Привет Всем.
Здесь буду потихоньку выкладывать новый курс по ИДЕ (перевод статей автора Рикардо Нарваха)
--> Link <--
А тут, красивые PDF.
--> Link <--
Как только закончу снимать отладку, перейду на реверсинг с нуля и на что-то ещё.

Буду рад услышать любые комментарии по курсу
--> Link <--

Также всем Спасибо за лайки.

===
--> 01 <-- - Знакомство с IDA PRO.
--> 02 <-- - Системы счисления.
--> 03 <-- - Регистры процессора.
--> 04 <-- - Стек и самые простые инструкции.
--> 05 <-- - Инструкции LEA и MOV.
--> 06 <-- - Математические инструкции.
--> 07 <-- - Безусловный переход JMP, CALL и RET.
--> 08 <-- - Сегменты.
--> 09 <-- - Загрузчик и первые функции.
--> 10 <-- - Запуск встроенного отладчика.
--> 11 <-- - Флаги процессора.
--> 12 <-- - Первый реверс.
--> 13 <-- - IPYTHON.
--> 14 <-- - Упакованные файлы.
--> 15 <-- - Распаковка PE файла.
--> 16 <-- - Скрипт и IAT.
--> 17 <-- - Удаленная отладка.
--> 18 <-- - Практика.
--> 19 <-- - Реверсинг крекми CRUEHEADa.
--> 20 <-- - Уязвимости.
--> 21 <-- - Переполнение буфера в стеке.
--> 22 <-- - Различая в машинном коде.
--> 23 <-- - Практика.
--> 24 <-- - Практика.
--> 25 <-- - Структуры.
--> 26 <-- - Структуры.
--> 27 <-- - Структуры. (--> 27.2 <--)
--> 28 <-- - Структуры.
--> 29 <-- - Подготовка к CVE.
--> 30 <-- - CVE-2008-4654.
--> 31 <-- - POC для CVE. (--> 31.2 <--)
--> 32 <-- - Добавляем WINDBG.
--> 33 <-- - Подлючение MONA.PY.
--> 34 <-- - Знакомство с DEP.
--> 35 <-- - DEP и NO DEP.
--> 36 <-- - DEP и NO DEP.
--> 37 <-- - DEP и NO DEP.
--> 38 <-- - SEH и CANARY.
--> 39 <-- - DEP, SEH + CANARY.
--> 40 <-- - Универсальный шеллкод.
--> 41 <-- - Строки в куче, стеке и сегменте данных.
--> 42 <-- - Решение упражнения 41А.
--> 43 <-- - Решение упражнения 41B.
--> 44 <-- - HEAP.
--> 45 <-- - Упражнение 41B.
--> 46<-- - Практика с кучей.
--> 47<-- - LOW FRAGMENTATION HEAP.
--

| Сообщение посчитали полезным: Apocalypse, zds, srm60171, =TS=, gleco1, Gideon Vi, Djeck, zNob, SReg, ksol, filyaxxxcom, N_E_O, Orlyonok, Abraham, mak, ClockMan, VodoleY, Bad_guy, verdizela, negoday, _k0NkurS, TOM_RUS, vnekrilov, anonymous, HandMill, DICI BF, olafudaf, tRuNKator, CoolMax_86, TryAga1n, AtilkaShooter, CyberGod, BiteMoon, d745150, mr_yoda2, IranR, Nau, AlxVD, needmic, Diabolic, hlmadip, BAHEK, CKAP, Norinke, Znoy, YoY, Medsft, oxiusova, ww00, awoland, Isaev, rukop84, Rio, Hugo Chaves, papavlo, r_e, ac86, ys72

https://wasm.in/blogs/vvedenie-v-reversing-s-nulja-ispolzuja-ida-pro-chast-45.642/r_e пишет:
Ты молодец что не бросаешь на полпути. С каждой новой главой просто пости сообщение в теме - и тема будет подниматься.
--> 45<--

| Сообщение посчитали полезным: ClockMan

yashechka
--> Код в шапку <--
Вам спасибо за переводы )

Поправь "Различая в машинном коде."

| Сообщение посчитали полезным: yashechka

Офигеть,
Спасибо большое.

Добавлено спустя 3 минуты
https://drive.google.com/file/d/1j19Vc19ofr1gNGnmO7kJBxlnHlXGP3gX/view?usp=drivesdk

| Сообщение посчитали полезным:

--> 46<--
Неужели я сделала 46 переводов

| Сообщение посчитали полезным: kp0m

--> 47<--
Вотъ

| Сообщение посчитали полезным: ksol

yashechka - Вы эту часть (part 47) переводили с испанского?
------------------------------------------------------------
И другое.
Мне кажется, вы напрасно переводите используемое в IDA служебное
слово offset . Особенно это заметно в следующем контексте из части 28.
" OFFSET DWORD 0xB1Fdd4
We had said that OFFSET in IDA meant a memory address and the DWORD that is next it means that
it points to a DWORD(int) " . Вы переводите
" OFFSET DWORD 0x00B1FDD4
Мы сказали, что СМЕЩЕНИЕ в IDA означает адрес памяти и DWORD, который стоит рядом,
означает что это указатель на DWORD(INT) "
Я бы написал так:
" Как было сказано раньше, слово OFFSET в IDA означает адрес памяти..."
Конечно, адрес в памяти это по сути есть смещение. Но а данном контексте акцент делается
на просто адресе переменной в отличие от её значения и нет надобности искать какое-то
там смещение.

| Сообщение посчитали полезным: yashechka

Да. Переводил с испанского сам, потому что английский закончился. Потом ездил к репетитору-носителю языка и она мне поправила ошибки. Также она сказала, что в тексте много ошибок. Нарваха либо не испанец, либо не пользуется иправлялкой ошибок. Ну про это я уже писал. Позже мне ответили, что он с Аргентины. То есть его язык как украинский для нас. Следующий перевод почти готов, осталось только к ней съездить.

| Сообщение посчитали полезным:

yashechka, можешь сделать урок или рассказать как в ида про отлаживать проекты, когда есть экзешник и куча дллок. Я хочу типа поставить бряки в нужных местах в разных дллках и в экзешнике и все это сразу дебажить в ида. Примерно так легко это делается в ollydbg, то есть я там ставлю бряки один раз и потом просто могу отлаживать. Но в ида не понятно как сразу все это вместе отлаживать, если я загружаю экзешник в иду, то не могу нормально наставить бряки на дллки его. Я также могу загрузить конкретную дллку, в свойствах задать экзешник и дебажить только эту дллку, а хочется все вместе как-то объединить как в ollydbg чтобы.

| Сообщение посчитали полезным:

Видео-урок пока не запищу, но ссылок подкину
--> Link <--
--> Link <--
--> Link <--
--> Link <--
--> Link <--
--> Link <--

| Сообщение посчитали полезным: ClockMan

yashechka, это как раз способы просто как отлаживать дллку методом аттача, а я хотел в ида открыть экзешник, потом следом через add binary file пункт добавить дллки нужные и поставить сразу бряки в них. Но проблема в том, что таким способом, когда я добавляю как дополнительные бинарники, то ида их криво как-то разбирает, к примеру, не показывает экспорт у них, то в экспорте будут только из экзешника. Потом почему-то имена функций не распознает в дллке, хотя если я именно дллку открываю в ида (а не как ее доп файлом кидаю туда), то все норм распознается.

| Сообщение посчитали полезным:

yashechka пишет:
Позже мне ответили, что он с Аргентины. То есть его язык как украинский для нас.

yashechka пишет:
Также она сказала, что в тексте много ошибок

Во-первых, не "с Аргентины", а "из Аргентины". Это типичный пример малограмотного украинизма.
Во-вторых, Рикардо, происходящий из аристократической испанской семьи, переехавшей в Буэнос-Айрес в середине ХIХ века, знает родной язык достаточно неплохо, пожалуй лучше, чем мы с вами знаем украинский.
А насчет того, что "в тексте много ошибок", то это либо обычные, неизбежные typos, т.е. опечатки, либо т.н. vernaculars, слова, используемые людьми одной профессии (программистами, к примеру), людьми, принадлежащими к одной социальной группе (уголовный мир), либо группой лиц, проживающих в одной местности и т.д.
Этой терминологии ваш "репетитор-носитель" может и не знать, если она не знакома с "профессиональной феней".

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: yashechka

Она начала исправлять его ошибки, но я сказал - не надо. Нj запомнил одну. Почему он не ставит точки и запятые ? Вот пример.
===
Con esto tenemos una vista de las tablas principales y sus valores en la oficina parte veremos si nos ayuda para estudiar como decide alocar en el heap estándar o en el LFH.
===
И причем тут oficina? Так говорят в Аргентине?

Добавлено спустя 1 час 52 минуты
mazaxaker пишет:
yashechka, это как раз способы просто как отлаживать дллку методом аттача, а я хотел в ида открыть экзешник, потом следом через add binary file пункт добавить дллки нужные и поставить сразу бряки в них. Но проблема в том, что таким способом, когда я добавляю как дополнительные бинарники, то ида их криво как-то разбирает, к примеру, не показывает экспорт у них, то в экспорте будут только из экзешника. Потом почему-то имена функций не распознает в дллке, хотя если я именно дллку открываю в ида (а не как ее доп файлом кидаю туда), то все норм распознается.
Тогда не подскажу, смотреть надо.

| Сообщение посчитали полезным:

yashechka пишет:
Почему он не ставит точки и запятые?

Вопрос вполне закономерный. Скорее всего потому, что он человек очень занятой, свои статьи пишет "на общественных началах", стараясь тратить как можно меньше времени и сил на "декоративное оформление", которое он, как технарь, важным не считает. Типа, кому надо, разберутся, а "не нравится - не кушай!"

yashechka пишет:
И причем тут oficina? Так говорят в Аргентине?

не знаю, я не бывал в Аргентине.
Но тут дело скорее не в Аргентине, а в том, что сама фраза слегка искажена.
Но по контексту ее можно восстановить:

Con esto tenemos una vista de las tablas principales y sus valores, en la parte official (otra?) veremos, si nos ayuda para estudiar como decide alocar en el heap estándar o en el LFH.

Перевод:
Теперь, после всего выше сказанного, мы знаем как получить отображение главных таблиц и их значений.
Далее ("в следующей части" ?) увидим, как это поможет нам в изучении вопроса об выделении памяти для стандартного heap'a или LFH.

А вообще, советую не зацикливаться на мелочах. Если понимаете смысл - передавайте его своими словами. Это в конце концов не стихи и не художественная проза. Это технические статьи для специалистов, которым нужен смысл, а остальное мы додyмаем сами.
Удачи!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: yashechka

--> 48.1<--

| Сообщение посчитали полезным: ClockMan, mak

решил восстановить свой пост.
Я предлагал внести небольшие изменения в техт, чтобы сделать его проще и легче для восприятия:

"Мы будем стараться продолжать обсуждать распределение, чтобы увидеть сможем ли мы понять логику распределения и увидеть, что говорит программа, если распределение происходит в LFH или в СТАНДАРТНОЙ КУЧЕ.
Мы будем продолжать использовать исполняемый файл из того же практического упражнения."

изменить на:

"Продолжаем обсуждение распределения, чтобы понять его логику и посмотреть на поведение прогаммы в случае если распределение происходит в LFH или в СТАНДАРТНОЙ КУЧЕ.
Используем исполняемый файл из того же практического упражнения"


На мой скромный взгляд, так короче, а смысл сохранен. Но это конечно дело личного вкуса, о котором не спорят.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
Не нужно гнаться за буквальностью подстрочного перевода, главное - передавать смысл своим естественным языком. Личное местоимение "мы" можно просто опускать, если оно подразумевается по контексту.
Спасибо. Это пожалуй моя главная ошибка.

| Сообщение посчитали полезным:

А мне наоборот нравится, имея каждый день контакт с разными иностранцами, часто приходится переключать логику мышления на другой язык. В этом переводе я бы сказал отсутствует главная черта Идиоматизации языка, что делает чтение лично для меня очень лёгким, т.к. мне не нужно перестраивать смысловые значения. Но конечно моя ситуация исключение Когда архив с PDF будет выложен на рутрекер? Если перевод делался в MS WORD, можно напрямую сконвертировать в пдф. Мне бы хотелось иметь именно такой перевод как сейчас, т.е. без редакции.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: yashechka

Редактируя я оригинал в LIBRE. Он тоже сохраняет в PDF. Как только курс будет переведен, я пройдусь по нему заново с новыми знаниями, устраню ошибки, уберу - МЫ ВИДИМ, уберу - КОТОРЫЕ, раскрою все местоимения, дополню всё существительными и прилагательными, раскрашу красиво, как я это делал и выложу для ВСЕХ. Только нужно подождать. Может ещё котика добавлю вместо его jeje :D http://yasha.su/VVRSNIIP_18.pdf

| Сообщение посчитали полезным:

mak пишет:
А мне наоборот нравится, имея каждый день контакт с разными иностранцами, часто приходится переключать логику мышления на другой язык. В этом переводе я бы сказал отсутствует главная черта Идиоматизации языка, что делает чтение лично для меня очень лёгким, т.к. мне не нужно перестраивать смысловые значения.

Но я же этого не знал и знать не мог, особенно про иностранцев.
Так что снимаю шляпу, спускаю флаг...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Увы шапка обрезается, поэтому ссылки только по тексту
--> 48.2<--

Не совсем удачный перевод, но даже репетитор разводит руками, говоря, что ей трудно понять, что Рик хотел сказать, со своим аргентиским наречием. Также все усугубляет, то что она не связана с программированием. Поэтому она переводит для меня дословно. Также он придумывает слова, которых нет. Произодные от английскийcого -PUSHEA, PIVOTEANDO. В любом случае, на 90 % здесь все правильно, может даже на 95 ))

Добавлено спустя 2 минуты
Пойду переводить дальше.

| Сообщение посчитали полезным: ksol

В части 30, похоже, Нарваха запутался в этих malloc, calloc и вы, Яша, за ним по пятам.
Из текста видно, что 1-й всё же должна быть calloc :
"There, I will prove that passing the same values to malloc, it returns zero or
does not alloc and return any reserved memory address while doing it with
malloc, it allocated 0x10 which it realy worked and wrote 0x10000001 causing
BUFFER OVERFLOW."
Ваш перевод:
"Здесь, я докажу, что передавая одни и те же значения в функцию MALLOC,
функция возратит нуль, т.е. не выделит ничего и не возвратит
любой зарезервированный адрес памяти. Делая же всё это с
использованием функции MALLOC, будет выделено 0x10 байт,
которая если отработает и запишет внутри цикла MAXIMO
значение 0x10000001 вызывая ПЕРЕПОЛНЕНИЕ БУФЕРА,
Здесь Вы видите выход из функции CALLOC. Регистр EAX равен нулю,
в том время как уязвимая версия использует функцию MALLOC
и выделяет нужное значение."
---------------------------------------------

Кстати, из приведённой там картинки видно, что для доказательства EAX = 0
Нарваха отступил от IDA и перешёл к отладчику OllyDbg !

| Сообщение посчитали полезным: yashechka

Спасибо. Всё учтём.

| Сообщение посчитали полезным:

При попытке открыть оригинальный на английском файл части 31 архиватор 7z
запрашивает пароль. Может кто знает и скажет?

| Сообщение посчитали полезным:

Там подписано в имени. Пароль - a

| Сообщение посчитали полезным: ksol

yashechka - Спасибо! распаковал! Вот уж не думал, где надо искать.
Я имена не читая, сразу менял - очень уж длинно их он пишет. А архиватору я
пробовал давать 0 , 1 - до буквы не дошёл.

| Сообщение посчитали полезным:

Рикардо выложил новые главы. Доступны №63 и №64.
--> Link <--

| Сообщение посчитали полезным:

--> 49<--
Сильно не пинайте, переводил сам.
Следующая часть - в сентябре, слишком много вопросов по ней.

| Сообщение посчитали полезным: mak, soft, ksol

Друзья, простите за длительную задержку.
--> 50<--

Добавлено спустя 6 часов 26 минут
--> 51<--

| Сообщение посчитали полезным: ksol, SReg, CyberGod, subword, ClockMan, SGA, batter-f

--> 52<--

| Сообщение посчитали полезным: SReg, ClockMan, mak

--> 53<--

| Сообщение посчитали полезным: SReg, ClockMan, CyberGod