https://exelab.ru/f/action=vthread&forum=5&topic=26066&page=2#25

Хотелось бы узнать подробно как делать снимки трасс с использованием DYE.
Запишет кто видос?

| Сообщение посчитали полезным:

Не удивительно, посмотрят такие видосы, а потом вопросы что с этим делать.. кнопок то нету, собирать нужно

Кстате через визор удобно вытянул драйвер из pchunter. Антидебаг не позволяет это сделать через олли, ядерный отладчик для таких целей использовать это безумие, десяток строк для модуля фильтрации(описатель -> имя) и готово.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
вытянул драйвер из pchunter
Он же как все - выплевывает дров в папку программы перед загрузкой (..\PCHunter\PCHunter64as.sys)
Можно без мотора просто забрать файл из NTFS, он там так и лежит себе спокойно, ибо секьюрного удаления нетъ

| Сообщение посчитали полезным: BlackCode

difexacaw пишет:
кнопок то нету, собирать нужно

Так в ПИН тоже, вроде, кнопками особо не разживешься и большую (самую интересную) часть нужно собирать, программировать. И порой, это программирование занимает под 1000 строк кода. В общем, ваши моторы и визоры (а есть ли они, вообще, и исходники на них? ) - "сливают" ПИНам и Рио-де-Жанейрам по полной программе. Поэтому-то вы так долго и "мутите воду" вокруг вашего Дия, чтобы отбить желание в нем разбираться и тем самым вывести вас на чистую воду. Вы уж честно признайтесь, Инди, ведь все так и есть?

| Сообщение посчитали полезным:

VOLKOFF пишет:
Он же как все - выплевывает дров в папку программы перед загрузкой (..\PCHunter\PCHunter64as.sys)
Можно без мотора просто забрать файл из NTFS, он там так и лежит себе спокойно, ибо секьюрного удаления нетъ
Так слишком просто и не интересно

| Сообщение посчитали полезным:

VOLKOFF

А если нужно подсмотреть IOCTL'ы, нужен другой тулз, апимон.. Если инструмент обеспечивает покрытие большинства задач, зачем использовать сотни всяких других

sim_19

Пины это не целевые инструменты, например эмуляция пином наборов, не поддерживаемых процем вполне полезная фича.

> есть ли они, вообще, и исходники на них?

Я выложил сурец с основной обработкой, весь билд вам не нужен. Трасса это лишь побочный эффект" от работы визора. Исходная цель была определить выборки данных, что бы разложить атомы(те стабы эмулятора ав) и реализовать софт анклавы. Это из виксов инструмент.. Поэтому сравнивать с пином нет особо смысла.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Исходная цель была определить выборки данных, что бы разложить атомы(те стабы эмулятора ав) и реализовать софт анклавы.

Ну так я в предыдущем посте про это и написал, что исходная цель - это разложить все на атомы и дать каждому атому свое неповторимое название. Тогда там точно хрен ноги сломает и хрен кто что поймет.

| Сообщение посчитали полезным:

sim_19

Всё просто и понятно, вот вам наглядный пример --> Link <--

17fc_14.10.2019_EXELAB.rU.tgz - senclave.7z

-----
vx

| Сообщение посчитали полезным:

difexacaw, потестил на вин10, lj запускает dbgview без окна, но дий вроде отрабатывает. Можете поправить?

| Сообщение посчитали полезным:

test03219

А зачем на 10 ?
На хостовой системе запускаешь семплы

Есть много чего нужно отладить на 10, у меня пока её нет. Там куча защиты, из за этого многое не работает.

В примере два анклава - кодовый и данных(импорт). Это работает потому что нет строковых копирований(я это не добавлял, для тестового апп это не нужно) и выборок из ядра. Так если запротектить секцию данных никакое апп не заведётся, так как будет доступ из ядра. Если например попытаться создать диалог из ресурсов, а их поместить в защищённую область, то окна отрисовываются не корректно, так как данные выбирает напрямую ядро гуя(из ресурсов), возможно даже другой процесс(как например с манифестом - он не совместим с протекторами, так как читается серверным процессом). В 10-ке могут быть выборки из ядра откуда угодно, предсказать нельзя

И вообще отлаживать не своё на 10-ке это изврат. Есчо на линявый эмулятор поставить ради забавы посмотреть что получится

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Всё просто и понятно, вот вам наглядный пример

Да екарыный бабай, как сказал бы один известный персонаж, временами чем-то напоминающий Инди.
Инди, для достижения своих целей вам нужно было вместо вашего глухонемого понятного фильма - запостить картину известного художника под названием "Черный квадрт", а внизу подпись: "Всё просто и понятно, вот вам наглядный пример". А у кого будут возникать неудобные для вас вопросы, для тех вы всегда подберете пару, тройку ваших любимых слов типа: тупой валенок, церковно-приходская школа и т.д. и т.п.

Ладно хрен с ним с вашим мотором - может позже инженерам Интела удастся вытащить из вас секреты вашего Дия. Предлагаю вам вернуться к своей старой разработке - к реверсу и программированию Сусера. Вот только не надо делать удивленное лицо и говорить, что вы не понимаете о чем речь. Подумайте над моим предложением, я думаю, что многим это было бы интересно.

| Сообщение посчитали полезным:

sim_19

Напишите уже "кнопки где!?", иначе это всё пустое, вопроса нет и обсуждать нечего. Не нужно смотреть не понятные видосы, фильмец лучше глянь, целее мозг будет

-----
vx

| Сообщение посчитали полезным:

difexacaw синапсы целее

| Сообщение посчитали полезным:

difexacaw, на вин7 SP1 тоже самое. На какой системе сэмпл должен отрабатывать корректно?

| Сообщение посчитали полезным:

test03219

У меня на вин 7-8 работает. А у тебя это не работает я догадываюсь почему. Установлены фильтры(ав), они блокируют вредоносный семпл(кода и импорта нет, он в анклаве).

А откуда вы такие вообще берётесь, какая то дичь.. толпа нубья не понимает ничего и спрашивает не понимая что.. да просто жесть. Открыть отладчиком скилл не позволяет, там и отладочные символы есть, но увы

Закройте тему, не годится!

--
Ладно я есчо потерплю
Начинать нужно вот от суда --> Link <--
Затем следует смотреть данный материал --> Link <--

Очень просто описан принцип и два эти термина. В общем это не какие то локальные понятия, это принципы, из них далее следует многое.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:


Есть много чего нужно отладить на 10, у меня пока её нет. Там куча защиты, из за этого многое не работает.

т.е. ос релизнулась много лет назад, а ваш код до сих работает только в легаси ос, которая уже депрекейтед. Следовательно в нем смысла нет, т.к. против моторов пипл понаписывал и реализовали свои антимоторы.

senclave.7z

ну а где сорцы? дальше смотреть смысла нет, ковырять бинарь, чтоб понять, как оно работает нах оно надо

У меня на вин 7-8 работает. А у тебя это не работает я догадываюсь почему. Установлены фильтры(ав), они блокируют вредоносный семпл(кода и импорта нет, он в анклаве).

ну т.е. сэмпл не продуман и работает только в чистом идеальном окружении, в таком случае он должен выдать подробный лог, почему не работает, проработайте данный вариант и пофиксите баги

| Сообщение посчитали полезным:

int_256
Ты как из криосна вышел, у него посты всегда ради постов. Скажи спасибо что хоть под сисером на хп не надо ковырять его поделки

| Сообщение посчитали полезным: SReg

int_256 пишет:
ну а где сорцы? дальше смотреть смысла нет, ковырять бинарь, чтоб понять, как оно работает нах оно надо

Ну наконец-то в теме появился человек, который, по-моему, немного понимает меня. Вот я и задумался, кто этот человек? То ли проснувшаяся совесть Инди, то ли реальный человек со стороны? Ну да не суть...

int_256, немного проясню свою позицию. Чего я вдруг "прицепился" к мотору Инди, когда вокруг столько всего интересного? Все дело в том, что не так давно я открыл для себя PIN и захотелось немного углубиться в принцип его работы. Но он зараза сложноват все же, особенно если пытаешся немного "копнуть" вглубь, да и к тому же наполовину закрытый. Вот я и подумал, что, возможно, лучшим решением было бы начать с мотора Инди, как некоего учебного пособия. Если я не ошибаюсь, то, вроде, частичный принцип работы у ПИНа и мотора Инди похожи, да и разработчик всегда на форуме, в любое время можно уточнить что-то непонятное. Ага, щас... Размечтался!

P.S. Мне кажется, что Инди либо комплексует, что его поднимут на смех, если он раскроет секреты своего Дия, либо блефует и морочит всем голову, т.к. исходников нет, а есть какой-то, возможно, пропатченый свой вариант ПИНа. А так, по-хорошему, меня лично, устроил бы мотор Инди с исходниками даже для winXP. Какая разница на чем учиться.

P.P.S. Представил, что будет если я где-то "не догоняю" и не учел какие-либо тонкости. Ну кто не рискует...

| Сообщение посчитали полезным:

sim_19 пишет:
открыл для себя PIN и захотелось немного углубиться в принцип его работы. Но он зараза сложноват, да и к тому же наполовину закрытый
Что мешает поизучать открытый аналог (DIO)?

| Сообщение посчитали полезным:

VOLKOFF
То что это толстый тролль неудачник с васма более известный тут как sty, iuh и dma.

| Сообщение посчитали полезным: Orlyonok, Lambda

VOLKOFF пишет:
Что мешает поизучать открытый аналог (DIO)?

Да скачал уже, поизучаю. Думаете это будет проще, чем изучать мотор Инди? Тем более, что по всем приметам - делать что-то полезное для сайта он не собирается, а против меня так, вообще, подключаются все новые и новые его клоны. Вон уже и Алхимия Калистратовна прискакала куда ее никто не звал.

Алхимия Калистратовна, мне пока, как видишь, не до тебя, так что даю тебе фору - живи пока. Будет время, пошутим, поразвлекаемся - какие наши годы? Или ты уже на пенсии и троих мужей похоронила, а на форум тебя тоска и безысходность загоняют? Кстати, напиши про свои удачи - а то я давно хороших анекдотов не слышал.

| Сообщение посчитали полезным:

sim_19
Неудачная провокация, толстый троллинг, оффтоп итд, господин трехбуквенный. С нетерпением жду когда же тебя, наконец, забанят к куям - весь твой мультиакк

| Сообщение посчитали полезным: Orlyonok

Алхимия Калистратовна, да не кипятитесь вы так, успокойтесь, а то у меня аж монитор зашатался от вашей нервной тряСУЧКИ. Мне ли вам объяснять, какими правами обладают модераторы? Напишите на меня донос главному администратору, что я своими действиями угрожаю безопасности Белорусии и "дело в шляпе".

| Сообщение посчитали полезным:

int_256

> ваш код до сих работает только в легаси ос, которая уже депрекейтед.

Во первых нужно уточнить область применения. Тема ушла в виксы, нужно понимать зачем нужен с-анклав. Может ыть впечатление с того видоса что это какой то тип защиты, но это не так. Ядерная выборка есть не что иное как тот же атом, поэтому и работает анклав. Иначе визуально показать как это работает нельзя. Когда ав-вирт машина произведёт выборку из апи произойдёт то же самое, что и на видео.

Почему не работает я уже говорил, выясните сами, хоть что то будет полезное. Эти семплы не предназначены для нубья, к примеру семпл из темы по визорам сломается как только кто то попытается прочитать память - детект по железячной выборке. Это всё обнаружение посторонней активности, в идеале при любых таких условиях полезная нагрузка не должна вызываться. Иначе она пойдёт на сигн анализ, ссылок не должно быть.

В общем тема пошла немного не в правильном направлении, впрочем я лишь описал основную цель использования дий.

> ну а где сорцы? дальше смотреть смысла нет, ковырять бинарь

Бинарь и нужен что бы его отлаживать, тем самым узнать поближе технику. Если не можешь это, то и от сурков толку не будет. Выложив этот пример я и так все правила нарушил, вам вообще эти техники знать не следует, они выходят за пределы обычных задач. Скажи спасибо и развлекайся с отладчиком

sim_19

> если он раскроет секреты

Какие есчо секреты, всё давно выложено в паблик, кто хотел всё понял и использовал. А вам как вы говорите валенкам", сколько инфы не дай, всё равно её мало будет.

-----
vx

| Сообщение посчитали полезным: