Про алгоритм записи JPEG и PNG

Сейчас на форуме: YDS, _MBK_, user99 (+10 невидимых)

Посл.ответ	Сообщение
TOG Ранг: 84.8 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 17 декабря 2005 06:16 · Личное сообщение · #1 Братцы! Задолбал меня Fraps. Ограничение на запись видео нашел, отрубил. Но вот скриншоты он все равно только в BMP пишет. Хочу попробовать по сигнатуре найти процедуры записи JPG и PNG. Кто нибудь знает, как их можно поискать ? Что в них есть такого ? На крайняк, ссылочки на сырки.

di-2 Ранг: 230.5 (наставник) Активность: 0.18↘0 Статус: Участник Norg	Создано: 17 декабря 2005 09:56 · Личное сообщение · #2 TOGСлушай а ты не знаешь как фрапс выводит поверх всех окон?Ведь у дайрет х стоит cooperative уровень,разве такое реально? ----- M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240
TOG Ранг: 84.8 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 17 декабря 2005 11:54 · Личное сообщение · #3 di-2 Я не вникал, но что-то припоминаю glColorMask.....
[HEX] Ранг: 467.7 (мудрец), 5thx Активность: 0.27↘0 Статус: Участник Иной :)	Создано: 17 декабря 2005 12:12 · Поправил: [HEX] · Личное сообщение · #4 поищи строки \xFF \xD8 \xFF \x?? \x?? \x?? JFIF или \xFF \xD8 \xFF \x?? \x?? \x?? Exif это вроде аля сигнатура для JPEG у PNG \x89 PNG ----- Computer Security Laboratory
TOG Ранг: 84.8 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 17 декабря 2005 12:18 · Личное сообщение · #5 [HEX] пишет: JFIF или Exif Нет, этот перец не так прост, прячет видимо строки. Нужно какую-то конструкцию искать........
[HEX] Ранг: 467.7 (мудрец), 5thx Активность: 0.27↘0 Статус: Участник Иной :)	Создано: 17 декабря 2005 12:24 · Поправил: [HEX] · Личное сообщение · #6 TOG кинь куда нить на шару распакованый фрапс который ковыряешь... посмотрим че да как... ----- Computer Security Laboratory
TOG Ранг: 84.8 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 17 декабря 2005 12:55 · Личное сообщение · #7 Я почти уверен, что эти процедуры находятся во FRAPS.dll , а она вообще не запакована. Но идентифицировать их я не могу, т.к. понятия не имею об алгоритмах JPEG и PNG. Видимо пора и об этом почитать....
fakit Ранг: 78.3 (постоянный) Активность: 0.03↘0 Статус: Участник	Создано: 17 декабря 2005 14:05 · Поправил: fakit · Личное сообщение · #8 думаете так создается jpeg или png ?
Rascal Ранг: 260.9 (наставник) Активность: 0.12↘0 Статус: Участник John Smith	Создано: 17 декабря 2005 16:54 · Личное сообщение · #9 Возможно, что сохраняет с помощью gdiplus.dll, если конечно алгоритм не самопальный. Библиотека вроде COM-овская, так что простор для поиска огромный ----- Недостаточно только получить знания:надо найти им приложение
TOG Ранг: 84.8 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 17 декабря 2005 19:21 · Личное сообщение · #10 fakit пишет: думаете так создается jpeg или png ? Месье любит загадки ? Если знаешь, так напиши коротко.
[HEX] Ранг: 467.7 (мудрец), 5thx Активность: 0.27↘0 Статус: Участник Иной :)	Создано: 17 декабря 2005 20:08 · Поправил: [HEX] · Личное сообщение · #11 TOG Глянь в импортируемые библиотеки, а то может и впрямь через gdiplus.dll пашет А так как они пишут что Фрапс совместим только с 2000, ХР и 2003 виндой то вероятность этого очень сильно возрастает. Ну а раз так, то дорога на rsdn www.rsdn.ru/summary/626.xml P.S. Так же я просил выкинуть куда нить файл который ты ковыряешь. Иначе мы будем только размышлять... ----- Computer Security Laboratory
di-2 Ранг: 230.5 (наставник) Активность: 0.18↘0 Статус: Участник Norg	Создано: 18 декабря 2005 05:30 · Личное сообщение · #12 Microsoft GDIPlus.DLL JPEG Parsing Engine Buffer Overflow ----------------------------------------------------------------- Advisory: September 14, 2004 Reported: October 7, 2003 Systems affected based on testing: Windows XP SP0,SP1,SP1a (Home & Pro) Systems potentially affected based on Microsoft's DLL Help Database (there may be others): gdiplus.dll 5.2.3790.0 Windows Server 2003 Data Center Windows Server 2003 Enterprise Windows Server 2003 Standard Windows Server 2003 Web Edition gdiplus.dll 5.1.3100.0 Microsoft Visual Studio .NET (2003) Enterprise Architect gdiplus.dll 5.1.3097.0 Microsoft Visual Studio .NET (2002) Enterprise Architect Microsoft Visual Studio .NET (2002) Enterprise Developer Microsoft Visual Studio .NET (2002) Professional Microsoft Visual Studio .NET (2003) Enterprise Architect Visual Basic .NET Standard 2002 Visual C# .NET Standard 2002 Visual C++ .NET Standard 2002 Windows XP Home 2002 Windows XP Professional 2002 gdiplus.dll 5.1.3079.3 Microsoft Visual Studio .NET (2002) Enterprise Architect Visio 2002 Professional Visio 2002 Standard Description ------------------------ The JPEG parsing engine included in GDIPlus.dll contains an exploitable buffer overflow. When a specially crafted JPEG image is accessed through the Windows XP shell, a buffer overflow occurs potentially allowing an attacker to run arbitrary code on the affected system. Due to the pervasiveness of the affected dll there may be other vulnerable attack vectors. Technical ------------------------ JPEG Comment sections (COM) allow for the embedding of comment data into a JPEG image. COM sections are marked beginning with 0xFFFE followed by a 16 bit unsigned integer in network byte order giving the total comment length + the 2 bytes for the length field; a single JPEG COM section could therefore contain 65533 bytes of invisible data (invisible in the sense that it's not rendered as part of the image). Because the JPEG COM field length variable is 2 bytes wide, and itself is included in the length value, the minimum value for this field is 2, this implies an empty comment. If the comment length value is set to 1 or 0, a buffer overflow occurs overwriting heap management structures. The problem is GDIPlus normalizes the COM length prior to checking it's value; a starting length of 0 becomes -2 after normalization (0xFFFE unsigned), this value is converted to the 32 bit value 0xFFFFFFFE and is eventually passed on to memcpy which attempts to copy ~4G bytes into heap memory. eEye Digital Security analyzed the bug and found that heap management structures are left in an inconsistent state with execution eventually reaching heap unlink instructions within RTLFreeHeap with EAX pointing to a pointer to data we control and we have direct control of EDX. Vendor Status ------------------------ Patch available MS04-028 (833987) www.microsoft.com/technet/security/bulletin/ms04-028.mspx Detection ------------------------ Detection could be accomplished by examining the JPEG image for the following byte sequence: 0xFF 0xFE 0x00 0x00 or 0xFF 0xFE 0x00 0x01 Credits ------------------------ Nick DeBaggis - Discovery, analysis, and advisory. Special thanks to eEye Digital Security www.eeye.com - Detailed vulnerability analysis, initial and ongoing vendor contact. Also thanks to Networks Unlimited - Early bug testing. Related Links ------------------------ Solar Designer, Openwall Project Netscape Browser JPEG Vulnerability July 2000 www.openwall.com/advisories/OW-002-netscape-jpeg.txt Вот кому надо фрапс полный 2.7 h**p://morenews.ru/cgi-bin/dbloadfile.cgi?post=8356&id=1 ----- M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240
ProTeuS Ранг: 172.2 (ветеран) Активность: 0.07↘0 Статус: Участник	Создано: 18 декабря 2005 21:05 · Личное сообщение · #13 дык это имхо сигнатуры не для "обы4ных" файлов JPEG, а специально сгенерированных вышеописаным сплойтом, так 4то они не пригодятся для сабЖа... ----- HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE
fakit Ранг: 78.3 (постоянный) Активность: 0.03↘0 Статус: Участник	Создано: 18 декабря 2005 22:34 · Личное сообщение · #14 ProTeuS и di-2 причем тут эксполиты ?
ProTeuS Ранг: 172.2 (ветеран) Активность: 0.07↘0 Статус: Участник	Создано: 19 декабря 2005 00:03 · Личное сообщение · #15 fakit пишет: ProTeuS и di-2 причем тут эксполиты ? вот и я говорю, 4то di-2 привел выше бюлетень Microsoft GDIPlus.DLL JPEG Parsing Engine Buffer Overflow с неверными сигнатурами ЗЫ: ты мой пост до конЦа про4ел? ----- HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

Для печати