Итоги 2019 и ожидания от 2020

Предлагаю в этой теме подвести итоги 2019 года в области реверс-инжиниринга в целом и иисследований программ в частности.
Дополнительно интересно узать ожидания участников exelab.ru от 2020 года (и далее).

Возможные темы для обсуждения:

Софт реверсера
- Публикация Гидры (GHIDRA), нового публичного и бесплатного конкурента IDA. Регулярные обновления. Движок декомпилятора Гидры прикручивают к другим инструментам
- Вскрытие инсталяторов IDA через атаки на алгоритмы рандома из стандартных библиотек
- Cutter (radare2) получил поддержку отладки
‏
Утечки
- Постоянные утечки персональных данных у крупных операторов персональных данных, включая государственные (Сбербанк)

Защита и виртуализация
- VMProtect научился виртуализировать C#
- Девиртуализатор VMProtect и DENUVO

Россия
- Чебурнет

Добавляйте, что особенно запомнилось вам, добавлю в список.
В конце следующего года можно будет сверить ожидания с реальностью.

-----
EnJoy!

| Сообщение посчитали полезным:

Реверсировать отсутствующий код методом спиритического вангования?
Проще с нуля написать

| Сообщение посчитали полезным:

Спасибо, но я не хочу Z80 учить, старьё такое, что там один аккумулятор помойму да?

| Сообщение посчитали полезным:

И тот щелочной

| Сообщение посчитали полезным: yashechka

yashechka пишет:
Спасибо, но я не хочу Z80 учить, старьё такое, что там один аккумулятор помойму да?
В вариации, которую видел в 93 году - 2 аккумулятора (A и A'), 2 набора регистров (B, C, D, E, H, L, B', C', D', E', H', L'), из которых можно образовывать регистровые пары BC, DE, HL, BC', DE', HL' и индексовые пары IX и IY. Только один набор можно использовать единовременно, но переключаться можно без проблем.

-----
IZ.RU

| Сообщение посчитали полезным:

Это в 8080 был один

| Сообщение посчитали полезным:

Я был слишком мал, но смог его запомнить, он шел в моей денди, китайском клоне, назывался 6502.
Мы тогда ещё не знали даже, что такое ЦПУ, называли КРУ по русски.
https://monster6502.com/

| Сообщение посчитали полезным:

Так там вроде написано что 68000 мотороллер

| Сообщение посчитали полезным:

reversecode пишет:
в каких лучах ? с кем купаюсь ?
разве что прийдешь спину потрешь
Ты что не чувствуешь как они тебя греют
А по сути твоему терпению можно позавидовать, реверсить за спавсибо это не благодарное дело........

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Не, 68К был у сеги.

| Сообщение посчитали полезным:

Земеля, ну я за что купил, за то и продаю, по твоей же ссылке написано. Или мой английский хромает?

| Сообщение посчитали полезным:

How big would a 68000 microprocessor be at the scale of the MOnSter 6502?
Also about 19 square feet (1.7 square meters).
Are you going to make a 68000 next?
No.
- Насколько большим был бы микропроцессор 68000 в масштабе монстра 6502?
- Около 19 квадратных футов(1.7 квадратных метров)
- Вы собираетесь реализовывать 68000 следующим?
- Нет

Реплики 3 и 4 юмористические, речи о том, что там 68000 нет.

-----
2 оттенка серого

| Сообщение посчитали полезным: yashechka

У сеги зилог был в качестве звукового проца.

| Сообщение посчитали полезным:

_MBK_ пишет:
Реверсировать отсутствующий код методом спиритического вангования?
Проще с нуля написать
по совету друзей мы нашли копию где все кишки есть но это тестовая сырая версия с ошибками pe-файл есть и более стабильная но без конвертёра-гиф в zx-асм php.
yashechka пишет:
Спасибо, но я не хочу Z80 учить, старьё такое, что там один аккумулятор помойму да?
Как Мило Я так и думал.Поэтому В связи с Участившимися случаями попрашайничества Открываю ПрофСоюз 'Помощь Белорусским Спектрумистам" ПБС- Это вклад в прошлое чтобы увидеть будушее! Собираем кто сколько может хоть доллар хоть 3 мы рады любым долларам.Можете Передавать напрямую Нашему Общему Товарищу из БССР он распорядится по уму.

| Сообщение посчитали полезным:

