exe"), "func"), а экспорты распидорашены. Ресурсы ломать нельзя: ты сам делаешь DialogBoxParam, а ресурсы распидорашены. Это все решаемо, конечно.
> CRT startup
По-моему, Themida раньше так делала. Да и вообще, можно просто взять у нее чеклист: https://www.oreans.com/winlicense_features.php
Можно хоть весь хэдер затереть, если он не будет использоваться, сохранять его в каком-нибудь месте и восстанавливать по-надобности.
>>394830
Что за бред? Секция TLS ни о чем не говорит, это стандартная фича винды, ею пользуются почти все продвинутые десктоп приложения.
Вообщем анон выше прав, трюки все эти хорошо, но если вместо кода будет мусор, на разбор которого уйдет месяцок другой, вот это будет действительно неприятно ковырять крэкеру.
Ой блять, реальное решение для бизнеса у него, у меня вот сейчас реально реальное решение для бизнеса. Высокоуровневые просто обосрутся от такой задачи, она простая но они обосрутся. А если не обосрутся, то всё будет дико тормозить.
Но мой пост был не о этом. А о том что ассемблер нужно !обуздать!. Ассемблер не хочет чтобы его изучали, он хочет работать.
В результате моих действий, в конце-концов, пострадают плохие люди, плохие иженеры(и не иженеры вовсе). Которые сейчас потирают свои грязные ручёнки в ожидании большого(огромного) куша от моей конторы, но скоро им прийдёт сообщение: в ваших услугах не нуждаемся. Ниже я опишу что такое плохой инженер.
Плохой инженер не делает технику, не ремонтирует технику. Плохой инженер занижает цену на ремонт, потому что он, сука хитрая, просчитал что ему выгоднее из 10 аппаратов сделать 3 с очень лёгкой поломкой, а к остальным найти отмазку вроде Ремонту не подлежит.
СУКА, КАКЖЕ Я НЕНАВИЖУ ЭТИХ ПИДАРЮГ.
И сейчас эти пидары потюрают свои ручёнки, ага блять.. нашли спасательную ниточку в период кризиса, который они же и создали. Соснут хуйца, нехуй было меня злить.
Ахаха, всегда знал что реверсачеры поехавшие.
>Плохой инженер занижает цену на ремонт
Но вот тут согласен.
Знание PE формата. Читай "Записки исследователя компьютерных вирусов" Криса
Спасибо аноныч
Найди что-нибудь посовременнее. Книги Криса - классика, но только потому что в те времена другого не было. Эти книги состоят из ошибок, петросянства и базовой информации, в которой автор сам поверхностно разобрался во время написания книги. Читать Криса стоит, надеяться что-то понять, читая только лишь Криса - глупо.
В общем, недавно понял, что я не люблю винду, а люблю линукс, плюс узрел ARM асм краем глаза и он мне понравился. Подумываю вкатиться в это дело как следует.
Хотел спросить знает ли кто-то какие-то хорошие источники почитать/посмотреть. На инглише или русском, желательно офк на инглише. Кроме Linux internals, это и ежу понятно.
В общем, знатоки мобайл секьюрити и имбэдэда, если таковые имеются, закидайте меня годнотой плиз.
Устарели уже как лет 5 если не больше. Но все о чем он писал, знать необходимо.
>В общем, недавно понял, что я не люблю винду, а люблю линукс, плюс узрел ARM асм краем глаза и он мне понравился. Подумываю вкатиться в это дело как следует.
>Хотел спросить знает ли кто-то какие-то хорошие источники почитать/посмотреть. На инглише или русском, желательно офк на инглише. Кроме Linux internals, это и ежу понятно.
>В общем, знатоки мобайл секьюрити и имбэдэда, если таковые имеются, закидайте меня годнотой плиз.
Проблема арма в том что он наглухо проприетарно огорожен и в большинстве своих реализаций, из исключений разве что школомалина да микроконтроллеры на Cortex M. Кроме того арм очень многое не прощает в многопоточности что прокатывает на шинтеле по причине отсутсвия инвалидации кеша по умолчанию. SIMD там по прежнему с заебами "перед использованием включить те и те флаги и не забыть сохранить" аля MMX/3DNow.
> Как пользоваться сэмплами на арм асме из книги Юричева? Чем компилить сорцы под виндой?
https://developer.arm.com/tools-and-software/open-source-software/developer-tools/gnu-toolchain/gnu-rm/downloads
> Проблема арма в том что он наглухо проприетарно огорожен
Это не более-менее решаемая проблема. Чаще всего можно нарыть мануалы, а то и целые сдк у китайцев. Часто производители SoC закупают IP у одного и того же разработчика (тот же Synopsys DesignWare например), и поэтому можно использовать чужие мануалы, ну и в крайнем случае, можно худо-бедно отреверсить интересующие вещи.
Ну вот смотри. Вся адресация очень простая: в GOT при загрузке кладутся правильные (абсолютные) адреса всякой хуйни, ты знаешь офсет GOT относительно своего кода (при линковке впатчивается линкером), но ты не знаешь, куда именно загрузили твой код. И ты идешь с конца: читаешь из PC адрес кода, вычисляешь относительно этого адреса адрес GOT, читаешь из нужного элемента GOT абсолютный адрес данных, работаешь с этими данными по этому адресу.
По 004D9E14 вычисляется абсолютный адрес GOT: PC + офсет. Не забывай, что инструкции, читающие PC, получают не адрес текущей инструкции, а адрес текущей инструкции + 8, потому что конвейер, потому что ARM. Т.е., чтобы посчитать адрес GOT относительно PC, наш офсет должен быть равен $_GLOBAL_OFFSET_TABLE_ - (0x4D9E14 + 8), мы его берем из R8, а положили его туда по по 004D9E04 (сравни - офсет правильный). В результате после выполнения R8 = PC + R8, в R8 у тебя адрес GOT.
Дальше по 004D9E10 в R3 грузится смещение нужного элемента относительно начала GOT, в котором IDA облажалась (как обычно). Тыкни H по этому литералу, чтобы увидеть просто число, потом тыкни Ctrl+R по нему же (если ничего не произойдет - сходи в конец функции и поищи этот литерал там). В диалоге Reference information пересчитай адрес относительно GOT: type=32-bit full offset, base address = $_GLOBAL_OFFSET_TABLE_ (или адрес GOT числом напиши), галки снять, target address = 0xFFFFFFFF. После этого во втором операнде LDR ты должен заметить правильное имя переменной (имя_ptr). Если видишь что-то типа "dword_abcd - $_GLOBAL_OFFSET_TABLE_" или "off_abcd - $_GLOBAL_OFFSET_TABLE_ " - Enter по имени, и переименовываешь вот это говно_abcd в имя_ptr, т.е., чтобы оно выглядело как имя_ptr dcd имя.
Ну и дальше. По 004D9E28 R3 (офсет в GOT) сохраняется на стеке (компилятор - говно). Дальше по 004D9E7C он обратно читается в R12. Т.е., в R8 GOT, в R12 офсет внутрь GOT, значит по 004D9E90 в R10 из GOT (R8 + R12) читается адрес переменной. Ну а следующие две инструкции пишут по этому адресу и еще рядом. Ну и раз это называется screen size, то очевидно это структура из width и height, тыкаешь Enter на k_screenSize, Alt+Q, все дела.
Ну вот смотри. Вся адресация очень простая: в GOT при загрузке кладутся правильные (абсолютные) адреса всякой хуйни, ты знаешь офсет GOT относительно своего кода (при линковке впатчивается линкером), но ты не знаешь, куда именно загрузили твой код. И ты идешь с конца: читаешь из PC адрес кода, вычисляешь относительно этого адреса адрес GOT, читаешь из нужного элемента GOT абсолютный адрес данных, работаешь с этими данными по этому адресу.
По 004D9E14 вычисляется абсолютный адрес GOT: PC + офсет. Не забывай, что инструкции, читающие PC, получают не адрес текущей инструкции, а адрес текущей инструкции + 8, потому что конвейер, потому что ARM. Т.е., чтобы посчитать адрес GOT относительно PC, наш офсет должен быть равен $_GLOBAL_OFFSET_TABLE_ - (0x4D9E14 + 8), мы его берем из R8, а положили его туда по по 004D9E04 (сравни - офсет правильный). В результате после выполнения R8 = PC + R8, в R8 у тебя адрес GOT.
Дальше по 004D9E10 в R3 грузится смещение нужного элемента относительно начала GOT, в котором IDA облажалась (как обычно). Тыкни H по этому литералу, чтобы увидеть просто число, потом тыкни Ctrl+R по нему же (если ничего не произойдет - сходи в конец функции и поищи этот литерал там). В диалоге Reference information пересчитай адрес относительно GOT: type=32-bit full offset, base address = $_GLOBAL_OFFSET_TABLE_ (или адрес GOT числом напиши), галки снять, target address = 0xFFFFFFFF. После этого во втором операнде LDR ты должен заметить правильное имя переменной (имя_ptr). Если видишь что-то типа "dword_abcd - $_GLOBAL_OFFSET_TABLE_" или "off_abcd - $_GLOBAL_OFFSET_TABLE_ " - Enter по имени, и переименовываешь вот это говно_abcd в имя_ptr, т.е., чтобы оно выглядело как имя_ptr dcd имя.
Ну и дальше. По 004D9E28 R3 (офсет в GOT) сохраняется на стеке (компилятор - говно). Дальше по 004D9E7C он обратно читается в R12. Т.е., в R8 GOT, в R12 офсет внутрь GOT, значит по 004D9E90 в R10 из GOT (R8 + R12) читается адрес переменной. Ну а следующие две инструкции пишут по этому адресу и еще рядом. Ну и раз это называется screen size, то очевидно это структура из width и height, тыкаешь Enter на k_screenSize, Alt+Q, все дела.
Крис Касперски тоже дает много теории, а практики у него нет. Он не показывает, как строятся таблицы, как происходит поиск в них и как обрабатываются составляющие части инструкции. Но излагает он более понятно.
Черт, гениально. После настройки в Reference information пойнтер сам обозначился именем, гайд однозначно золотой. А про width и height мне известно. Спасибо за столь развернутый ответ, однозначно сохраню его.
Ну короч берешь Intel SDM, там в конце 2 тома таблицы есть. Ты их копипастишь, разбираешь условные обозначения, разбираешь формат инструкций (в начале 2 тома) - получаешь дизассемблер. На недовасме поищи "Заклинание кода".
Я хочу научиться писать оптимизированные алгоритмы, а не те, которые писал Зомби при помощи огромного switch case http://www.rohitab.com/discuss/topic/36031-defs-lde/
>Заклинание кода
"У буквы "заин" долгая и богатая история. Многие поколения магов пытались определить, в чем заключается ее сокровенный смысл. Некоторые утвеждали, что она несет врагам смерть и страдания от разящего клинка, иные указывали на ее форму и говорили, что этот разящий клинок применим далеко не всегда и не везде, а только в некоторых, хотя и весьма ответственных операциях. "
Хорошее начало дизассемблирования, лол
Нормально. Я прям чувствую его фанатизм. Не в пример двачерам.
Краткий гайд.
1. Делаешь запрос в гугле а не на дваче
fastest disassembler library
2. git clone...
3. Копаешься в тысячах строк кода сколько тебе угодно
4. Понимаешь, что лучше ничего придумать нельзя, одному уж точно
5. Пользуешься готовыми решениями и не выебываешься.
> Пользуешься готовыми решениями
Капстоун нельзя назвать быстрым и тем более компактным решением. Медиана не поддерживается. Что-то другое подскажешь?
> лучше ничего придумать нельзя
Расскажи это авторам вирусов из 90х, у которых дизассемблер длин с таблицами занимал полкило.
загляни в гит эмулятора https://github.com/Ryujinx/Ryujinx красиво и просто написан на шарпе. сделаны таблицы для опкодов и т.д.
>Крис дважды по заданию шерифа участвовал в платных боевых операциях по задержанию бандитских группировок. В первой операции четверо ребят вместе с ним, не служивших в армии, брали банду из шести вооруженных человек. Крису пришлось первый раз в жизни, по необходимости, стрелять в человека. Все шестеро были задержаны.
Истории уровня /b какие-то..
Хотя я конечно могу и ошибаться.
новостных порталах аля наш XAKEP. Что за пиздец? У них такое законом не запрещено?
разрабатывать малварь не запрещено законом, запрещено распространять с целью порчи/кражи данных.
можно линки на блоги?
>У них такое законом не запрещено?
Так они же буржуйские программы вскрывают. За вскрытие программы из КНР их будет ждать что похуже побольше, чем бутылка.
есть сэмл app. any.run/tasks/d55 93b4d -1911- 4d4f-b60d-6eff182efd9b уберите пробелы
Накрыт KoiVM+confuser
Чем вскрывать и как?никаких идей
На tuts4you 1.5 упоминания и то вскользь
dnspy, ded4dot, любой анпакер для кофусера с гитхаба.
В чем проблема-то? Ты дебагером пользоваться умеешь?
де4дот вообще говно ебанное и виртуализацию не осилит
в днспае его нормально не выходит продебажить
Если ты не можешь .net-помойку дебажить, то у меня для тебя плохие новости. Кроме того, зачем тебе девиртуализировать приложение? У тебя задача какая?
Книга нравится, кроме ассемблера рассказывает подробно про процессор. Поэтому другую читать нехочется. Остальные мне показались слабенькими. Может я не прав и есть крутые книги?
Спасибо, но это виндовая утилита, а у меня линукс. Там сплошные батники и экзешники.
>нахой юзать бесплатную кастрированную айду
Действительно, нахой? Есть же торрент.
Кстати, пароль от архива с 7.2 ещё не слили?
>с таким же функционалом
В голосину.
fasm мощнее, nasm больше подходит для линукса, поддерживает привычную отладочную информацию без костылей.
спасибо
Прохожу тут курсик по radare2 (да, я вижу по шапке, что он тут не в почёте, но мой вопрос не совсем по нему) - https://github.com/s4n7h0/Practical-Reverse-Engineering-using-Radare2
Там всё на элементарном уровне освоения команд, но вот с пятой лабой янихуянепонел. Задание "найти шелкод и понять что он делает". Ну символ obj.shellcode я вижу. Опкоды по нему парсятся в какое-то говно непонятное - https://pastebin.com/cZxZtJUt
ЧЯДНТ?
Спасибо!
сссука всё-таки дело в радаре оказалось...
"e bin.strings=false" сделал, конечно строковые константы при этом отвалились. Как реинтерпретировать конкретные байты так и не ясно.
Мне на С/C++ либа нужна. Есть годные?
Берешь иду, видишь свою "строку", выбираешь ее мышью или стрелками, нажимаешь на клавиатуре C, профит. Берешь r2, нажимаешь кучу кнопочек, чтобы попасть в visual mode, куда-то все же попадаешь, теряешься в набегающих домиках и гей-параде из разноцветного ASCII-арта и цифр, но героически нажимаешь D C, тоже профит (или нет?).
Да, действительно. Хотя ни в одном cheat-sheet или quick start это не упоминалось, да и не трогал я этот visual mode.
За пол дня конечно хер столько команд и опций запомнить.
Аноны, пишу драйвер, использую стороннюю либу при инициализации, далее ею не пользуюсь, а весит она знатно, аж целый метр. В обычном приложении подгружаю длл по-надобности, потом выгружаю. В ядре как эти дела делаются? Неужели придется отдельный драйвер пилить, его дергать и потом выгружать?
Матросов годно шарит, он Intel BootGuard сломал пару лет назад. За остальных не скажу.
Эсдек плз.
Хочу научиться писать скрипты в айде для автоматизации статического анализа, слышал годная тема, особенно, если прога обфусцирована или же просто слишком грузная для ручной суходрочки.
Посоветуете что почитать или посмотреть. До этого писал скрипты только на баше, но всё же более или менее базовые.
> что почитать
1) Любую книгу по питону.
2) idaapi.py/idc.py/idautils.py
3) Исходники проектов типа flare.
Это просто чтобы научиться писать скрипты хоть как-нибудь. Плюс теория. По теории не подскажу.
> AT&T кажется логичней
А тебе не кажется нелогичным, что под все остальные архитектуры, кроме интел, у gas сразу же, по умолчанию нормальный порядок операндов?
Судя по твоему набору слов, ты понятия не имеешь что делаешь. Учи архитектуру ОС. Где ты вообще этот баянистый способ реализации руткита вычитал? Ему больше 20 лет.
> Судя по твоему набору слов, ты понятия не имеешь что делаешь.
Как минимум общее представление имею, просто с конкретно такой задачей впервые столкнулся.
> Учи архитектуру ОС.
Пустые понты кидать не хочу, поэтому скажу, что в целом в курсе, могу не знать каких-то тонких деталей, необходимых для данного случая.
> Где ты вообще этот баянистый способ реализации руткита вычитал? Ему больше 20 лет.
Который именно? В интернете, само собой. Если кинешь ссылку на что-то более актуальное - буду благодарен.
> Как ОС работает с dll/so в винде/линуксе при загрузке в процесс в случае системных либ типа kernel32.dll и пользовательских типа libmylib.so? Она создает копию либы в виртуальном пространстве процесса или создает отдельный процесс под эту либу (какой нибудь dllhost.exe/svchost.exe) и пользовательские процессы просто напрямую смотрят туда?
Первое, только не копию, а отображение с коровой (COW). Это если очень по-простому. В линуксе нет "системных" либ, в винде это только ntdll.dll (kernel32.dll нужна только Win32 процессам).
> Если два процесса импортируют одну и ту же либу, если один процесс в ней сделает детур на свой код, то повлияет ли это на второй процесс?
Опять же COW, иначе каждый мамкин хакер загружал бы в память OpenSSL и отключал бы шифрование во всей системе.
Прочитал про copy on write. А если у либы есть состояние и она сама в себя пишет при вызове определенной функции, чтобы его изменить. Что произойдет, если процесс А вызовет эту функцию? Изменение состояния либы будет заметно в процессе Б, использующем эту же либу? И еще, если ОС копирует в VM процесса либу во время первой записи, то эта либа как то хостится ОСью? Для этого есть какие нибудь системные процессы, или это где то в кишках ОС зарыто и из пользовательского пространства до туда не добраться?
С линуксами вроде понял. При загрузке процесса делается мемори мап на исполняемую и readonly секции shared object'а с дальнейшим копированием в VM space процесса при записи благодаря CoW, а writable-секции так и вовсе при запуске копируются в адресное пространство запускаемого процесса если верить гуру с stackoverflow. А что с видновсами? Я в эльфе не шарю, но вот в РЕ знаю, что file alignment и virtual alignment могут быть (и КМК, почти всегда) разные, там так просто файл не замапишь. Что в винде то происходит?
> Что в винде то происходит?
Да плюс на минус то же самое, с другими названиями и реализациями. В теории и архитектуре ОСей последние лет так 30 если не 50 никаких существенных изменений не происходило, и старый добрый Таненбаум до сих пор прекрасно все описывает. Совершенствуются конкретные механизмы, да - за ними тебе к Руссиновичу и в исходники ReactOS.
что за протектор для дотнета?NB2.Properties(особо в них не шарю,извините)
в гугле пусто
> в винде это только ntdll.dll (kernel32.dll нужна только Win32 процессам).
Кстати ntdll.dll не грузится в пико процессы.
Гугли cплайсинг.
>>403748
У тебя задача какая? Ты хочешь узнать можно ли похукать все глобально? Можно, но без танцев с бубнами не обойтись.
>>403765
>только ntdll.dll
Если процесс wow64, то еще 4 либы сверху, насколько я помню.
>>403928
IDA Skins гугли.
>>403916
Выглядит как обычный конфусер. Гугли de4dot.
А ты думал тебе чистенький сурс вытащат? Нет таких инструментов. Вообще пиздуйте в C# тред со своими кофусерами, заебали срать здесь высокоуровневой парашей.
Ну тогда в PHP-тред, там даже кнопку ответа не найдут.
Не совсем понял, о чем ты конкретно. Нарисовал бы пример что ли.
> страница с данными может быть в разных местах памяти
Таблица страниц.
> адрес данных будет меняться от загрузки к загрузке
Вместе с адресом кода. RIP-relative адресация, редко (гораздо реже, чем в 32-битном режиме) таблица поправок.
Ну вот например.
data: dd 123456789h
...
mov rax , [data]
Место данных data в памяти определяется во время загрузки, а immediate-аргумент команды mov ([data] - некоторый адрес) фиксирован (при трансляции, видимо).
Какая оптимизация? Ты уверен, что хорошо понимаешь, как действуеет ассемблер, и для чего он применяется?
Сосут по сравнению с чем? И что в них такого нового появилось за последние 30 лет?
>>405152
Ну вот, оно сассемблируется с ошибками, потому что ты кладешь дворд в rax, а еще потому что 123456789h не влезает в dd с вычислением адреса относительно адреса следующей инструкции, т.е. будет:
mov rax,[rip+(data-next_instruction)]
next_instruction:
...
data dq 123456789h
Вот если бы у тебя положение секции данных менялось относительно кода, то при загрузке пришлось бы патчить адреса.
>>405177
У асмов есть оптимизация. Например, можно воткнуть длинный jmp, а можно короткий. Это работает. Остальную оптимизацию делает приставка к клавиатуре.
Ну говорят, что компиляторы С/С++ сейчас оптимизированы гораздо лучше АСМовских.
А есть какой-нибудь кроссплатформенный ассемблер и бесплатный, но чтобы быстро было?
А есть какой-нибудь кроссплатформенный машинный код?
Или кроссплатформенность начинается только с АСМа?
>относительно адреса следующей инструкции
То есть абсолютных адресов в immediate-аргументах не бывает?
>Вот если бы у тебя положение секции данных менялось относительно кода
А что если они загружаются (или даже транслируются) по отдельности? Что, вообще с раздельной сборкой?
>патчить адреса
Как это делается?
Кстати адресация в immediate-аргументах в виде (сегментный регистр + immediate-смещение) имеет смысл в Long mode?
>кроссплатформенный машинный код
Сухая вода? Выбери одно или машинно-специфичный язык (машинный код) или код не зависящий от платформы ('машины').
> То есть абсолютных адресов в immediate-аргументах не бывает?
Ну хватит уже это immediate называть. immediate - это значение, которое ты непосредственно используешь для чего-то, константа, число (в mov eax,1 единица - просто число), поэтому оно immediate и называется. А ты говоришь про офсеты.
Бывают абсолютные адреса. Эффективная адресация осталась, ты можешь не использовать в ней scale/index/base, оставив только 32-битное смещение, тем самым получив абсолютный адрес в пределах первых 4 гб. Алсо, есть mov rax с 64-битным офсетом (да, только для rax).
> А что если они загружаются (или даже транслируются) по отдельности?
Линкер, когда занимается связаванием (link) символов, как раз патчит все ссылки на символ так, как будет в памяти.
> Как это делается?
Ну формируется список адресов (у линкера или если мы про рантайм - то в исполняемый файл кладется) и типов поправок (ну где относительный адрес, где абсолютный, где только кусок какой-нибудь, там дохуя вариантов, особенно для некоторых особо хитровыебанных процессоров). Ну и код (линкер или загрузчик) идет по списку и что-то делает в зависимости от типа. Например, в 32-битном коде для mov eax,[data] линкер положит в инструкцию правильный адрес data, а если у нас дллка виндовая, которая загружена не по своему предпочтительному адресу, то загрузчик прибавит к адресу data внутри инструкции разницу между предпочтительным адресом загрузки дллки и фактическим. Ну это самые простые примеры.
>>405209
> сегментный регистр +
Для fs/gs сохранилась более-менее, для остальных сегментных регистров база из дескриптора не учитывается и считается равной нулю.
>>405232
Считать ли x86-код кроссплатформенным, если его раньше всякие трансметы микрокодом выполняли?
> есть mov rax с 64-битным офсетом (да, только для rax)
В смысле, для al/ax/eax/rax, и, конечно же, не только в регистр, но и обратно, из регистра в память.
И ведь никто не помог! Решение: поместить либу в отдельную секцию и пометить ее как сбрасываемую. После инициализации драйвера, загрузчик винды сам её выгрузит.
>Ну хватит уже это immediate называть.
Извините ещё раз за корявость формулировок. Ты прав. Это называется "смещение в команде".
>Линкер, когда занимается связаванием (link) символов, как раз патчит все ссылки на символ так, как будет в памяти.
А если без линкера? Что в случае сборки в бинарный файл?
>Считать ли x86-код кроссплатформенным, если его раньше всякие трансметы микрокодом выполняли?
Думаю, сейчас нет. Машинные инструкции и сейчас в микрокод транслируется процессором. Но ведь программисту микрокоды недоступны. И машинный язык однозначно определён архитектурой ЦП. Нет тут кросплатформенности (в нынешних x86 процессорах).
> А если без линкера? Что в случае сборки в бинарный файл?
Не понял вопроса. Если у тебя ассемблер, нет секций и бинарник на выходе (допустим, fasm и format binary), то ассемблер все равно делает то же самое, что и линкер внутри себя, когда назначает адреса меткам и впатчивает эти адреса в инструкции.
> Но ведь программисту микрокоды недоступны
Это пока процессор не твой собственный. Берешь, значит, много-много баксов и подходящую по размеру FPGA... Хотя вообще-то я пошутил.
> И машинный язык однозначно определён архитектурой ЦП
Набор команд в x86 уже давно имеет мало отношения к архитектуре, это просто абстрактная хрень, которая живет лишь из-за необходимости поддерживать совместимость.
>Сухая вода?
https://ru.wikipedia.org/wiki/Novec_1230
Я всё понимаю, но разве нельзя сделать такую штуку, которая будет некоторые кроссплатформенные команды перефигачивать под конкретное железо и ОС?
Полно их.
Только тут разница в низкоуровневом программировании, ниже, чем у АСМа.
Len1 db ?
Opnd1 db 12 dup( ? )
Buf2 db 11
Len2 db ?
Opnd2 db 12 dup( ? )
Res db 12 dup(' '),'$'
codeseg
startupcode
push DS
pop ES
BEGIN:
;Ввод первого слагаемого
B1:
lea DX, Buf1
mov AH, 0Ah
int 21h
cmp Len1, 0
je B1
Помохите пожалуйста.
Переписываю потихонечку чужой код и не могу понять для чего тут Len1. Точнее я знаю, он туда засунет в последствии кол-во символов в строке.
Но что означает это?
cmp Len1, 0
je B1
Зачем сравнивать Len1 с нулём, и в случае равенства или нуля переходить обратно на начало?
Что это за колдунство?
В лен1 же нихуя нет.
Зачем он сравнивает?
Len1 db ?
Opnd1 db 12 dup( ? )
Buf2 db 11
Len2 db ?
Opnd2 db 12 dup( ? )
Res db 12 dup(' '),'$'
codeseg
startupcode
push DS
pop ES
BEGIN:
;Ввод первого слагаемого
B1:
lea DX, Buf1
mov AH, 0Ah
int 21h
cmp Len1, 0
je B1
Помохите пожалуйста.
Переписываю потихонечку чужой код и не могу понять для чего тут Len1. Точнее я знаю, он туда засунет в последствии кол-во символов в строке.
Но что означает это?
cmp Len1, 0
je B1
Зачем сравнивать Len1 с нулём, и в случае равенства или нуля переходить обратно на начало?
Что это за колдунство?
В лен1 же нихуя нет.
Зачем он сравнивает?
> Зачем он сравнивает?
Ну видимо чтобы запросить ввод повторно, если юзер просто нажал Enter.
>>405296
> А сейчас на микрокоде писать нельзя проги?
У интела микрокод не документирован, обновления зашифрованы. Максимум, что есть - это статьи про какой-то очень древний AMD, у которого микрокод еще шел без шифрования.
>>405302
> Так покажи примерчик хоть.
mov ah,09h
imov dx,_text
int 21h
int 20h
_text db 'Content-Type: text/plain',13,10,13,10,'Hello, world!$'
У Нвидиа свои языки, у АМД свои.
Модели видях ещё новые нужны для новых языков.
Херня какая-то.
> Ну видимо чтобы запросить ввод повторно, если юзер просто нажал Enter.
Пасиба. Понял. А если буковку ввести? Он сожрёт и пропустит дальше по коду?
А если буковку ввести, то во втором байте буфера, т.е., в Len1 уже не будет 0 (а будет 1, например), сравнение не выставит ZF, je не сработает.
ты глупый?
Речь идёт о программировании на машкоде, а не о перегоне в него из других языков, улавливаешь?
Так что твой АСМовский сервак ничем не особо не отличается от сервака на Раби. Только побыстрее работает в десятки раз и всё.
Для GPU ASM какой есть универсальный?
Лучше тогда C/C++ взять, а GPU хуярить на универсальном OpenCL.
Современные писатели на АСМ сосут, это правда.
Нет, не улавливаю. Хочешь - бери таблицу опкодов и пиши, только кроме кучи дополнительной ебли это ничем не будет отличаться от использования ассемблера. Никаких дополнительных преимуществ, ничего такого, что нельзя с точностью до бита воспроизвести из ассемблера.
>>405350
> не вижу смысла учить ASM
Не учи, разрешаю.
Стандартная библиотека называется. Ты из какого века вылез-то? У асма никогда не было кроссплатформенности.
Да это не троллинг. Сюда действительно иногда дебилы первокурсники из C/C++ тредов закатываются и начинают тупить. Тут только ОП-хуй который с сагой пишет всегда адекватный.
Тогда почему сразу С/С++ не взять?
Ебли же меньше, а скорость работы сложных программ уже выше, потому что не будешь вручную оптимизировать каждую строчку на АСМе.
Ты кроссассемблирование/кросскомпилляцию с кросплатформенностью (языка машинного) не путаешь?
> Тогда почему сразу С/С++ не взять?
Я для тебя специально пояснил: между машинным кодом и ассемблером разница - только ебля. Между ассемблером и более высокоуровенвым языком разница в огромном количестве возможностей и полным контролем над кодом. Ну почти. В ассемблерах обычно ты не можешь выбирать из разных вариантов кодирования одной и той же инструкции, но ты всегда можешь написать под это макрос, если это почему-то важно.
> скорость работы сложных программ уже выше
Зависит только от тебя. Не от компилятора, а от тебя. И нет, причина использования высокоуровневых языков - скорость разработки, а не работы. Модификация оптимизированного ассемблерного кода может закончиться переписыванием с нуля.
> почему сразу С/С++ не взять?
Если ты не пишешь какую-нибудь жестокую математику для SIMD, хитровыебанный JIT, низкоуровневые процедуры для своей ОС типа сохранения/восстановления контектста или обработчика прерывания который все равно выполняет только самую грязную работу, а потом вызывает код на Си - без вариантов стоит брать нормальный высокоуровневый язык, а ассемблер использовать там, где он действительно необходим.
>>405438
> ОП-хуй который с сагой
Я не оп.
>У интела микрокод не документирован, обновления зашифрованы
Зашифрованы чем, универсальным интеловским ключом? Почему тогда до сих пор никто не вытащил из кремния этот ключ электронным микроскопом и не выложил в паблик? Я не верю, что там в каждом камне физическая защита уровня смарткарт на всем УУ.
> Зашифрованы чем, универсальным интеловским ключом
Да, там предполагался 2048-битный RSA. И там несколько блоков под разные семейства с разными ключами:
https://www.dcddcc.com/docs/2014_paper_microcode.pdf
https://www.emsec.ruhr-uni-bochum.de/media/emma/veroeffentlichungen/2017/08/16/usenix17-microcode.pdf
> не вытащил из кремния этот ключ электронным микроскопом и не выложил в паблик
Размер кристалла, техпроцесс. Это тебе не R3051 реверсить.
Ну у того же AMD есть такие возможности точно. Могли бы отреверсить и выложить, чтобы мимокрокодилы там регулярно находили всякие непотребства и опускали Intel. Гораздо дешевле, чем вкладываться в рекламу и всякое такое.
Я так нихуя и не понял.
АСМ зачем нужен, если скорость почти та, что на С, но писать дольше и сложнее?
Если сравнить Питоноговно с этими языками, так он в десятки раз медленней работает, тут всё предельно ясно.
Но вот с выбором АСМ вместо С или плюсов не ясно.
нет.
На АСМе пишут куски кода в системах реального времени и ОС, в кодах вирусов, в софте встроенных систем. На чистом АСМе уже давно не программируют, уже как лет 40 точно.
Уметь читать чистый АСМ нужно реверсерам. Статический анализ = чтение чистого ассемблерного листинга с целью восстановить исходный алгоритм функции/блока кода/всей программы, нужное подчеркнуть. Для чего? Чтобы написать похожую программу, написать кряк для нее, найти дыру в безопасности для тех или иных целей и т.п. Нужное подчеркнуть, как говорится.
Такая ебанина пиздец. Мама я у них поел просто.
Точнее алгоритм перевода в неупакованный bcd у меня есть, вот он. https://pastebin.com/t4Kgs8hY
Но алгоритм не мой, я черт его знает что там происходит.
И умножение я хуй знает как сделать. Умножение через мул как то ниполучаицца.
Там сначала результат залетает в АХ, потом надо аам делать ради (исправления чего-то?), и результаты раскидываются по двум регистрам.
Теперь сразу два регистра выводить?
Йа тупой, арррр.
Он нужен для выполнения специфических задач, где нужен прямой доступ к регистрам, например. Короче с асмом дела обстоят, как в том самом анекдоте: Ньюфаги не знают, олдфаги не помнят.
БАМП!
Он, конечно, троллит, но здравое зерно в этом есть. https://www.slideshare.net/ShaneWilton/one-shellcode-to-rule-them-all Подобные вещи сделать можно, но вот сделать именно программу будут мешать отличия файловых форматов.
> в кодах вирусов
Размечтался. Сейчас вирусы пишут на Node.js и тянут за собой хром с драйвером контроллера xBox.
Ну, если он работает в реальном режиме и загружается с дискеты - нет. А иначе дергать ось тебе таки придется.
А что компилятор не может на себя взять работу с АПИ, чтобы можно было сразу для любой оси писать?
А компиляторов-то и нет. Можешь хоть в хекс-редакторе писать на асме, хотя это и несколько сложновато. Ну, com уж точно можно.
А универсального апи вообще нет. Оно либо не универсальное, либо ограниченное и не позволяет пользоваться всеми возможностями ОС.
Аналогично. Стандартная библиотека не покрывает всего. Хотя странновато, что потоки в нее включили, а получение листинга директории - нет.
тебе оставить?
Не смог найти книги "АСМ для чяйников", она есть?
Легко ли будет вкатиться после Пайтона?
Это ты тупая. Вот он, ассемблер. Деньги можно зарабатывать.
Что за допотопный шлак?
У нас тут
А в чем вопрос-то? У тебя есть два числа, состоящие из BCD-цифр. Берешь и умножаешь цифры в столбик, как в школе. Самый простой метод.
> я черт его знает что там происходит
Ну берутся цифры одну за другой из ввода, приводится ASCII-код к 0..9 (используя тот факт, что '0'...'9' - это 0x30...0x39, поэтому можно просто взять младшие 4 бита), потом это все зачем-то двигается (хотя удобнее и логичнее хранить числа в little-endian, начиная с младшего разряда).
> аам делать ради (исправления чего-то?)
Ну потому что 09h умножить на 02h = 12h не будет валидным неупакованным BCD. И надо отнять и поделить получить две правильные цифры. Можешь это сделать медленнее вручную, через деление на 10, но это займет несколько инструкций, а тебе дали одну удобную, которая сама сделает из 12h = 18 = (18 / 10, 18 % 10) = (ah = 01h, al = 08h).
Так для чего в целом эти команды нужны? Какой спектр задач решать? Там хэдеры сотнями таких команд засраны.
Компутером управлять.
Ну например:
or ax,3030h
mov [output+0],ah
mov [output+1],al
mov dx,mesg
mov ah,09h
int 21h
...
mesg db 'Result is '
output db 'XX'
mesg2 db '.', 13, 10, '$'
Или:
or ax,3030h
push ax
mov dl,ah
mov ah,02h
int 21h
pop ax
mov dl,al
mov ah,02h
int 21h
это на каком асме?
Atmel Studio (ранее AVR Studio) — основанная на Visual Studio бесплатная проприетарная интегрированная среда разработки (IDE) для разработки приложений для 8- и 32-битных микроконтроллеров семейства AVR и 32-битных микроконтроллеров семейства ARM от компании Atmel, работающая в операционных системах Windows NT/2000/XP/Vista/7/8/10.
Чо за лажа?
> на уровне гипервизора
> и ниже
А если серьезно, то такие только на бумаге в теории есть. В реале запилить рабочий прототип практически невозможно, разве что в лабораторных условиях и то будет работать все через раз.
Ты серьезно думаешь, что такие руткиты выкладывают в паблик? Почитай слитые каталоги АНБ, охуеешь, какие вещи успешно реализуют.
Хуйню там слили у анб, никакими гипервизорами, фирмваре даже и не пахнет, сам модуль у них тоже тухлый. В паблике как раз есть вещи по-круче, особенно у китайцев.
Расскажите нубу кто шарит
Есть ли какая-то сила за разработкой драйверов? Ведь код драйвера имеет больше привелегий, нежели рядова прога (кольца 2 и 1, если не ошибаюсь)
Значит ли это, что существуют малвари, написанные в стиле драйверов? Или завернутые в драйвер?
Мать умрет
Это копия, сохраненная 29 июня 2019 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.