Всем лучшего доброго времени суток!

Тема эта звучит уже давно. И постоянно ускользает в нескончаемом троллинге. В теме про Инди уже 15 страниц, а визоров нет... (Надеюсь, здесь такого не будет, будет исключительно по теме)
Хоть и автор этого сабжа частенько переходит дозволенные границы, перегибает палку, лезет в бочку, катит балоны и т.д и т.п, везде всё-таки визоры упоминаются. Я человек не обидчивый, знаю, что где-то внутри, может быть, глубоко, может даже очень, но Инди человек хороший и писать некие ненужные слова у него находятся какие-то внутренние причины. Разберётся в них, если только психиатр, и то не каждый...

Так вот, по сабжу. Что же это такое? Чем визоры могут помочь, например, мне? Я человек, кремень, мне только дай идею, ухвачусь, и ещё своего привнесу, улучшу... Если мне попутно, конечно, будет...

Хорошо бы реальные примеры здесь привести. То есть, визоры на практике. Видео, или пусть даже 10 абзацев рассказов об их применении.

Такая формулировка пойдёт?

P.S. Просьба большая ко всем - не троллить, а только по существу. Написал в основном форуме потому, что возможно это передовая технология и все мы упускаем её ввиду недостаточной адекватности её автора. Не хотелось бы, чтоб топ ушёл в оффтоп.

-----
IZ.RU

| Сообщение посчитали полезным: Adler, plutos

difexacaw пишет:
для твоих комерц целей эта тема - развод на инфу

Инди, ну ты чего? Любая технология должна найти себе применение! Без такого зачем она нужна-то? Так, разговоры, толки... трудно удержаться от броских слов даже

Добавлено спустя 13 минут
difexacaw
Весёлый ты представитель народа, нечего сказать даже - посмеялся от души )

-----
IZ.RU

| Сообщение посчитали полезным:

Вряд ли крелк скажет что-то внятное, привычно сольется, это происходило много раз, когда кто-то пытался реально вникнуть в его несуществующие техники.

Максимум - опять вякнет про вы все тролли, курите матчасть и т.п. Что вполне очевидно свидетельствует о "реальности" его мегатехник.
Петушок кукарекает, чтобы его слышали, иначе он не может обратить на себя внимание.

| Сообщение посчитали полезным:

DenCoder пишет:
Тема эта звучит уже давно. И постоянно ускользает в нескончаемом троллинге. В теме про Инди уже 15 страниц, а визоров нет... (Надеюсь, здесь такого не будет, будет исключительно по теме)
обещали по теме, а цель темы не ясна.
можете изложить ?

| Сообщение посчитали полезным:

DenCoder

> Любая технология должна найти себе применение!

В комерс.. ничего нового.

> посмеялся от души )

Да я тоже, есчо и не прошло

ar2r

> цель темы не ясна.

Обьясняю. Им нужно готовое и матчасть. Тема про альтернативные инструменты. Своё разработать не позволяет скилл/желание/время, выбери сам.

-----
vx

| Сообщение посчитали полезным: ar2r

лучше бы силы тратили не на инди

| Сообщение посчитали полезным: difexacaw, ar2r

Ух, понаписывали разного. Давайте я опишу, как я понимаю проблему. Поправьте, если что не так.

Dynamic Binary Instrumentation - более общее название тулов, к которым, по сути, можно отнести и хуки апишек или каких-то функций приложения, этот самый инструментэйшн позволяет с помощью модификаций бинарника изучать алгоритмы его работы. К визорам непосредственно сам термин не относится. Визоры (Уизоры) - ничего общего не имеющая с гипервизорами технология, название который придумал Клерк. В частности, визором почему-то называют Pin. Pin - некий аналог Jit компиляции, но для готового бинарного кода. Суть работы сводится к дизассемблированию функции до инструкции перехода, потом делается перехват перехода и вычисление фактического адреса перехода, и с того адреса алгоритм повторяется. После дизассемблирования такие куски морфятся - то есть переносятся в процесс Pin.exe (или любой другой процесс Уизора, т.к. мы рассматриваем технологию) с правкой байтов, если инструкции базозависимые. Таким образом, проанализированные один раз куски не анализируются дважды.

Вы спросите - нахрен это всё и где тут джит компиляция? А вот тут и кроется необходимость этой технологии. При "морфинге" инструкции могут не просто переноситься, но дополнительно снабжаться какой-то функциональностью (ну не сами инструкции, конечно, а эти вот куски - в них какие-то инструкции добавляются, какие-то модифицируются), что позволяет изучать поведение приложения, искать инструкции, проверять реакцию на модификации и т.д.

Что по вмпроту? Ну вот всю виртуализацию оно в таком виде развернёт на тыщи простыней-инструкций, дальше долбайтесь сами.
Что полезного по технологии? Хорошо может находить всякие хэндлеры кастомных кнопок, локализовывать функции регистрации, шоб пацаны видели, шо патчить - по-братски адреса подгоняет.
Почему быстрее трейса под дебаггером? Ну тут даже отвечать как-то неудобно.

Это так, если кто так и не понял, что тут за дела творятся. Название Уизоры очень важно, оно как бы намекает, какой буквы не хватает вначале.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: plutos, Hugo Chaves, dezmand07

индизор

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Давайте я опишу, как я понимаю проблему. Поправьте, если что не так.

Все так! Кратко, ясно и по теме!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Почему быстрее трейса под дебаггером? Ну тут даже отвечать как-то неудобно.
Причем здесь дебаггер вообще? Анализ инструкции + копирование в буфер + выполнение однозначно дольше прямого выполнения инструкции + ексепшна по TF.

| Сообщение посчитали полезным:

При обработке из ринг3 эмуляция быстрее трассировки на TF, причём в разы, если не на порядок. Если всю логику по трассировке максимально оптимизировать и запихать в ринг0, что потребует усилий, возможно разница будет не так заметна. Но последний вариант не пробовал, точно не скажу. TF имеется в виду классический, не только бранчей.

| Сообщение посчитали полезным: hors

spinz

И да, и нет. Зависит от ситуации. Один раз анализ + копирование - это O(n). Дальше инструментация почти без оверхеда. А тээф - каждый раз хэндлинг. Т.е. грубо O(n + m). Но опять же - что я могу знать? Нужны эксперты по визорам.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Archer пишет:
При обработке из ринг3 эмуляция быстрее трассировки на TF
Возможно, что ты прав, если говорить про трассировку ринг3 кода, все таки переключение р3-р0 процесс небыстрый. Я писал трассировку только ядра, "отпуская" код при возврате в р3 и ловя при входе в р0 - получилось весьма шустро.

Впрочем, хэндлер int1 можно и в р3 сделать для трассировки юзермода.

Добавлено спустя 6 минут
ARCHANGEL пишет:
Дальше инструментация почти без оверхеда

Это в частных случаях. А в общем конструкции типа jmp eax надо анализировать перед каждым выполнением.

| Сообщение посчитали полезным:

ARCHANGEL

Очень интересно, но ты забыл главные принципы реверса - два графа связаны, всё что вне этой связи не существует. Проще пример привести, прямо как в ТО, там тоже все размышления на абстракциях и гипотезах

Что бы протектор запротектил некоторую функцию, он должен знать её начало. Точнее говоря все EP в апп, а это не много. В основном обычно это стартап EP и IAT. Данные апп никогда не трогаются, потому что их размер не известен и к ним идёт выборка из ядра, это нельзя криптовать. По этой причине большая часть апп остаётся вне криптования(те в данном случае не затронута вирт вмп).

Давай простую ситуацию рассмотрим. Допустим есть вирт/морф некоторой процедуры, которая для криптора(в общем говоря, не важно виксы там или десяток легальных протекторов) известна, так как имеется в пе формате. В статике мы видем эту процедуру в виде рандом последовательности. Но из за того, что ссылки на эту процедуру, которая адресуется через IAT для примера вне формата и они для криптора не известны. Что это даёт ?
А то что крипто функция уже не локальна, она не декриптуется по ключу, который связан с вызывающим кодом. Тоесть это глобальная функция, а это значит что вызов её может быть откуда угодно и вне зависимости от локального ключа.
Вот тут и твоё не понимание - ты будешь в статике разбирать это бесчисленное множество вирт/морф, что бы найти конечное выражение. Но зачем, если функция глобальна, зависит лишь от известных переменных и результат её лишь указатель; те прямой запуск крипт кода приводит к его декрипту. Что эта последовательность делает, те как вычисляется функция не имеет значения.

И вот тут и поймёшь что визор не снятие просто трассы, он есчо выборку по данным даёт и есчо много всего. А профайл от TF не на порядок медленнее, а на десятки порядков. А есчо при попытке трассировать любую такую защиту трасса уйдёт в завершение процесса, так как это палево дичайшее.

Кстате пин не морфит, он именно транслирует. Хотя как он это криво делает лучше и не видеть

-----
vx

| Сообщение посчитали полезным:

пин реальный и доступен для всех
можно использовать в комерс проектах
много примеров в интернете как применять
реальные саксесс стори

клерко технология вымышленная технология
закрыта для всех, не то что бы там какой то коммерс еще
по сети гуляют какие то кривые билды которые работают только на win xp афтара
примеров использования нет
сам афтар не смог продемонстировать пример решения какой либо задачи
хотя бы на простеньких крякми, не говоря уже об рубрики запросы на взлом
да и сам афтар далек от реальных задач, так как он их не решает

| Сообщение посчитали полезным: sefkrd, plutos, Vintersorg, DimitarSerg

difexacaw пишет:
Что бы протектор запротектил некоторую функцию, он должен знать её начало. Точнее говоря все EP в апп, а это не много
Зачем по твоему нужны маркеры в протекторах, умник? Знает начало, и даже конец.
А место, которое занимала функция после того как прот ее защитит он заберет себе, и забьет туда кусок примитива или другой свой код.
При этом вызов защищенной функции из под вм будет совершаться не выходя из вм вовсе, то есть по оригинальному адресу код даже не пойдет.
Нулевое кольцо или нет, вмпроту насрать какой x86 виртуализировать, для этого и нужны тесты, чтобы ничего не падало.
difexacaw пишет:
визор не снятие просто трассы, он есчо выборку по данным даёт и есчо много всего
Что твой визор будет делать при самомодифицирующемся коде? Что будет делать при перекрывающихся инструкциях (когда байты инструкций используются еще раз но с другого адреса)?

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq пишет:
Что твой визор будет делать при самомодифицирующемся коде?
Я задавал этот вопрос, крелк, как обычно, при неудобных вопросах промолчал.

Добавлено спустя 3 минуты
difexacaw пишет:
А есчо при попытке трассировать любую такую защиту трасса уйдёт в завершение процесса, так как это палево дичайшее.
Если руки кривые, то все палево

| Сообщение посчитали полезным:

Boostyq пишет:
При этом вызов защищенной функции из под вм будет совершаться не выходя из вм вовсе, то есть по оригинальному адресу код даже не пойдет.
Спорное утверждение. Возможно в некоторых случаях протекторы и могут провести подобную оптимизацию, но и то сомнительно.

| Сообщение посчитали полезным:

spinz

> Я задавал этот вопрос, крелк, как обычно, при неудобных вопросах промолчал.

Я не читал что ты писал и мне всё равно, ранее ведь сказал что считаю тебя дефектным тролем. Зачем мне читать твои посты, хотя и это отвечать незачем, верно.

Boostyq

У тебя всегда всё тупо и сложно. Хотел в ответе выше линк привести на твоё описание(то на чём спалилась), но не привёл так как незачем, не верный подход к задаче, да и он это наверняка прочитал всё.

> Что будет делать при перекрывающихся инструкциях

Исполнять. При исполнении нет этого понятия и незачем мои же термины использовать. Ладно тебе часть инфы всё же скажу, с тебя на васме модеры неплохо посмеялись, с твоей предсказуемой глупости, без обид только

-----
vx

| Сообщение посчитали полезным:

reversecode пишет:
пин реальный и доступен для всехможно использовать в комерс проектахмного примеров в интернете как применятьреальные саксесс стори

именно так!
Взял я Pin 3.11 User --> Guide <--.
Все четко: точные определения, примеры использования и т.д.
Я хоть человек и темный, но даже мне понятно, что к чему, а что не понятно - смотрю в source code, благо он открыт.
А этот Визор вроде как новое платье короля, мол кто его не видит/ не понимает, тот просто дурак.... Не дорос значит.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos

> Взял я Pin

А куда его засунуть так и не понял

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
А куда его засунуть так и не понял
"Смешно дураку, что .. на боку.."

| Сообщение посчитали полезным:

difexacaw пишет:
А куда его засунуть так и не понял

Wow!
Вот это уровнь аргументации! До такого я точно не дорос!
Понимаешь друг, если что-то берешь в руки вовсе не обязательно его сразу куда-то засовывать...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Опять распяли мессию.

-----
2 оттенка серого

| Сообщение посчитали полезным: sefkrd, Orlyonok

f13nd

Да уж нет, тс облажался впрочем как и ты.

Добавлено спустя 5 минут
plutos

> Понимаешь друг, если что-то берешь в руки вовсе не обязательно

Чувак да ты попутал, это ты ведь коллектор инфы, собираешь инфу(ссылки) при этом не читая содержимое. Это было уже очень давно известно.

Извини если спалил.

-----
vx

| Сообщение посчитали полезным:

f13nd пишет:
Опять распяли мессию.
Мессия, похоже, от этого тащится слегка. Но это не точно.

Добавлено спустя 2 минуты
difexacaw пишет:
ранее ведь сказал что считаю тебя дефектным тролем. Зачем мне читать твои посты, хотя и это отвечать незачем, верно.

Это негодный подход. Я тоже считаю тебя дурачком, но все равно читаю, ведь и в куче говна бывают жемчужины.

| Сообщение посчитали полезным:

Какие визоры вы о чем, я все еще не вижу широкого применения его IDP --> Link <--.
Всего каких-то 9 лет прошло. А там потом еще всякие GCBE, VMBE, BBPE и тд. До визоров не доживем.

| Сообщение посчитали полезным:

что вы все о прошлом
давайте о будущем
клерк когда ждать твою статью в сайнс о вращениях галактик ?
это ж прорыв в космологии, простой белорусский электрик познал тайны космоса
тебе шнобелевку можете дадут, а то и в глаз

| Сообщение посчитали полезным:

вот вы всё строчите, тратите синапсы. могли бы почитать что интереснее пацаны. а лучше сделать конкуренцию пину или визору инди

| Сообщение посчитали полезным:

galenkane пишет:
а лучше сделать конкуренцию пину или визору инди
Тот факт, что ни пин, ни тем более визгор большой популярностью не пользуются, и даже большинство не знают что это за дурундуль, говорит о том, что это не особенно кому-то и нужно. Постом и молитвой умудряются как-то обходиться без этого.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
визгор большой популярностью не пользуются
Подозреваю, что при нормальной поддержке уизор мог бы стать популярным, если его реальный функционал совпадает с заявленным. Но от крелка ожидать это бессмысленно.

| Сообщение посчитали полезным: