o x86, KM, MI, KDR; откат на 5.1, 6.1; недетект всяким аверским говном.

Пиздатый мотор для дебага всякой юзермодной погани. Теперь не нужно юзать ядерный дебаг, чтобы всякая хуита не вышла из под отладки. Возможность выбора сервисной таблицы.

Отлавливаются все сисколы в системе, редирект в юзермод, там наш фильтр их обрабатывает и вертает управленье в юзермод.

Возврат из ядра на адрес PEB[0xFFC], флаг по тому же смещенью в TEB запрещает обработку(по дефолту сброшен, тоесть пропускается).

При возврате имеем в rEax номер сервиса, на стеке:



Прожект с vx.security-portal.cz

3ab6_03.08.2013_EXELAB.rU.tgz - SIDE.zip

| Сообщение посчитали полезным: hors, daFix, Lacoste, Paranoid Koneko, Abraham, JKornev, DenCoder, dosprog, Coderess, Tolkin, VanHelsing

difexacaw > " Выкинте косяк он с не правильной травы."
Я расстегну ширинку достану косяк, а ты хорошенько прикури его.
Что почувствовалa,а ?! Ну что давай огрызайся,как моя телка бывшая.
Это не так..... это вот так....... ))) не хочу разводить флуд.)

| Сообщение посчитали полезным:

difexacaw пишет: Какие есчо вайт списки

Настройка политик ограничения программ, только это работает в идеальных условиях, где весь софт куплен, а всякие порнохабы с вконтактиками выпилены.
В этом треде со стороны хейтеров пожалуй лишь алхимик адекватен.

| Сообщение посчитали полезным:

shellstorm пишет:
где весь софт куплен, а всякие порнохабы с вконтактиками выпилены.
а еще заклеена сетевуха, юсб порты и выведен ярлык ворда и эксцела и паука на рабочий стол. Документы в комп попадают только через сканер, а выдаются ток распечатанные.. ТАК тогда годится

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет: а еще заклеена сетевуха, юсб порты

Кстати да, опечатывание usb портов не такая и редкость.
Вот из недавнего:

Изоляция еще не гарантия 100% защиты.

| Сообщение посчитали полезным:

shellstorm а еще из недавнего все версии Ворда пробиваются.. этот список можно продолжать до бесконечности. не об этом речь... А еще КК демонстрировал как из-за глюков в процах пробивается любая ось.. но кому это интересно..

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
А еще КК демонстрировал как из-за глюков в процах пробивается любая ось

Нихуя он не демонстрировал

| Сообщение посчитали полезным:

он говорил что нашел чего то там в процессорах интел кажеться, но пруфов так и не показал

| Сообщение посчитали полезным:

Вот-вот.

Кроме какого-то сорца от какой-то Селены, ничего не было.

| Сообщение посчитали полезным:

VodoleY пишет:
еще КК демонстрировал как из-за глюков в процах пробивается любая ось
а ещё его пригласили туда работать а потом пнули под зад........всё это старое уг на новый проци баги стоят от 4 нулей....

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

reversecode пишет:
но пруфов так и не показал
показывал, только работало далеко не на всех cpu: http://0day.today/exploit/19011
вариация переписанная на js: http://0day.today/exploit/18984

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

VodoleY пишет:
А еще КК демонстрировал как из-за глюков в процах пробивается любая ось.. но кому это интересно..

на самом деле по сути ответили чуть ниже, что он демонстрировал в той унылой презентации, ну а если подробно, то он всего лишь пересказал своими словами некоторую выборку из errata, про которую до него поднимал вопросы Тео де Раадт (ну и крис традиционно добавил от себя воды-беллетристики, как он всегда любил).

в общем освежите память, там не было не то что чего-то особенного, а не было вообще ничего. маразматик Раадт, помешанный на багах, чота побухтел, мол, много багов стало в процах, мы все в опасносте етц. крис, как умелый компилятор, решил про это рассказать. ну а кодеса там никакого и не было, как и впрочем никогда от КК никто никакого кодеса не видел.

https://www.youtube.com/watch?v=8wIvmQkTzR4

spinz пишет:
Нихуя он не демонстрировал
собственно +1

Добавлено спустя 2 минуты
reversecodereversecode пишет:
он говорил что нашел чего то там в процессорах интел кажеться, но пруфов так и не показал
да ничего он не находил там, да и Раадт тоже не находил. в еррате Раадт нашел чего-то да и все.

Добавлено спустя 5 минут
з.ы. кстати уточнение, а то мало ли кто-то обидется что я КК назвал "компилятором". тут даже и по книгам его видно -- парочка первых более-менее уникальны, Техника и философия хакерских атак и Фундаментальные основы хакерства пожалуй, а остальное копипаст+компиляция из предыдущих книг, + чота из статей ксакепа и т.п. ну и книги традиционно написаны быстро, без должной редактуры, кишат ошибками етц.

ну а про демонстрацию конечно же лол. да и на форуме КК любил лишнего приукрасить )

| Сообщение посчитали полезным: ajax, elch

Вобще исходники мыщхъ выложил после ночных посиделок в уютной тогда еще комнатке wasm
--> Следствие об исходных текстах от [18 May 10 23:51] <--
когда создали тему.

после чего они уже были и там
http://nezumi-lab.org/cpu_bug_src.zip


p.s
difexacaw, VanHelsing, shellstorm может вам, завести еще девочку-твинки?


| Сообщение посчитали полезным:

microxa пишет:может вам, завести еще девочку-твинки?

спасибо, но можешь снимать колготки, я не по эльфам и трапам.

| Сообщение посчитали полезным:

microxa пишет: уютной тогда еще комнатке wasm
ржу нимагу
microxa
и чо? сырки 2009 и
VanHelsing пишет: крис, как умелый компилятор, решил про это рассказать


-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax

я честно вообще не понимаю, почему криса считают некоей легендой. вот серьезно, есть и гораздо круче товарищи, на порядки круче, которые в глухом андерграунде и не торгуют лицом во всяких ксакепах и на всяких конфах для скрипт-кидди... таких людей много, тот же Инде например. да и на екзелабе довольно много мастеров, и на васме были, за бугром думаю еще больше...

а КК... ну лил воду он про хакерство, беллетристику свою компилял, а в ксакепе писал как покрячить винрар -- охренеть, якобы элита вещает о том как сломать бесплатную программу без защиты.

и вообще мне кажецо что все кто пишут мол я там вырос на книгах КК, училсо по ним етц -- все это звездеж и лицемерие, ничего ведь там нет в этих книгах.

| Сообщение посчитали полезным: Abraham, ajax

VanHelsing,с тобой полностью согласен,я пробовал читать его.
Мне не понравилась.
Его пособие отличаются низким уровнем строгости и методической продуманностью изложения.

| Сообщение посчитали полезным:

кукушка хвалит петуха за то, что хвалит он кукушку

| Сообщение посчитали полезным:

'vx' Индей это такое боевое нервно-паралитическое вещество, а в твоем понимании 'vx' это СПГС в твоей, кхм переполненной событиями жизни.

Из области так называемого 'vx' у тебя есть ровно одно существенное достижение за почти 10 лет - blast и кое-кто еще взял одну из твоих немногих годных идей (есчо времен виртека с гритом) и реализовал в своем коммерческом продукте, который впрочем скоро стал опенсурс. Причем ему пришлось идейку твою знатно допилить, поскольку ты сам не сделал ничего кроме кукареканья на виртеке в 2009.

Так вот когда тебе показали реализацию твоей идеи, а идеей это назвать вообще сложно, это скорее фича которую ты просто нашел и толком даже не понял как использовать, ты это просто обосрал как делаешь обычно со всем что тебе непонятно. Тред был на васме, кажись в конце 2012, было много кококо от тебя и полное непонимание что там и к чему.

В сухом остатке с твоим 'vx' у тебя осталась могучая кучка "криптовщиков" которым ты нужен был только для вставки очередного антиэмульного гавна в свои "лоадеры" да "винлоки". К тебе отношение сложилось давным-давно как к наркоману-неадеквату, с запредельным ЧСВ и околонулевым КПД. Так что не обижайся, на зеркало вообще пинять не стоит ;)

| Сообщение посчитали полезным:

А как же десятки могучих моторов: IDP, GPE, SIDE, VMBE и еще много-много разных загадочных аббревиатур

(почему-то вызывающих стойкую эрекцию), использующих уникальную технику p-, s-,d- (вставьте любую

букву) маршрутизации?

Неужели всё это фейк, бессмысленное творение больного мозга!?

| Сообщение посчитали полезным:

spinz
ты есчо забыл про полную победу и выпил всех аверов с помощью уникальной технологии "бокс по вирустоталу" - это когда ты берешь свой илитный кодес (который там картинка с убегающими от 'vx' аверами - не шютка, вполне реальный крякмис от индея), морфишь его всем алфавитом маршрутизаций и с помощью двига ББПЕ заливаешь на ВТ.

Нет никаких детектов??? Аверы выпилены как класс! Пипирка стает столбом и фонтанирует в потолок, падающая вниз малофья (это еще один ник индея на васме Malfoy, никакой пошлятины!) воспринимается как мана небесная. А стоп, с религией и евреями у него тоже проблемы. Рандомный бред, да, но сугубо по творчеству сабжа.

| Сообщение посчитали полезным:

spinz пишет: А как же десятки могучих моторов: IDP, GPE, SIDE, VMBE и еще много-много разных загадочных аббревиатур

прям заинтриговали, скиньте, интересно посмотреть. IDP загуглил, но эта техника настолько древняя, что отдает археологией, но в целом вполне рабочее. целесообразность и подачу оценивать нет желания.

| Сообщение посчитали полезным:

shellstorm
Думаю, что вы недостаточно подготовлены для изучения этих техник.

Там требуются годы употребления самых тяжелых веществ в самых опасных сочетаниях и дозировках +
развитый маниакально-депрессивный психоз +
курс лечения оного психоза (и снова вещества!) в белорусской дурке, впрочем незаконченный.

| Сообщение посчитали полезным:

spinz пишет: Думаю, что вы недостаточно подготовлены для изучения этих техник.

есть опыт общения с непризнанными гениями, да и при рассмотрении части аббревиатур вижу вполне себе древние технологии, например те же стек фреймы, трассировка и захват, прям бэк тайм в нулевые.
что то подсказывает, что весь бугурт не из за аббревиатур, а из за подачи и личной неприязни которая копилась годами. пробежался по старым топикам и сабж далеко не ангел, хотя сейчас видны кардинальные перемены.

| Сообщение посчитали полезным:

shellstorm пишет:
бугурт не из за аббревиатур, а из за подачи и личной неприязни

Ну что вы, разве может быть неприязнь к любимому многими балбесу из Могилева.

| Сообщение посчитали полезным:

IDP - копировка техники патч гуарда
GPE - не помню, что за гуано, помоему копировка идеи мсрем с копированием кода в буфер и переключение управления туда
SIDE - копировщик любого апи логгера
VMBE - не помню, что за срань, но помоему копировка наномитов

т.е. индей типичный копировщик. единственная вещь которую он помоему ни у кого не скопировал это использование винапи с захватом хендлов, хотя эта приблуда у ионеску описана лет 10. просто индий это скопировал и переделал в определение драйверов аверов. т.е. уровень индия это вызвать известную винапи.

а еще он умеет вызывать дождь ( на полном серьезе утверждал на васме ). Видимо вызывая дождь он поливает овощи, а стало быть самого себя

но с другой стороны без индия было бы скучно, и он волей не волей стал частью той мифической несуществующей vx сцены, которая некогда была выдумана другими норкоманами

| Сообщение посчитали полезным:

SegFault пишет: а еще он умеет вызывать дождь ( на полном серьезе утверждал на васме )

если реально такое было, в таком случае сдаюсь, с таким еще не сталкивался в личной практике.

| Сообщение посчитали полезным:

ладно, shellstorm индей
>>сабж далеко не ангел, хотя сейчас видны кардинальные перемены.

но... spinz, вы тоже оно? ну тоесть они.. эти.. твинки... растущие из одной задницы...
сиг-натура-то, палицо

ps. под подозрением в этом увлекательном квесте SegFault

Alchemistry раскажите секрет, это _как-так_ надо поехать???

зы. поговорочка в данном клиническом случае звучит как:
петушка хвалит кукуха, за то што хвалит он петушку..


| Сообщение посчитали полезным:

microxa ты пантолоны то свои подними, упали, хэкирок

| Сообщение посчитали полезным:

квакерок йа...


| Сообщение посчитали полезным:

SegFault пишет:
а еще он умеет вызывать дождь
дождь фигня,
помню как клерк заявлял что может сжечь себя и воскреситься, какими то там секретами йогов владеет говорил..

| Сообщение посчитали полезным: egyp7