o x86, KM, MI, KDR; откат на 5.1, 6.1; недетект всяким аверским говном.

Пиздатый мотор для дебага всякой юзермодной погани. Теперь не нужно юзать ядерный дебаг, чтобы всякая хуита не вышла из под отладки. Возможность выбора сервисной таблицы.

Отлавливаются все сисколы в системе, редирект в юзермод, там наш фильтр их обрабатывает и вертает управленье в юзермод.

Возврат из ядра на адрес PEB[0xFFC], флаг по тому же смещенью в TEB запрещает обработку(по дефолту сброшен, тоесть пропускается).

При возврате имеем в rEax номер сервиса, на стеке:



Прожект с vx.security-portal.cz

3ab6_03.08.2013_EXELAB.rU.tgz - SIDE.zip

| Сообщение посчитали полезным: hors, daFix, Lacoste, Paranoid Koneko, Abraham, JKornev, DenCoder, dosprog, Coderess, Tolkin, VanHelsing

Почти сразу, как Инде этот топ создал, набежало троллей. Прошло несколько лет, стоило ему только чуть не по теме написать - и началось. У него нет прав модерации, поэтому для всех должно быть очевидным, что не стоит его винить во флудопостах, писанных людьми от новичков до небезызвестных реверсеров. Кому не надо, не понимает - проходите мимо, чтоб не забрызгало, как тут выразился забрызганный член форума.

Добавлено спустя 3 минуты
Мне ваша грязь надоела!

Добавлено спустя 3 минуты
shellstorm
Да не, cppasm про SIDE спрашивал.

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет: Почти сразу, как Инде этот топ создал, набежало троллей

Да ладно, эта тема известна еще с года эдак 2005, просто в малвари стали использовать относительно недавно, отсюда и хайп. Обычный инструмент для разработчиков, помогает искать дедлоки и утечки памяти.

Добавлено спустя 4 минуты
DenCoder пишет: Да не, cppasm про SIDE спрашивал.

Так чем разгребать чужой код на асме, проще самому написать или взять готовое на гхабе и которое базируется на LLVM IR jit

| Сообщение посчитали полезным:

shellstorm
IDP его тоже клон техники 2005-2006го года, он спер это с патч гварда, где разрушался указатель и управление передавалось в другое место. А вызыватель дождя и повелитель грибов заявлял что это он придумал эту технику. И так с каждым его "двиготелем", по факту этот чел застрял где-то в начале 2000х вместе со своим асмом, дай ему реальную задачу пусть даже примитивную, но основанную на современных технологиях - он всосет(обвинит во всем скрипты аверов заплачет и уйдет к своим вкусным норкотекам).

| Сообщение посчитали полезным:

SegFault пишет: IDP его тоже клон техники 2005-2006го года, он спер это с патч гварда

Это еще было в win98, а возможно и раньше, я просто старые OS не застал в силу возраста.

SegFault пишет: по факту этот чел застрял где-то в начале 2000х вместе со своим асмом

Да пусть пишет, возможно кому то подаст идею, да и в любом случае это лучше чем нюхать клей в подъезде, какое никакое, а творчество.

| Сообщение посчитали полезным: DenCoder

shellstorm пишет:
Это еще было в win98, а возможно и раньше, я просто старые OS не застал в силу возраста.
А где конкретно было то? Я чтото такого не припомню
shellstorm пишет:
Да пусть пишет, возможно кому то подаст идею, да и в любом случае это лучше чем нюхать клей в подъезде, какое никакое, а творчество.
С этим я согласен, просто не надо себя ставить выше других при этом

| Сообщение посчитали полезным:

SegFault пишет: А где конкретно было то? Я чтото такого не припомню

В малварке попадалось и в какой то системной софтине были костыли, сейчас после стольких лет уже не вспомню деталей. Но думаю если потерзать гугл то можно будет найти пруфы, хоть в тех же патентах, думаю в патчгварде делаются сноски на прототип. Тот же верифер находится подумать даже страшно за 2003 год. Мне как бы оно не принципиально кто там в каком году реализовал первым, возможно ms тоже купила у кого то.

| Сообщение посчитали полезным:

SegFault, ты, член форума недоросший, какое тебе дело до того, кто автор? Мне вообще абсолютно пох, кто автор. Умение пользоваться идеей конкурирует с её правообладанием. Последнего нет - отвали! Или ты решил защищать тут непризнанные чьи-то права? Покажи мне, где Инде кричит/кричал, что это его техники? Я лично не видел. Я вижу напоминание о техниках, в чём и есть польза, а не утверждение прав на техники! Затем, не исключается возможность дойти до чего-то самостоятельно и независимо. Ты Инде не знаешь, лично в реале не знаком, не знаешь, что он знает и на что способен - так ещё раз отвали! Такие недомерки будут ещё гадить на 10 страниц?

Добавлено спустя 3 минуты
SegFault пишет:
С этим я согласен, просто не надо себя ставить выше других при этом
А ты заметь, что фразы типа "вы не доросли ещё" исключительно в ответ на на вашу грязь.

Добавлено спустя 5 минут
Не портьте карму себе и другим! Вопросы и предложения тут по существу должны быть!

-----
IZ.RU

| Сообщение посчитали полезным: difexacaw

DenCoder
иди ты нахуй хуесос индюший) дурачок малолетний

| Сообщение посчитали полезным:

shellstorm
SegFault

Человек понимает если может обьянить. Но есть бесчисленный поток тролей, которые есно ничего не понимают, но им нужно развести срач. В коденге же любое утвердение должно быть обосновано и доказано. Если это не так, то это фейк. Далее если такой фейк что бы поднасрать это провокация. Это очень давно существует в виде системы. Такие люди отсталые умственно и от них принято избавляться.
На прошлом васме был сацура, он на любую тех тему вбрасывал рандомом тех публикации собранные через гугл и есно ничего не значащие и не относящиеся к вопросу. А весь смысл что бы как то обосрать, зная заранее что доки хоть к теме и не относятся, но это никто не узнает и не станет разбирать, так инфа в них - оверхед и доступна для исключительного окружения. Это такой псих трюк.
То что вы выше написали по мойму копипаста, я это сотни раз слышал, но никто не смог обосновать свои доводы.

SegFault

> IDP его тоже клон техники 2005-2006го года, он спер это с патч гварда, где разрушался указатель и управление передавалось в другое место.

Опишите подробно. Что именно и где я зарипал и каким образом PG относится к этому. Обоснуйте. Естественно как и у всякого ньюби троля нет на это способности, это просто поиск в гугле по паре слов, без какого то понимания.
В те времена патчгварда небыло, да и там никакого смысла нет - это примитивный механизм проверки целостности данных по таймеру.

Адекватный человек изучит предложенный стафф. Изучив его он не будет писать бред и поливать фейковым говном. Более того, я же давал прямые ссылки на публикации - это матчасть. Более чем актуальная.

Вы говорите что я что то рипнул и техники 5-го года это не так. Лишь недавно появилась публикация Интел по хардверным анклавам - SGX. Мало кто даже видел камни, которые это поддерживают. Но публикации мои по выборки данных(IDP) - это описание софтверных анклавов. Это никогда не реализовалось, небыло даже никакой идеи - это как всегда техники опережающее время. Реализации появятся спустя время.

Всю остальную чушь мне противно даже комментить. Как пригодность сурков - барыге не понять зачем это всё.

Предлагаю забанить весь этот мусор, который понасрал тут.

Добавлено спустя 12 минут
Кстате по вериферу. Есть новый человек, это не системщик - мало знаний, они поверхностные. Появился на факав под женским ником и делая вид девчёнки. Далее ход события я предвидел. Была создана тема про бесплатную помощь по любому вопросу. Не имея никакого статуса, имя - никто. Далее после раскрутки акка были подняты комерц темы на двух ресурсах(факав и эксплоит). После бесчисленных попыток мной добиться правды мне была прислана этим человеком даже не статья, а какая то заметка про верифер. Утверждалось что это приват техника. Учитывая дату моей публикации на васме - это было много лет назад, но этот человек не знал получился эпик фейл. Далее начался откат, мол технология описана мс. Но на время моей публикации никакой инфы небыло. Лишь спустя года она появилась. И затем спустя короткое время появляется инфа на ксакепе в новостях про какую то пленную малварку использующую это и сообщение ионеску про новый механизм. Несмотря на то, что это древнее говно было давно подробно изучено, описано и юзалось как загрузкик для сабж мотора.

Вся инфа сохранилась, но я не хочу вылаживать тут, так как вентилятор сделает своё дело =)

-----
vx

| Сообщение посчитали полезным:

SegFault пишет:
иди ты нахуй хуесос индюший) дурачок малолетний


Дебилов тут много, Инде. Ты их определённо привлекаешь

Только что новость по ЛН прошла о том, что за последние 5 лет количество несовершеннолетних наркоманов увеличилось на 60%. И в последнее время основной поток наркоты поступает больше с Украины...

--> Комсомольская правда <--

Видимо, наплыв дебилов на форуме за последние 2 месяца связан с этим и с весенним обострением.

-----
IZ.RU

| Сообщение посчитали полезным: sefkrd

DenCoder

Они ошиблись мало что темой, но есчо и человеком. Удалить всех, это будет верное решение. Ну и прежде чем утверждать что я не могу какие то задачи решить, пусть покажут свою способность к решению даже примитивных задач. Для этого есть функция поиска, но мне отвратно этим заниматься.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Человек понимает если может обьянить.

В соседней теме писали, что с помощью данной тулзы можете раскрутить прям вот любую софтину и конечно у вас есть формальное доказательство, прям по всем правилам присущим теории компиляции с прочими формальными доказательствами? Да да, я тоже умею играть в эту игру, а еще листал wrk, как и Ionescu.
https://github.com/ionescu007/HookingNirvana

difexacaw пишет: На прошлом васме был сацура

Какое отношение имеет сторонний форум и люди здесь не присутствующие к данному обсуждению?
Прошлое в прошлом, иначе можно вспомнить и местные треды, например с PE_Kill, вот видите какой избирательной бывает память.

difexacaw пишет: но это никто не узнает и не станет разбирать, так инфа в них - оверхед и доступна для исключительного окружения

И кто эти никто или ученые доказали, что уринотерапия излечит рак, но имен и фамилий в целях безопасности не называем? Вы понимаете, что разработчиков сотни тысяч и это только те, кто работает по профессии.

difexacaw пишет: То что вы выше написали по мойму копипаста

Бремя доказательства на утверждающем. Факты древности verifier я привел. Могу найти совсем древнее использование, но смысл, при желании можно найти самостоятельно по константам и да, его вполне себе использую в каком нибудь C# или powershell.
На счет остального, я не архивариус и не музейный хранитель, запоминается лишь то, что используется.

difexacaw пишет: Лишь недавно появилась публикация Интел по хардверным анклавам - SGX

Не очень давно (относительно) появилась аппаратная поддержка AES, только какое отношение хардварная реализация имеет к самому алгоритму - загадка.

| Сообщение посчитали полезным:

shellstorm пишет:
Какое отношение имеет сторонний форум и люди здесь не присутствующие к данному обсуждению?
В качестве примера - очевидно ж.

Добавлено спустя 3 минуты
shellstorm пишет:
Прошлое в прошлом, иначе можно вспомнить и местные треды, например с PE_Kill, вот видите какой избирательной бывает память.
Да да, припомнить есть что... Умейте прощать!

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет: В качестве примера - очевидно ж.

Я вот например не знаю тот форум и того человека, спрашивается и зачем оно мне нужно.
Но я неплохо разбираюсь в jit и эмуляции, и с товарищем выше могу подискутировать на данную тему, чсв упадет знатно. Пусть создает тред, а то тут любую софтину нехотя, даже отладчики не нужны.

| Сообщение посчитали полезным:

shellstorm пишет:
Могу найти совсем древнее использование
Всё верно - кто-то открыл для себя и тихо использовал, ни с кем знанием не поделился.

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет: Всё верно - кто-то открыл для себя и тихо использовал, ни с кем знанием не поделился.

Да сами можете нагуглить старые блоги, просто в малварь недавно попало, а так искали себе люди утечки памяти и радовались жизни, собственно в простом интерфейсе профит, какого нибудь шарписта проще научить писать генераторы оберток чем использовать отладчик для нейтива.

| Сообщение посчитали полезным:

shellstorm

> В соседней теме писали, что с помощью данной тулзы можете раскрутить прям вот любую софтину

Приведите пруф
Видимо вы ошиблись, попутав визор с данной темой

> Какое отношение имеет сторонний форум и люди здесь не присутствующие к данному обсуждению?

А вы не поняли аналогию, отражающую суть ?
Сейчас от вас будут вопросы по каждому предложению. Ваш детский разум не может даже понять смысл обычного обсуждения.

> Факты древности verifier я привел.

Нет, вы ничего не привели, кроме вашего бреда. Давайте пруф!

> поддержка AES, только какое отношение хардварная реализация имеет к самому алгоритму - загадка.

Естественно такое может написать человек который не понимает о чём идёт речь. Вы этим доказали что ТЫ троль.

Добавлено спустя 13 минут
DenCoder

Ждём от этих тролей пруфы. На всё то, что они тут написали. Иначе это ничто.

-----
vx

| Сообщение посчитали полезным:

difexacaw
DenCoder
делать вам нечего чтоли время тратить на троллей да на умственно-отсталых троллей ? забейте, собака лает -- караван идет...

| Сообщение посчитали полезным:

VanHelsing

DenCoder реализовал желание меня поддержать, нормальное адекватное желание и решение. На счёт меня - это моя тема, и мой масштаб знаний, понимания - мне не особа нужна чьято поддержка, хотя я очень ценю это, спасибо.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
В те времена патчгварда небыло, да и там никакого смысла нет - это примитивный механизм проверки целостности данных по таймеру.
придурок ты вики открой когда ты появился и когда PG, это тебя не было когда в коде хп управление передавалось при невалидном адресе не туда, куда надо, это и есть твой идп которым ты в свое время всем мозг ебал типа придумал 0дей технику, это было уже со времен хп х64 ау!

| Сообщение посчитали полезным:

SegFault

Повторяю есчо раз, пруф приведите на описание. #AV это ошибка, она в любом приложении возникает, может возникнуть ну и что с того. Я вам отвечать больше не буду, пока вы не подтвердите прошлые свои утверждения.

-----
vx

| Сообщение посчитали полезным:

difexacaw
техника разрушения указателей - твоя типа 0дей техника? твоя, ты ей усирался что сам придумал. по факту это юзалось в хп х64, т.е. задолго как ты кампек свой приобрел и асм выучил. Стало быть зарипал оттуда, какие блять тебе пруфы как PG работает или што?

| Сообщение посчитали полезным:

SegFault

Третий раз подряд повторяю, обоснуйте ваши слова доказательством - пруф, публикация, статья какая то етц. Я пока от вас я слышу только шум. Но да, автор техники подмены данных я.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
автор техники подмены данных я
хуй тебе, автор техники - разрабы патч гварда в винхп х64, ты лишь жалкий копировщик как и все твои моторы лишь копии того что уже было изобретены. Нет реально ни одной годной идеи, мне сказали даже определение аверов через захват указателей - это тоже ты скопипастил

| Сообщение посчитали полезным:

SegFault

Тоесть ты не можешь доказать свои доводы. Есть много разных терминов для описания вашего состояния, но нафиг латынь, есть простой - обосрался

-----
vx

| Сообщение посчитали полезным:

difexacaw
если ты, дибилоид со знаниями времен винхп и выебывающийся на всех форумах, часто спорящий со своими же виртуальными аккаунтами и упарывающийся наркотой не знаешь как работает пач гуард то стало быть учи матчасть овощь и не позорься, илита блядь муахаха

| Сообщение посчитали полезным:

Топ - чума.. Племяш реверсить начал, да мат не знает - ссыль сюда кинул...

| Сообщение посчитали полезным: elch

SegFault, ну где пруф, что Инде спёр что-то?
difexacaw, а где пруф, что IDP - это действительно твоя техника?
Кому из вас легче доказать свои утверждения?

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder
бля хуесос индюшин окстись, иди попей воды с дождя что вызвал клерк и покайся, с хуяли ты думаешь что я тебе ринусь искать стотьи 10ти летней давности как работает патч гвард? гугли сам давай, на это то твоего воробьиного мозга хватит надеюсь?

| Сообщение посчитали полезным:

SegFault
Вау, сколько батхёрта, как у тебя в заднице свердит-то

SegFault пишет:
с хуяли ты думаешь что я тебе ринусь искать стотьи 10ти летней давности
Ну заткнись тогда, дебил, раз нечего сказать! )
Когда в чём-то обвиняешь, слова надо подкреплять фактами. Иначе - ты просто пиздабол! )

Пруфов, я так понимаю, у этой малолетки SegFault'а не будет... Интересно, что Инде скажет, когда проснётся? Чем докажет, что это его техника? )

Кстати, насчёт "индюшин": историческая справка - были у нас срачи по разному поводу раньше. Действительно, его заносило куда больше. Был он неадекват. Но сейчас меньше, спустя 6-7 лет. Так, немного, по мелочи... Но если идёт на уменьшение, то вполне всё не так и плохо - полное выздоровление возможно )

Добавлено спустя 13 минут
Clerk появился и здесь и на васме в 2008 году. Может и интернет на витой паре/adsl только тогда у него появмился. Но это не исключает его работы по реверсу винды более раньше. Подготовка-то хорошая, как минимум год-два надо. )

-----
IZ.RU

| Сообщение посчитали полезным: