Программирование


Ответить в тред Ответить в тред

Check this out!
<<
Назад | Вниз | Каталог | Обновить тред | Автообновление
303 26 126

ASM & Reverse engineering №10 /asm/ Аноним 19/10/19 Суб 13:43:26 14999561
15636343786830.png (1Кб, 250x200)
250x200
15636343786831.png (25Кб, 799x820)
799x820
15636343786832.png (10Кб, 718x274)
718x274
15636343786833.png (3Кб, 643x337)
643x337
В этом треде мы изучаем самый компактный и низкоуровневый язык Ассемблер и смежную с ним область: Реверс-инженеринга (RE).

Вы пишите на ассемблере или собираетесь начать на нём писать? Программируете микроконтролёры, пишете драйвера для ОС, а то и саму ОС? Вам сюда.
Вы изучаете алгоритмы работы закрытого софта, пишите патчи бинарников? Вам тоже сюда.

Попрошайки с "решите лабу по асме за меня" идут в общий тред, а лучше нахуй.

Книги по RE:
beginners.re - "Reverse Engineering для начинающих"- бесплатная современная книга на русском языке. К прочтению вкатывающимся и прочим ньюфагам обязательна!
Чтобы не палить свой адрес почты, вот прямая ссылка https://beginners.re/f572d396fae9206628714fb2ce00f72e94f2258f/
Рикардо Нарваха: Введение в реверсинг с нуля, используя IDA PRO https://yutewiyof.gitbook.io/intro-rev-ida-pro/
Введение в крэкинг с помощью OllyDbg https://backoftut.gitbook.io/intro-cracking-with-ollydbg/

https://mega.nz/#!Bc9VVAYC!Vk6CFlW6VIoskLNgDKXbsL6FacDQeOKe6LX92wNicKY Нарваха практический курс по дебагингу
https://www.goodreads.com/shelf/show/reverse-engineering - список книг

Сайты по RE:
http://wiki.yobi.be/wiki/Reverse-Engineering
https://www.reddit.com/r/ReverseEngineering/comments/hg0fx/a_modest_proposal_absolutely_no_babies_involved/
http://www.program-transformation.org/Transform/ReengineeringWiki
http://blog.livedoor.jp/blackwingcat/
https://yurichev.com/blog/
http://wiki.xentax.com/index.php/DGTEFF
https://exelab.ru/

Инструменты для RE:
Дизассемблеры:
1) IDA Pro 7.2.torrent
2) IDA Pro 7.0.torrent (x64 only, для XP нужно патчить PE + вылеты)
3) IDA Pro 6.8.torrent
4) IDA Pro 5.0 - бесплатная версия для некоммерческого использования
5) Radare 2 - наконец прикрутили гуй, но по прежнему нужна только клиническим, не умеющим в скачивания торрентов, или пользователям альтернативных ОС
6) Ghidra для любителей анальных зондов от АНБ не такие уж они и анальные
7) Остальное

Все книги и статьи Криса Касперски (R.I.P.)
https://yadi.sk/d/CxzdM1wyea4WP или https://rutracker.org/forum/viewtopic.php?t=5375505
+ https://rutracker.org/forum/viewtopic.php?t=272818

Книги по ассемблеру:
"Архитектура компьютера" Э. Таненбаум
Юров В.И: Assembler http://booksdescr.org/item/index.php?md5=73957AEFEADCB7F0C112DCAED165FEB6
С.В. Зубков: Assembler. Язык неограниченных возможностей.
Randall Hyde: The Art of Assembly Language http://booksdescr.org/item/index.php?md5=9C0F88DC623FCE96A4F5B901ADCE95D3

Сайты по ассемблеру:
Замена почившему wasm.ru- https://wasm.in/ , архив старого сайта https://rutracker.org/forum/viewtopic.php?t=407571 или восстановленный https://vxlab.info/wasm/index.php.htm
https://www.unknowncheats.me/wiki/Assembly
http://asmworld.ru/
https://software.intel.com/en-us/articles/intel-sdm
http://www.nasm.us/doc/
https://sourceware.org/binutils/docs/as/index.html#Top
https://msdn.microsoft.com/en-us/library/afzk3475.aspx
https://conspectuses.blogspot.com/2019/03/fasmg.html


disassembler.io Дизассемблер онлайн

Для ковыряющих винду и софт под неё, сайты с описанием структур со смещениями и разными версиями оных:
http://msdn.mirt.net/
http://terminus.rewolf.pl/terminus/
http://geoffchappell.com/
«Внутреннее устройство Windows» интересующего издания.

Документация Intel
https://software.intel.com/en-us/articles/intel-sdm

Разное
Michael Abrash's Graphics Programming Black Book Special Edition http://www.phatcode.net/res/224/files/html/index.html
http://www.phatcode.net/res/224/files/html/index.html
https://www.agner.org/optimize/
http://booksdescr.org/item/index.php?md5=5D0F6DBC1410E10BC489167AFE8192DF
https://www.cs.cmu.edu/~ralf/files.html
https://www.sandpile.org/
http://ref.x86asm.net/index.html
https://pnx.tf/files/x86_opcode_structure_and_instruction_overview.png
http://www.jegerlehner.ch/intel/


Предыдущие
№8 https://arhivach.ng/thread/455487/
№9 https://arhivach.ng/thread/489188/ >>1439555 (OP)
Аноним 19/10/19 Суб 13:48:02 14999632
>>1499835
T W O ' S C O M P L E M E N T
W
O
'
S

C
O
M
P
L
E
M
E
N
T
Аноним 19/10/19 Суб 13:53:41 14999753
бампецкий
Аноним 19/10/19 Суб 15:17:55 15000194
Продублирую

Может кто объяснить почему при создании буфера char[128]

https://pastebin.com/e7ZzDKGk

В машинном коде к регистру ESP прибавляют 0xffffff80, это на 127
меньше чем 0xffffffff, но вопрос не только почему 127, почему по сути стек растет с конечных адресов. Это норма? Я думал он со середины куда-то растет(к уменьшению или к увеличению)

https://pastebin.com/69BBJeLa
Аноним 19/10/19 Суб 17:27:01 15000945
>>1500019
> это на 127
> почему 127
Это дополнительный код. Отрицательное число. 0x100000000-0xffffff80=(~0xffffff80)+1=0x80=128

> почему по сути стек растет с конечных адресов
В числе прочего - легаси. Раньше было так (считая с младших адресов): код, константы, инициализированные переменные, неинициализированные переменные, неиспользуемая память ... стек. Память выделялась вперед, к стеку, к старшим адресам, стек рос назад, к памяти, к младшим. Очень удобно, размер стека ограничен общим размером всех данных, кода и адресным пространством, и он не фиксирован. Так и прилипло. А сейчас это уже захардкожено в каждом первом процессоре, даже в тех, которые вроде бы умеют в любой вариант стека например, в ARM в нормальном режиме - будет расти, как сам решишь - он аж четыре варианта умеет, а вот в Thumb уже захардкожено.
Аноним 20/10/19 Вск 23:07:06 15010626
image.png (54Кб, 320x320)
320x320
В начале недели на редите в RE разделе был занятный пост о том, как челик начал потрошить актуальный BattlEye с его VMProtect-ом. В посте была только ссылка на бложик, но я никак не могу найти ни тему, ни сам бложик наверное я рукожоп и мое гугл-фу недостаточно сильно, а может разрабы надавили какой-нибудь своей EULA-ой и заставили все потереть.
Может кто-то тоже видел/заинтересовался/схоронил?
Аноним 20/10/19 Вск 23:18:32 15010697
>>1500019
>почему по сути стек растет с конечных адресов
Мне понравилось сравнение Юричева - представь что ты студент и у тебя одна тетрадка память приложения для записи лекций и практических занятий всякие text/bss/heap/stack. Ты можешь их чередовать и потом ебаться разбираясь что и где записано или просто ебашить лекции с начала, а практику перевернув тетрадь с конца.
Ну и как >>1500094 антон заметил, все эти правила - реализация конкретной архитектуры.
Аноним 21/10/19 Пнд 00:03:54 15011078
Аноним 21/10/19 Пнд 00:36:54 15011259
Аноним 21/10/19 Пнд 18:19:25 150169710
>>1501125
Нихуя толком не написал. Подписался на всякий, интересно, что он наковыряет там.
Аноним 22/10/19 Втр 21:46:29 150252411
image.png (48Кб, 1014x1225)
1014x1225
Сабж никто не находил?
Который 8th edition.
Аноним 22/10/19 Втр 22:13:50 150254212
>>1499956 (OP)
>beginners.re - "Reverse Engineering для начинающих"-
Блядь, я по приколу скачал, не могу остановиться лол.
Охуенно пишет.
Очень нравится привязка к С, написал - хоп, посмотрел что высралось в годболт.
Вообще класс.
Аноним 22/10/19 Втр 23:35:19 150257813
>>1502542
Серьезно? А я еле читал, аж зубами скрипел, кое как осилил.
Аноним 23/10/19 Срд 01:06:58 150260214
>>1502542
>>beginners.re
>связь между кодом на Си/Си++и тем, что генерирует компилятор, вбилась в его подсознание достаточно глубоко.
Так и деградирует программист в типичного реверсера
Дальше можно не читать.
Аноним 23/10/19 Срд 05:22:28 150266415
А насм это точно про "низкоуровневость"? Макросы-хуякросы, строковые контсрукции; а я думал, мне тут будут пояснять как с mov и inc помещать "приветмир" на вывод.
Аноним 23/10/19 Срд 14:42:56 150294416
>>1502578
Просто не зашло, бывает.
А мне очень понравилось.

>>1502602
>Так и деградирует программист в типичного реверсера
Я не программист, хуй я клал на программирование с галерами. У меня профессия есть.
Аноним 23/10/19 Срд 17:26:46 150317017
>>1502664
Не нравятся макросы - не пользуйся. Когда реально понадобятся - разберешься.
Аноним 23/10/19 Срд 17:43:06 150319518
Аноним 23/10/19 Срд 18:46:11 150325319
>>1503195
Няша, евреечка, может в сишечку, плюсы и асм.
12 из 10.
23/10/19 Срд 19:16:06 150329020
>>1503195
> Как вам коллега?
Очень плохо, до обычного уровня CppCon не дотягивает. Настоящие программы с множественным наследованием, интерфейсами и без символов она не реверсила, иначе презентация была бы о другом. Все, о чем она рассказала, знает любой C++-мидл, не являющийся реверсером никаким местом.
Аноним 24/10/19 Чтв 01:14:27 150352921
24/10/19 Чтв 01:22:25 150353422
>>1503529
А насколько оно удобнее стало со времен конкурса? В то время плагин был совсем неюзабельным, reconstruct лажает,
object explorer нинужен, больше там не было ничего. Проще свои скрипты писать.
Аноним 24/10/19 Чтв 01:59:46 150354923
>>1503534
Не знаю, не работает у меня. Я из-за reconstruct'a качал, есть аналог какой-то?
Аноним 27/10/19 Вск 18:30:16 150630824
Перекатываться на гидру или подождать еще? В разы быстрее иды развивается, плагины пилят каждый день. Отговорите меня.
Аноним 27/10/19 Вск 21:10:45 150700825
>>1503290
куда воевать, чтобы знать столько, сколько С++миддл не являющийся реверсером никаким местом?
Аноним 27/10/19 Вск 21:29:14 150702526
>>1507008
Ну везде же описывается, как крестообъекты и крестоисключения устроены в основных компиляторах. Про исключения даже на том же CppCon было.
Аноним 27/10/19 Вск 21:33:52 150703127
>>1506308
Бабла ща хватает? Сиди и не рыпайся, лучше тяночку поищи.
Аноним 28/10/19 Пнд 22:52:07 150796928
>>1507031
Не хватает. Что по сабжу то? Ида заебала.
Аноним 29/10/19 Втр 21:48:09 150871929
>>1507031
>>1507969
>Бабла ща хватает?
>Не хватает.
Вот сейчас без рофлов:
- Есть тут те, кто зарабатывает на жизнь реверсингом? Как к этому пришли?
- Какие варианты вообще пристроить свою тушку сейчас существуют? Понятно, что самое явное из белого это AV, возможно поиск/продажа дыр заинтересованным. А из серого, помимо явной мальвари/сплоитов?
Аноним 29/10/19 Втр 21:49:32 150872130
Аноним 30/10/19 Срд 18:42:48 150927831
image.png (1Кб, 24x287)
24x287
Что значит эта символика в Ida? Некоторые функции экспорта помечены ею, самих функций в бинарнике нет.
Аноним 30/10/19 Срд 23:35:48 150945932
>>1509278
> функции экспорта
Это значок ASCII-строк. Либо это forwarded-функции, т.е., указание лоадеру брать функцию из другой длл (у строки формат "ИмяДлл.ИмяФункции"), либо IDA ошибочно распознала функцию как строку, такое бывает.
Аноним 31/10/19 Чтв 00:04:44 150947233
>>1509459
Как это работает? Во время загрузки изображения в память, загрузчик автоматически проставляет переходы? И при вызове этой функции, напрямую вызывается функция из другого модуля, правильно?
Аноним 31/10/19 Чтв 00:55:40 150949234
>>1509472
> И при вызове этой функции, напрямую вызывается функция из другого модуля, правильно?
Правильно, если при ресолве импорта загрузчик видит, что экспортируемая функция - это форвард, он подгружает целевую длл (которая до точки) и ресолвит функцию оттуда.
Аноним 31/10/19 Чтв 18:51:44 151002035
>>1509492
Понял, спасибо. А как мне самому собрать такой экспорт?
Аноним 31/10/19 Чтв 20:07:01 151013736
>>1510020
> как мне самому собрать
Положить вместо адреса функции строку с именем форварда, при этом, чтобы она была воспринята как имя форварда, а не как эспортируемая переменная, эта строка должна находиться в пределах директории экспорта.

Пример на fasm:
MyFunc: ret ; Обычная функция для примера.
...
data export
export 'MYDLL.DLL',\
MyFunc,'MyFunc',\
ForwardName,'ForwardedFunc'
ForwardName db 'KERNEL32.ExitProcess',0
end data

Пример с линкером, для сишки/масма:

// mylib.c
#include <windows.h>
void MyFunc(void) {}
BOOL CALLBACK DllMain(HMODULE hInstDLL, DWORD fdwReason, LPVOID pvReserved) { return TRUE; }

// mylib.def
LIBRARY MYLIB
EXPORTS
MyFunc
ForwardedFunc = KERNEL32.ExitProcess

Собираешь и линкуешь: cl /c mylib.c && link mylib.obj /DLL /DEF:mylib.def.
Аноним 31/10/19 Чтв 20:37:12 151017737
>>1510137
Благодарю, то что нужно.
Аноним 02/11/19 Суб 03:26:44 151114338
>>1508721
Хороший курс, просмотрел первую часть, узнал больше вещей, чем за все курсы со степика и прочих онлайн дрочильнь, в которых кроме жиденького ОПП ничему не учат.
Аноним 02/11/19 Суб 08:39:34 151117439
>>1499956 (OP)
>Программируете микроконтролёры, пишете драйвера для ОС, а то и саму ОС?
Для этого есть си с классами
Аноним 02/11/19 Суб 22:07:23 151163440
>>1511174
Без асма в написании ОС всё равно не обойтись.
Аноним 02/11/19 Суб 23:16:04 151166441
>>1511634
Если компилятор поддерживает интринсики, то асм совершенно необходим только в обработчиках прерываний и для переключения контекста. Буквально полсотни строк на весь проект. Остальное отлично делается интринсиками.
Аноним 03/11/19 Вск 05:25:49 151177642
>>1511664
О, вылез очередной скриптохолоп со своей сермяжной правлойtm
А ничего что это реверсинга тред и тут похуй на чем ты та накропал свое говно?
Нам же за тебя, обосрыша, разбирать твои какули.
Аноним 03/11/19 Вск 15:21:50 151204343
Драсте. Есть картинка. Нужно узнать закодированный текст. Как сделать?
Аноним 03/11/19 Вск 15:24:34 151205144
>>1512043
Провести анализ и раскодировать текст.
Аноним 03/11/19 Вск 15:26:30 151205545
>>1512051
Вопрос конечно глупый, но есть же какие то штуки, которые можно попробовать. Вот я открыл его в hex редакторе и заметил там одну деталь. Повторяющиеся почти одинаковые последовательности. Че дальше хз
Аноним 03/11/19 Вск 15:40:06 151206446
1kRSCUhfOeo.jpg (442Кб, 1366x768)
1366x768
Аноним 03/11/19 Вск 16:22:09 151213147
>>1512064
на бинарные данные
ты файл выкладывай, поковыряем.
Аноним 03/11/19 Вск 19:19:02 151227048
>>1512131
А собака и смесь твердого знака с Б? Я открыл другую картинку и в ней такого не оказалось.
Аноним 03/11/19 Вск 19:21:36 151227449
>>1512270
Если картинка с палитрой, то черный пиксел и серый рядом, например. Тащи файл, по куску скриншота, не зная формата, ничего сказать нельзя.
Аноним 03/11/19 Вск 21:25:24 151235650
>>1512274
Файл слишком большой. Сейчас куда нибудь в облако скину
Аноним 03/11/19 Вск 21:28:18 151235851
Аноним 04/11/19 Пнд 10:26:25 151271852
>>1512358
А ты уверен, что тебе нужно лезть в бинарное представление данных? Я вижу 4 цвета, которые можно раскодировать в 00, 01, 10, 11 тупо читая файл построчно любой либой для работы с PNG. Непонятно правда, что означают прозрачные блоки, да и над присвоением комбинации цвету нужно повозиться, но это вопрос простого перебора.
04/11/19 Пнд 21:17:53 151329153
>>1512718
> 4 цвета, которые можно раскодировать в 00, 01, 10, 11
Этого явно недостаточно. Пока моя самая гениальная мысль состоит в том, что семь сегментов на картинке - это битовые плоскости, которые потом собираются в байт.
Аноним 04/11/19 Пнд 21:54:11 151334654
>>1512718
>>1513291
Сейчас скажу смешную вещь. Это задача для 10 класса
Аноним 04/11/19 Пнд 23:45:13 151342255
image.png (602Кб, 2560x1440)
2560x1440
>>1513346
>Это задача для 10 класса
Если не шутка, то меня сейчас немного задело.. мимо-другой-анчоус
А можешь саму задачу в оригинале скинуть, может там в контексте какие-то подсказки есть? Просто явной, школьного лвл-а, стеганографии текстовые чанки, EXIF, вставки после IEND в файле не вижу. В самой картинке в разных BitPlanes режимах подсказок тоже не увидел хотя картинка большая, может конечно где-то что-то проглядел...
Аноним 05/11/19 Втр 00:05:14 151343956
>>1513422
Скрин задачи не кину. Олимпиада закрыта уже. Но там ничего не было. Задача называлась цифровизация. Задание было "расшифруйте. В ответе запишите фразу"
Аноним 05/11/19 Втр 00:05:32 151344057
image.png (233Кб, 600x300)
600x300
>>1512064
Дебил блядь, нахуй ты это сюда кинул, ведь весь вечер потрачу чтоб это раскодировать