Ну извиняюсь, был пьян и неправ.
Просто как то необычно, что в описании вундервафли упоминается рарный проц в смысле возможного апгрейда... ;)

| Сообщение посчитали полезным:

ClockMan
милок, ты не обессудь
если что дедушка делает не так, так ты скажи

на дурняк за спасибо никому ничего не делаю
исходники не планируются выкладываться на паблик

| Сообщение посчитали полезным: ClockMan

reversecode

Лучше бы планировщик реверснул, было бы действительно что то интересное и годное, хотелось бы понять как он устроен. А какой толк от декомпиля автоматикой кривого отладчика, только если продать потом, но затея сомнительная, придётся всё долго отлаживать в км, а искать ошибки в не своих драйверах такого типа не очень то и просто.

-----
vx

| Сообщение посчитали полезным:

чей планировщик, винды ?
реверсить ради того что бы тебе было интересно ?
погугли и понаблюдай тенденцию и что действительно другим интересно

да да, конечно конечно если в трапе нельзя поюзать ds то дебагер не возможен в принципе
в каких драйверах ?
что отлаживать ?
клерк ты не программер, поэтому в принципе не может рассуждать что сложно а что просто

ааа клерк ты просто не в курсе какого отличного качества реверса можно добиваться
и считаешь что там что то где то криво и не понятно в лапше )) лол

| Сообщение посчитали полезным:

reversecode
а чем так хорош syser? я далек от темы ринг0 кодинга / реверса, но там же есть виндбг. Или он реально неудобен / чего-то не может?

| Сообщение посчитали полезным:

morgot пишет:
а чем так хорош syser?
Назови современный удобный отладчик ring0 ?))))
P/S
Windbg не в счёт)

Добавлено спустя 3 минуты
difexacaw
Вроде здоровый мужик а клянчишь как ребёнок у папы...... в своё время я реверснул часть кода из системной библиотеки так получил море экстаза и удовольствия советую и вам попробовать)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

сисер хорош всем

- маленьким компактным размером

- оконной универсальной мини гуи(кил 200 в бинаре) и что для ring0 очень актуально

- отладкой с сорсами(ни ollydbg ни x64dbg этого не умеют) и для ring0 тоже

- expr выражениями для наблюдения результатов(по моему это вообще ни один дебагер не умеет,только базовые выражения типа выводить регистр)
например вводим сложную формулу (ecx+*eax+2)/3 в окне вотча
и оно будет отслеживать при дебагинге что там в ecx и какое значение по адресу eax показывать результат
кроме eax ecx доступны все регистры и так же значения в памяти + брек поинты и количество срабатываний

- хорошая архитектура, можно сделать билд даже для линукса, под макось итд тем более

| Сообщение посчитали полезным:

reversecode пишет:
expr выражениями для наблюдения результатов(по моему это вообще ни один дебагер не умеет,только базовые выражения типа выводить регистр)
Вообще-то умеет даже стоковая ольга, не говоря об ексодии.

-----
2 оттенка серого

| Сообщение посчитали полезным:

я знаю что все умеют простые expr
но на сложных помнится не все умеют
сложные я имею ввиду взятие значение по експрешену и дальнейшие его експрешын

| Сообщение посчитали полезным:

ClockMan

> клянчишь

Это был просто пример, реверс чего интересно почитать. Это не означает просьбу. А реверс сиськи никто не увидит(он прошлый раз сурки заныкал, не важно были они или нет), тогда и смысла нет про него говорить.

-----
vx

| Сообщение посчитали полезным:

reversecode пишет:
оконной универсальной мини гуи
А там на чем реализовано и насколько универсально?

-----
В облачке многоточия

| Сообщение посчитали полезным:

ClockMan пишет:
Назови современный удобный отладчик ring0 ?))))
P/S
Windbg не в счёт)

Я писал выше, что далек от ринг0 разработки; касаемо же windbg - мне он не зашел, ни uwp версия, ни классическая с разными конфигами ; мб у меня просто мало опыта или я сильно привык к олли, но для меня виндбг - жутко кривая и неудобная вещь. С которой по уровню мазохизма может поспорить разве что линуксовый GDB.

reversecode пишет:
- отладкой с сорсами(ни ollydbg ни x64dbg этого не умеют) и для ring0 тоже
x64dbg умеет для юзермода, там есть вкладка сорцев (при наличии pdb файла вроде).
Тогда еще неясно - почему бы не купить сорцы сисера у автора? Где-то это обсуждалось? Автор умер или пропал? Знаю лишь, что это какие-то китайцы были.

| Сообщение посчитали полезным:

Boostyq пишет:
А там на чем реализовано и насколько универсально?
C++ или о чем речь ?
очень универсально
нужен только фрейм буффер
и переопределить функции для получения событий от таймера и клавиатуры и мыши
либо можно чтото заигнорить если не нужно

morgot пишет:
x64dbg умеет для юзермода, там есть вкладка сорцев (при наличии pdb файла вроде).
гм скачал перепроверил
феил конечно
оно умеет показывать листинг сорсов
но отладка ведеться по асм коду
т.е. соурс левел дебагинг как это делает студия и как это сделано в сисере
и делать коллапс соурс лайн и видеть асм и идти отладкой по нему

в x64dbg - нет

про просмотр переменных итд сложных структур в сорс левеле для x64dbg тем более не доступно

как доставать значение по адресу в експрешине в x64dbg тоже не нашел
базовые *eax к примеру не работают

такая красота есть только в сисере




morgot пишет:
Тогда еще неясно - почему бы не купить сорцы сисера у автора? Где-то это обсуждалось? Автор умер или пропал? Знаю лишь, что это какие-то китайцы были.
так найдите китайца
поообщайтесь и купите
а то много рассуждений, а дела мало

| Сообщение посчитали полезным:

reversecode пишет:
т.е. соурс левел дебагинг как это делает студия и как это сделано в сисере
и делать коллапс соурс лайн и видеть асм и идти отладкой по нему
Интересно, надо будет посмотреть, мб реально он для юзермода удобней будет..

reversecode пишет:
так найдите китайца
поообщайтесь и купите
а то много рассуждений, а дела мало
Так я причем, я этим сисером до ваших постов ни разу не интересовался. Знал, что был такой китайский дебагер, 2 раза на васме упоминали, что умер и все. Ну умер и умер, софтайс тоже раньше все хвалили. Просто реверснуть такого уровня софт..ну не знаю, я бы не смог. Думал, мб кто-то искал оригинального автора и причины, почему он прекратил разработку, или это контора была какая-то, или он умер.

| Сообщение посчитали полезным:

reversecode пишет:
очень универсально
нужен только фрейм буффер
и переопределить функции для получения событий от таймера и клавиатуры и мыши
либо можно чтото заигнорить если не нужно
Т.е. там абстракция от winapi, и рисуется полигонами?
А конкретно в syser чем отрисовывается (имею ввиду какой бэкэнд, directx или opengl или еще что) и как часто (только при изменение или на каком то фпс)?
Просто здесь и подстветка синтаксиса есть и куча виджетов, если это все самописное, тогда мое почтение кодерам

-----
В облачке многоточия

| Сообщение посчитали полезным:

в сисере все самописное, вся гуи в сорсах у меня заняла 600 кил
рисуется во фрейм буфер
в ядре фрейм буфер берут через хук директ икса
в юзер левеле рисуется в CreateDIBSection окна
дальше все положения мыши итд примитивы расчитываются и рисуются
в ринг0 рисуется когда что то меняется
сделали степ или нажали кнопку и что то изменилось
пошел нотифи о изменениях екрана, нотифи прошел по всем окнам
пересчитались пересечения
перерисовались
и все перенеслось во фрем буфер

в ринг3 так же
только в ринг3 еще отдельно процессинг вин апи дефолтной процедуры окна крутится
и от туда берутся все евенты мыши клавы, изменений окна

| Сообщение посчитали полезным:

reversecode

Вот ты начал эту поделку декомпилить, утверждаешь что второй раз. Тогда скажи, что произойдёт с #GP. Я занового пролистал его ISR, без реверса просто полистал и пошёл пить пивас. Это не корректно написанная заглушка. Нет проверки на мод, а далее проверка на список процедур и в зависимости от него меняется механизм возврата из прерывания. Зная проверяемый список, те смещения в syser.sys можно выполнить передачу управления, например mov r32,n(n проверяемый адрес)/jmp r32 что приведёт к #GP, проверка пройдёт и далее в лучшем случае будет синь, а при атаке передача может быть на произвольный код.

-----
vx

| Сообщение посчитали полезным: