ClockMan blog - eXeL@B

Сейчас на форуме: (+5 невидимых)

<< . 1 . 2 .

Посл.ответ	Сообщение
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 01 июня 2010 13:15 · Личное сообщение · #1 Здесь я буду делится инфомацией по делфи коденгу и реверсинге. Своё время искал исходники для делфи нашёл интересный сайт www.delphisources.ru/, также нашёл сайт программы Cheat Engine утилиты где собрано много интерестного и что главное с исходниками на делфиwww.heijnen1.demon.nl/CheatEngine55src.rar ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 06 августа 2012 16:39 · Личное сообщение · #2 ARCHANGEL ну не скажите, донатсы не у всех позволяют нормально развивать проект ----- [nice coder and reverser]
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 03 сентября 2012 16:18 · Личное сообщение · #3 Мой любимый антивирус AVG оказывается совершенно бесплатно выпускает --> AVG Rescue CD <-- с которой можно сделать загрузочный CD или USB и полечить компьютер в случае сильнейшего зарожения компа. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 04 сентября 2012 21:20 · Личное сообщение · #4 ClockMan Почти у всех мало мальски приличных аверов есть live cd, вот неполный список сидюков
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 16 октября 2012 06:31 · Личное сообщение · #5 --> Вот так вот! <-- слабо нерным и сердечникам смотреть запрещено! password:1234567 ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: -Sanchez-
-Sanchez- Ранг: 57.3 (постоянный), 67thx Активность: 0.06↘0 Статус: Участник	Создано: 16 октября 2012 19:49 · Личное сообщение · #6 музончик что надо!!!
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 24 ноября 2013 07:54 · Поправил: ClockMan · Личное сообщение · #7 косяк с загрузкой и обработкой udd файлов большого размера OLLYDBG за загрузку и обработку отвечает функция _Quickinsertname, для контейнера вызывается функция VirtualAlloc с ограниченным начальным размером Code: /464349/ MOV EDI,08000 /46434E/ PUSH 4 /464350/ MOV EAX,EDI /464352/ PUSH 1000 /464357/ SHL EAX,2 /46435A/ MOV [4EAE28],EDI /464360/ LEA EAX,[EAX+EAX2]=========>60000 /464363/ PUSH* EAX /464364/ PUSH 0 /464366/ CALL 004AF1F8 в случаи если выделенной памяти не хватает то срабатывает так называемая защита Code: /464394/ MOV EAX,[4EAE28]=========>размер выд-й секции /464399/ CMP EAX,[4EAE24]=========>кол-во считаной инфы из UDD файла /46439F/ JG SHORT 00464408========>если меньше то исполняем в штатном режиме, а если больше Code: /4643A1/ CMP EAX,0F4240===========> размер выд-й секции не превышает 10 мб то выделю чуть больше памяти для загрузки UDD данных /4643A6/ JGE SHORT 00464408 /4643A8/ ADD EAX,EAX /4643AA/ PUSH 4 /4643AC/ MOV EDX,EAX /4643AE/ PUSH 1000 /4643B3/ SHL EDX,2 /4643B6/ LEA EDX,[EDX+EDX2] /4643B9/ PUSH* EDX /4643BA/ PUSH 0 /4643BC/ CALL 004AF1F8 /4643C1/ MOV EDI,EAX а теперь про проверку CMP EAX,0F4240 вы думаете что если размер выделенной памяти превысит 10мб оля выведет какой то диалог об ошибке или ещё что то исполнит, вы глубоко ошибаетесь оля пошлёт всех на буй и будет исполнять программу с вечной загрузкой и обработкой UDD файла ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: Dr0p, Zzz[X]zzZ
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 25 ноября 2013 02:23 · Личное сообщение · #8 Не удивительно чего виснет.
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 01 января 2015 11:36 · Поправил: ClockMan · Личное сообщение · #9 Короче реверсил одну тварь, попалась такая уловка пример на ольки смотрите в аттаче, только там она шла по другой ветке если палила отладку....(((((((( 3b7b_01.01.2015_EXELAB.rU.tgz - Project1.zip ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 02 января 2015 21:22 · Личное сообщение · #10 ClockMan класс окна??? я думал он у всех запатчен по дефолту... ----- [nice coder and reverser]
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 03 января 2015 01:04 · Поправил: ClockMan · Личное сообщение · #11 Всех да не увсех)))) это был пример такой, а если программа будет при запуске искать свой класс окна? а найдя чужой класс запустит CreateDialogParamA? и что мы получим? догадайся не знаю у мну он не запатчен, патчил только название окна))))))) ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 03 января 2015 23:14 · Личное сообщение · #12 ClockMan патч все классы сразу (остальные окна) да ну, а если мы её свернули или загородили другим окном? (аська, скайп) имхо бред... ----- [nice coder and reverser]
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 04 января 2015 02:47 · Личное сообщение · #13 Hellspawn пишет: (аська, скайп) имхо бред... Hellspawn Быстрая рука Ты при запуске программы сможешь поменять фокус окна всего за 0.0001 сек )))))) ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 07 января 2015 12:56 · Личное сообщение · #14 ClockMan оно само может всплыть новая мессага, или ошибка какая) ----- [nice coder and reverser]
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 11 октября 2015 06:45 · Поправил: ClockMan · Личное сообщение · #15 Ковырял, обсидиум на днях, наткнулся на детект какойто тачки может кто подскажет какой? Code: /41F000/ PUSH EDX /41F001/ XOR EAX,EAX /41F003/ PUSH DWORD PTR FS:[EAX] /41F006/ MOV FS:[EAX],ESP /41F009/ MOV EAX,5F9E652 /41F00E/ XOR ECX,ECX /41F010/ XOR EDX,EDX /41F012/ XOR EDI,EDI /41F014/ XOR ESI,ESI /41F016/ MOV EBX,EAX /41F018/ RDPMC========> исключение на норм тачке, на виртуалке нет? /41F01A/ CMP EAX,0B36AF47 /41F01F/ JNZ SHORT 0041F04C /41F021/ CMP EBX,2 /41F024/ JNZ SHORT 0041F04C /41F026/ TEST EDX,EDX /41F028/ JNZ SHORT 0041F04C /41F02A/ TEST ESI,ESI /41F02C/ JNZ SHORT 0041F04C /41F02E/ TEST EDI,EDI /41F030/ JNZ SHORT 0041F04C /41F032/ XOR EAX,EAX /41F034/ XOR EDX,EDX /41F036/ CMP [EBP+8],EAX /41F039/ SETNE DL /41F03C/ POP DWORD PTR FS:[EAX] /41F03F/ LEA ESP,[ESP+EDX4+4] /41F043/ OR AL,1 /41F045/ POP* EDI /41F046/ POP ESI /41F047/ POP EBX /41F048/ POP EBP /41F049/ RETN 4 /41F04C/ XOR EAX,EAX /41F04E/ XOR EDX,EDX /41F050/ CMP [EBP+8],EAX /41F053/ SETNE DL /41F056/ POP DWORD PTR FS:[EAX] /41F059/ LEA ESP,[ESP+EDX4+4] /41F05D/ POP* EDI /41F05E/ POP ESI /41F05F/ POP EBX /41F060/ POP EBP /41F061/ RETN 4 Добавлено спустя 12 минут Моё предположение что это BOSH но под рукой его нет ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 12 октября 2015 21:48 · Личное сообщение · #16 врядли, что то аверское
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 09 мая 2017 03:49 · Личное сообщение · #17 Mаны по архитектуре intel обновили --> Link <--, по опкодам кому лень искать --> Link <-- ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: DenCoder
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 09 мая 2017 22:33 · Личное сообщение · #18 Они бы сразу лучше какой то текстовик с шаблоном или хмл выкладывали, что бы можно было писать парсер который новые дизасмы генерит а перечитать инструкцию что бы потом набить, как то напряжно \| Сообщение посчитали полезным: shellstorm
shellstorm Ранг: -0.7 (гость), 170thx Активность: 0.54↘0 Статус: Участник	Создано: 12 мая 2017 22:27 · Личное сообщение · #19 reversecode пишет: а перечитать инструкцию что бы потом набить, как то напряжно многие парсят xed-довский xml.
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 06 марта 2020 09:21 · Личное сообщение · #20 Если бы я хотел поменять в безопасности windows, я бы 1. Перенёс PEB,TEB в ring0 2. Любой вызов айпи только с загруженного модуля в память 3.Выполнение системных функций на отдельном ядре процессора без право доступа, общение программ через специальные порты которые может мониторить 4.Разделяемая память с правами доступа по ключу, если я хочу считать через ReadProcessMemory,WriteProcessMemory то я запрашиваю у системы разрешение она даёт ключь,с правом доступа что позволет отследить не желательные программы. 5.Выпустить жёсткие диски для Windows где будет стоять 2 винды, первая установочная без право записи,2 с правом записи для обновлений через специальный флешь выход, вставил флешку обновил, вынул винда стоит в не записывающем режиме ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
difexacaw Ранг: 338.5 (мудрец), 349thx Активность: 2.11↗2.42 Статус: Участник	Создано: 06 марта 2020 14:52 · Личное сообщение · #21 ClockMan > 1. Перенёс PEB,TEB в ring0 Тоесть что бы обратиться к окружению процесса или локальным данным потока пришлось бы вызывать системные сервисы.. На счёт PEB, тогда есчо и весь нэйтив перенести в ядро(данные), так как PEB лишь их часть. TEB нужен что бы отвязать область от адреса(fs/gs:[]). Какой смысл в этом ? ----- vx
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 07 марта 2020 03:56 · Личное сообщение · #22 difexacaw пишет: Какой смысл в этом ? смысол в том что бы контролировать процесс полностью не дать коду который не проприсан в модуле выполнить свои действия ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
morgot Ранг: 69.9 (постоянный), 82thx Активность: 0.14↗0.73 Статус: Участник	Создано: 12 марта 2020 16:31 · Личное сообщение · #23 Надо просто запретить все нативные приложения (Win32 апи), или допускать запуск только подписанных это уберет 99% говномалвари, остальные пусть пишут на шарпах (без винапи) или UWP, для прикладных нужд хватит. ClockMan пишет: 5.Выпустить жёсткие диски для Windows где будет стоять 2 винды, первая установочная без право записи,2 с правом записи для обновлений через специальный флешь выход, вставил флешку обновил, вынул винда стоит в не записывающем режиме С этим юзеры не будут заморачиватся.
Alchemistry Ранг: 145.8 (ветеран), 191thx Активность: 0.14↗0.36 Статус: Участник	Создано: 12 марта 2020 18:13 · Личное сообщение · #24 morgot пишет: Надо просто запретить все нативные приложения (Win32 апи), или допускать запуск только подписанных есть уже все это, windows 10s, windows 10x - в последней все классические приложения запускаются внутри изолированного контейнера. это не отменяет тебе ситуацию когда просплоитят браузер через скрипты или прилетит пакет по сети) не вижу никаких проблем с малварями на современных вендах, имхо эта тема вообще малоперспективна, сейчас не 2004 год.
morgot Ранг: 69.9 (постоянный), 82thx Активность: 0.14↗0.73 Статус: Участник	Создано: 12 марта 2020 20:18 · Личное сообщение · #25 Alchemistry пишет: просплоитят браузер через скрипты или прилетит пакет по сети) насчет сети согласен, етернал блу показал, какие приколы могут быть. насчет браузеров..сейчас же (судя по связкам эксплойтов с комерца) бьется только ишак, и то на семерке? Ну пусть даже на десятке, но кроме ИЕ ничего не пробивается (хром еще с 2010 года, ФФ тоже, а все остальное на хромиум движке). А так, люди сами ставят малварь как "новый чит" "софт для заработка" и все такое. Не знаю даже. Мне вот непонятно, почему нельзя победить те же криптолокеры. Простейший паттерн, поиск файлов + удаление/замена. Но они все время в топе новостей, как будто аверам эта паника выгодна. Добавлено спустя 0 минут Alchemistry и да, еще. Запретить бы runas в цикле, ну т.е. повышение привилегий через бесконечный ShellExecuteEx (хз как, ограничить 3 попытками или еще придумать). Отвалилось бы опять же, 99.99% малвари.
Alchemistry Ранг: 145.8 (ветеран), 191thx Активность: 0.14↗0.36 Статус: Участник	Создано: 12 марта 2020 20:38 · Личное сообщение · #26 Зироди бывают под все браузеры, другое дело что это не 2012 год и все нормальные зироди уехали в апт. runas в цикле убирается простым нажатием ctrl+alt+del и логофф пользователя, это никогда не было проблемой.
morgot Ранг: 69.9 (постоянный), 82thx Активность: 0.14↗0.73 Статус: Участник	Создано: 12 марта 2020 20:48 · Личное сообщение · #27 Alchemistry пишет: runas в цикле убирается простым нажатием ctrl+alt+del и логофф пользователя, это никогда не было проблемой. Обычный юзер не всегда про это знает, и жмет "да" после десятого окошка. впрочем мб пример и надуманный, да. Так то десятка норм в плане защиты, если в общем, и сравнивать с ХР. Особенно радует виндеф, все "хакерские форумы" полны тем "как обойти виндеф". Т.е. система уже не голая, как раньше. Хотя..недавно смотрел образы на ноунейм, там больше половины с вырезанным виндефом, юаком и т.д. Т.е. по факту почти как ХР. Правда, на десятке не работает 2д (или 3д, уже забыл) ускорение в амд, но ради безопасности можно и потерпеть ))

<< . 1 . 2 .

Для печати