мимо Джон Нэш
Аноним 05/11/19 Втр 00:34:07 151344858
image.png (445Кб, 889x829)
889x829
>>1513422
похоже на какой-то типа qr код, только поврежденный\зашумленный.
Аноним 05/11/19 Втр 00:43:56 151345859
>>1513448
может попробуй наложи куски у которых голубые квадраты по угам и смотри где цвета на всех шести совпадают, то там 1, иначе 0 или я хз. ПРИДУМАЙ ШТО-НИБУДЬ
Аноним 05/11/19 Втр 00:59:14 151346760
code-2.png (43Кб, 640x702)
640x702
>>1513448
Удалил шум из этой фигни, получилось такая штука, дальше хз
Аноним 05/11/19 Втр 01:10:04 151347061
image.png (15Кб, 1080x1184)
1080x1184
>>1513467
Кек..
Я теперь не человек, я Space Invader нахуй..
Аноним 05/11/19 Втр 01:17:37 151347362
image.png (447Кб, 889x829)
889x829
>>1513467
еще есть подозрительные желтые квадраты
Аноним 06/11/19 Срд 16:32:52 151464763
Пишу, значит
Аноним 06/11/19 Срд 16:33:41 151464864
Пишу, значит
MESS1 db "privet $"
MESS2 db 0dh,0ah,"kak dela? $"
MESS3 db 0dh,"chto delaesh? $"
MESS4 db 0ah,"jasno",0dh,0ah,"$"
Эти сообщения выводятся ровно в столбик, как и положено. Почему?
06/11/19 Срд 20:47:08 151491865
>>1514648
> Эти сообщения выводятся ровно в столбик
1) Используешь недоэмулятор (DOSBox в дефолтном режиме или NTVDM), который трактует \n как \r\n. Возьми образ доса и нормальную виртуалку или сделай в досбоксе boot msdos.img для полноценной эмуляции - увидишь разницу.
2) kak dela выводится, но тут же затирается следующей фразой, ты не должен его видеть даже если у тебя пункт 1.
Аноним 06/11/19 Срд 21:20:24 151492966
>>1514918
Я использую ТАСМ в досбоксе
Аноним 06/11/19 Срд 21:28:11 151493267
>>1514918
Кстати, а ведь зачем писать 0dh, если 0ah это перенос на новую строку? Если мы переносим курсор на новую строку, то он по умолчанию должен быть в начале строки, ведь строка новая.
06/11/19 Срд 21:45:58 151494768
>>1514932
> то он по умолчанию должен быть в начале строки, ведь строка новая
Нет. Ну то есть в 2019 да, но легаси. Пока не смыло, смотри сюда: >>1484880 Если ты возьмешь нормальный дос, то увидишь, что после 0a позиция курсора внутри строки не меняется, меняется только строка. То же самое, после 0d строка не меняется, и ты можешь делать няшные спиннеры и прогрессбары, каждый раз затирая их новой строкой.
Аноним 06/11/19 Срд 21:47:52 151494969
>>1514932
Видел старинные печатные машинки? Вот там машинистки делают так рукой справа на лево громко, хуяк, и печатают с новой строки.
Тут тоже самое - 0dh (перевод коректи в начало строки), 0ah (просто переход на новую строку).
>он по умолчанию должен быть в начале строки
Только в твоем сознании зумера, фактически раньше бы просто шагнуло вниз на новую строку.
Аноним 06/11/19 Срд 23:00:40 151498370
>>1514949
Не видел и мне это не интересно. Сейчас 2019 год, ни о каких печатных машинках и речи быть не может! Компьютер НЕ ПЕЧАТНАЯ МАШИНКА!
Аноним 06/11/19 Срд 23:11:53 151499471
>>1514983
Да, а компы в 1980х появились, ты тогда еще у мамки с лобка стекал.
Аноним 06/11/19 Срд 23:37:14 151502672
>>1514983
>Компьютер НЕ ПЕЧАТНАЯ МАШИНКА!
Компьютер это ёбанный фрактал из легаси, привыкай. Даже ширина ракеты зависит от толщины лошадиной задницы.
Аноним 06/11/19 Срд 23:38:38 151502873
15694795243110.png (27Кб, 128x128)
128x128
15709808733350.png (61Кб, 360x346)
360x346
15557744899400.jpg (18Кб, 175x600)
175x600
>>1514994
>компы в 1980х появились
Аноним 07/11/19 Чтв 00:34:18 151505974
Имеет ли значение последовательность "переменных" в dataseg?
07/11/19 Чтв 00:39:13 151506375
>>1515059
Судя по слову "dataseg" - нет. А вообще, да. Желательно, чтобы одновременно используемые переменные лежали рядом, чтобы они не вылетали из кэша, и все такое.
Аноним 07/11/19 Чтв 00:46:36 151506976
изображение.png (84Кб, 894x811)
894x811
>>1515063
У меня в методичке именно dataseg, а не .data. По значение порядка там напрямую не написано, но судя по примеру, это действительно важно. Спросил здесь чисто чтобы развеять сомнения.
07/11/19 Чтв 01:45:35 151509877
>>1515069
> У меня в методичке именно dataseg
Я имел в виду, что для доса похуй.
> скрин
Да, тут важно, потому что фактически это структура, а не отдельные переменные. При нормальных ассемблере и преподе у тебя была бы структура.
Аноним 07/11/19 Чтв 02:16:40 151511278
>>1515098
Препод тут ни при чём. Эта методичка вместо практик, а авторов у этой методички несколько.
Аноним 07/11/19 Чтв 09:40:37 151519179
1.PNG (11Кб, 808x117)
808x117
>>1499956 (OP)
Здравствуйте. Вообщем есть такая задача пик 1.
Вот мой вариант решения.
mov ax, 10110110b
and ax, 10100010b
xor ax, 10101010b
sar ax, 2
not ax
Препод говорит что неправильно так как. Алгоритм данного задания должен выполняться для любого числа. Я вообще не понимаю как это можно реализовать для любого числа. Может подскажет кто?
07/11/19 Чтв 19:44:50 151571380
>>1515191
Ты на верном пути, но: маска в and у тебя явно неправильная - во-первых, она обнуляет по большей части четные разряды, а надо нечетные (разряды принято считать справа и с нуля), а во-вторых, она и один нечетный затрагивает; маска xor у тебя флипает нечетные разряды, а надо четные; и вообще маски по-хорошему нужно расширить до 16-бит, если ты с 16-битными регистрами работаешь; ну и вопрос выбора между sar/shr - спорный.
Аноним 07/11/19 Чтв 20:56:16 151577481
>>1515713
я официально в ассемблере не очень, тем не менее
mov ax, 10110110b так понимаю что тут мы записываем число для издевательств
and ax, 10100010b если это маска обнуления нечетных разрядов, то я написал бы её так: 10101010b
маска в xor на мой взгляд правильная, как раз чётные разряды переворачиваются.
Аноним 07/11/19 Чтв 21:01:28 151577682
>>1515713>>1515774
Этому зумерку был дан правильный ответ в ньюфаготреде, но он начал кидаться какашками по причине своей тупизны
Аноним 07/11/19 Чтв 22:48:10 151589983
Есть шеллкод из метасплоита. Как сгенерировать экзэшник чтобы этот шеллкод был в сегменте текстаи при этом сам бинарник был корректный. Не важно, что он на рантайме крашится. Главное чтобы он просто создался
Аноним 07/11/19 Чтв 23:14:33 151592284
>>1513473
может нарезать на равные куски и совместить, перебрать цвета попробовать за прозрачность
Аноним 08/11/19 Птн 00:00:55 151595085
>>1515899
__declspec(allocate(".text")) твой шеллкод.
Аноним 08/11/19 Птн 08:27:54 151605486
>>1515776
Так ты же тупой даун и сам нихуя не понял
Аноним 08/11/19 Птн 22:11:14 151657187
Кто-нибудь пользовался Cerbero Suite? Что скажете?
Аноним 09/11/19 Суб 01:05:06 151670088
Народ, у меня досбокс при прохождении команды ret закрывается. Так и должно быть?
Аноним 09/11/19 Суб 11:57:21 151680589
Кто то знает как именно можно узнать инфу про температуру и скорость вращения куллера проца? гуглил чип монитринга, который установлен на моей мат плате. Там обьяснено, но нихера не понятно
Аноним 09/11/19 Суб 19:04:36 151708290
09/11/19 Суб 19:11:51 151708691
>>1516700
Может быть, не DOSBox, а окно консоли (NTVDM)? Да, так и должно быть, если ты запускаешь программу не вводом команды в консоли, а непосредственным запуском бинарника. Можешь воткнуть перед выходом ожидание нажатия клавиши (xor ax,ax int 16h или mov ah,1 int21h).
Аноним 09/11/19 Суб 22:11:41 151726892
В чем различие данных от исполняемого кода? Допустим у меня есть массив байтиков, как понять данные это или инструкции ( исполняемый код) ?
09/11/19 Суб 23:24:08 151734493
>>1517268
> как понять данные это или инструкции
Никак. Исполняемый код - это непосредственно байт (или байты) на который в данный момент указывает IP (PC, или как он там в твоем процессоре называется). Все остальное вполне может быть данными. Или кодом. Или и тем и другим одновременно. Или даже несколькими параллельными потоками кода. Например, 68 5a 31 с0 с3 может быть данными, может быть кодом push 0c3с0315ah (с непосредственным значением, которое вроде бы данные), а стоит добавить к этому коду jmp $-4, и это становится вторым потоком кода, который делает return 0 (5a 31 c0 c3: pop edx, xor eax,eax, ret).
Аноним 10/11/19 Вск 01:53:01 151744494
В ассемблере всякие jz, jl и подобные команды выполняют переход к команде с двоеточием в случае соответствия тому, что про них пишут? Например, в случае с
Аноним 10/11/19 Вск 01:55:07 151744595
В ассемблере всякие jz, jl и подобные команды выполняют переход к команде с двоеточием в случае соответствия тому, что про них пишут? Например, в случае с:

mov AX, 1
cmd AX, 1
jl perehod
add AX, 1
perehod:

AX станет содержать число 1 или 2?
Аноним 10/11/19 Вск 02:13:35 151746096
>>1517344
Понятно, но по косвенным признакам то можно сделать предположение? Например, в ридонли памяти скорее всего лежат данные, в r/e - код. Какие еще признаки могут быть?
10/11/19 Вск 03:13:08 151749597
>>1517445
Да, будет 2. Все же читаемо в простых случаях: "compare ax with 1", "jump if it was lower".

>>1517460
Зависит от бинарника. Но вообще статически трейсят control flow просто, строят граф (естественно, это ломается на первом же виртуальном вызове или таблице переходов). Или тупо пытаются попробовать дизассемблировать, и потом либо оно обламывается совсем, либо ты можешь всякие эвристики притащить на тему странно выглядящего кода. Всякие избыточные инструкции, которые перезаписывают результаты предыдущих инструкций, ебля сегментных регистров, различные привилегированные инструкции, несбалансированный стек - это либо написано вручную, либо упаковано/обфусцировано, либо не код совсем.
Аноним 10/11/19 Вск 03:23:18 151749998
>>1517495
>"compare ax with 1", "jump if it was lower
Не всем же быть полиглотами.
Аноним 10/11/19 Вск 04:59:08 151750899
изображение.png (49Кб, 1086x673)
1086x673
Это нормальный алгоритм поиска количества вхождений строки в подстроку? Какие регистры тут лучше не использовать так, как я их использую здесь? На какие поменять? Я ведь в правильный тред пишу с таким вопросом?
Аноним 10/11/19 Вск 05:03:16 1517509100
изображение.png (49Кб, 1075x656)
1075x656
>>1517508
Я там регистры местами перепутал, вот то, что я имел в виду.
10/11/19 Вск 05:06:40 1517510101
>>1517508
> Я ведь в правильный тред пишу с таким вопросом?
Нет, ты доской ошибся. https://2ch.hk/pa/

> Какие регистры тут лучше не использовать
Как минимум SP портить не стоит, иначе программа кончится, как только произойдет прерывание. Остальные регистры можно сохранять, если они тебе нужны и не сохранять, если не нужны.
Аноним 10/11/19 Вск 05:08:21 1517511102
>>1517510
Какой ещё есть свободные в такой задаче регистр? Не хотелось бы через стек значениями жанглировать.
Аноним 10/11/19 Вск 05:09:09 1517512103
>>1517511
>Какой ещё есть свободныЙй в такой задаче регистр? Не хотелось бы через стек значениями жОнглировать.
10/11/19 Вск 05:15:25 1517514104
>>1517512
> Какой ещё есть свободныЙй в такой задаче регистр?
ax/dx/si/di - овердохуя.
Аноним 11/11/19 Пнд 01:35:24 1518320105
>>1517344
Понял, спасибо. Человек же сразу почти видит, что перед ним, мусор из байтиков или код. В теории, какие-нибудь нейросетки тоже смогут различать?
Аноним 11/11/19 Пнд 01:43:48 1518324106
Аноны, молю о помощи. Ищу годную книгу (офк, желательно на английском) по сетевой безопасности, желательно, которая совмещает теорию с кодингом по сабжу.
Как пример для годного контента - ламповая книга Hacking: The Art of Exploitation 2nd edition 2008 года, там есть очень вкусная глава по сетям, которая совмещает описание различных сетевых атак со снипеттами с кодом для лучшего понимания. Проблема в том, что книге скоро 12 лет и там есть лишь одна глава по сабжу, а я ищу фулл книгу по подобной тематике и желательно поновее. Все, что находил до этого, унылый шлак с кучей теории и хуйней для скрипт-кидди вроде метасплойта. Погромирую на Си, крестах, знаю х86 асм, основы ОС (с явным уклоном в Линукс) и основы сетей + программирование сокетов.
С меня цистерна чая и лучи добра с пожеланиями вечного здоровья и счастья всем, кто поможет. Заранее спасибо.
Аноним 11/11/19 Пнд 03:18:31 1518355107
Аноним 11/11/19 Пнд 03:38:27 1518361108
Как в иде фильтры работают? Хочу отобразить символы из нужной мне секции, а не всего бинарника.
11/11/19 Пнд 04:40:03 1518382109
>>1518320
Не знаю. В x86 может и видно, а возьми какой-нибудь восьмибитный мк, да еще если не слишком хорошо архитектуру знаешь, и у тебя тут же проблемы.

>>1518361
> Как в иде фильтры работают?
Плохо.

> Хочу отобразить символы из нужной мне секции
В Functions можно фильтровать по сегменту, в Names нельзя, import idaapi тебе в помощь или по адресу отсортируй и ищи нужный кусок.
Аноним 11/11/19 Пнд 14:53:19 1518584110
Ананасы, имеет ли значение каким компиллятором собирался бинарник? Влияет ли это на реверсинг самого бинарника?
Аноним 11/11/19 Пнд 14:54:56 1518586111
>>1518355
>real world bug hunting
Это веб-секьюрити, а не сетевая (разница есть), е-мое
11/11/19 Пнд 19:28:39 1518812112
>>1518584
Спроси более развернуто. По идее, код более-менее одинаковый, если, конечно, gcc с tcc и прочими "игрушечными" компиляторами не сравнивать. В основном все же влияет то, с какими оптимизациями код был собран, включена ли link time code generation и все такое.
Аноним 11/11/19 Пнд 20:49:30 1518904113
Пишу

mov DI, 1
mov SI, 0
cmp DI, 1
jnle PEREHOD
add SI, 1
PEREHOD:

SI=1. При DI=2 SI=1, и при DI=0 опять SI=1. ПОЧЕМУ???!!!!!!

jnl, кстати, тоже нихуя не работает.
Аноним 11/11/19 Пнд 20:57:46 1518909114
>>1518904
А, я всё понял. Это мне бред кое-кто написал, типа опечатка.
Аноним 11/11/19 Пнд 21:01:19 1518910115
>>1518904
Пушто мнемонику полезно запоминать
jump if not less or equal - т.е. аналог jg jump if greater
Аноним 11/11/19 Пнд 21:20:59 1518932116
Реально ли писать ассемблерный код лучше O3?
Аноним 11/11/19 Пнд 21:21:21 1518934117
>>1518932
Как писать ассемблерный код лучше O3?
11/11/19 Пнд 21:26:17 1518938118
>>1518932
Реально, но долго. Обмазываешься optimization manual-ом от интела, агнерфогом, профилировщиками всякими, vtune-ом и пишешь.
Аноним 11/11/19 Пнд 21:56:21 1518958119
>>1518938
>нахуя сажа то тред сагнул сага сага пасскод абу
Вот ещё вопрос:
Какой уровень знания языкаозначает, что ты не червь-пидор?
Или так и надо - знать только то, что сделал сам?
По вершкам знаю дохуя языков, могу понять чужой код, чтобы спиздить, а че-нить достойное жид хаба высрать не могу.
Аноним 12/11/19 Втр 00:55:43 1519047120
>>1515950
а энтри поинт он сам подефолту в начало сегмента текста ставит? написал так, скомпили и работает?
Аноним 12/11/19 Втр 01:16:39 1519054121
>>1518932
Лучше O3 кода от васяна - да, лучше O3 кода от себя самого, при условии что ты обмазался >>1518938 - нет
Аноним 12/11/19 Втр 09:40:23 1519156122
Ананасы, че там по эксплоитам в 2к19? Слышал, что появляются новые языки для системщины, вроде раста, который безопасный и сводит на нет все возможные ошибки, связанные с memory corruption. Когда яп немножко окрепнет, как можно будет ломать такое чудо? Это же пиздец. Он даже некоторые виды состояния гонки между тредами нивелирует, если код не будет писать совсем макака - пиши пропало.
Аноним 12/11/19 Втр 09:46:52 1519159123
>>1519047
Иди учи основы программирования, а не метасплоиты хуярь. Тут половина треда тарищи майоры.
Аноним 12/11/19 Втр 10:58:04 1519196124
Анонасы, как реализовать уникальную для каждого потока глобальную переменную?
Пока вижу два варианта:
1. thread environment block ( использовать unused/reserved/padding ячейки )
2. thread local storage ( __declspec(thread) global )
Кстати, кто-нибудь подскажет, как получить доступ к этой переменной из masm файла?
Аноним 12/11/19 Втр 14:26:37 1519308125
>>1519159
Это лаба в универе. А что посоветуешь почитать? Просто я не вкурсе что ещё не знаю
Аноним 12/11/19 Втр 18:18:26 1519455126
Ку, реверсач
Есть ли ресурс наподобие overthewire, только более серьезного уровня, который хоть как-то связан с реальным миром, а не эксплуатацией ебучего хэллоуворлда?
Аноним 12/11/19 Втр 18:24:01 1519458127
>>1519455
Hack the Box. Не благодари.
Аноним 12/11/19 Втр 18:43:26 1519476128
>>1503253
>евреечка
Фу, как вообще к ним как к людям относиться?
Аноним 12/11/19 Втр 19:09:04 1519488129
Вы тут спрашивали куда реверсер может вырасти из ковыряльщика малвари, вот вам пример: https://vimeo.com/335166152
Красавчик мужик, крадет прямо из под носа у мягких целые ОС и тусит с няшами в командировках. Глянул ценник на посещение его двухдневного семинара, чуть в обморок не упал, несколько тыщ вечнозеленых, такие вот дела.
Аноним 12/11/19 Втр 19:31:43 1519500130
>>1519488
впаривать курсы по всякой хуйне всегда было оч выгодно. И не важно ойти это , лнп, пикап или еще что угодно. Суть уметь втирать дичь, а не быть спецом)
Аноним 12/11/19 Втр 19:33:06 1519503131
Аноним 12/11/19 Втр 20:10:06 1519537132
В WinDbg есть аналог xrefs? Как найти все ссылки на определенный адрес из дампа памяти? Какой же в этом дебагере низкий юзабилити.
Аноним 12/11/19 Втр 20:20:57 1519550133
>>1519196
> уникальную для каждого потока глобальную переменную
А чем тебя tls не устраивает? Оно уже 9 лет как в стандарте Си (_Thread_local/thread_local).

> как получить доступ к этой переменной
Переменная в сишке создается? Тогда у тебя имя_переменной в том объектнике, и ты такой:
mov ecx,[__tls_index]
mov eax,[fs:0x2c] ; gs:0x58 для 64-битной винды
mov edx,[eax+ecx*4] ; Укозатель на блок переменных в TLS.
mov eax,[edx+имя_переменной]
И все. То же самое ты можешь делать вручную, кладешь имя_переменной dd 13245 в секцию .tls$, а __tls_index для тебя создаст линкер.

>>1519503
> re4b
И что? Ты точно не промахнулся с ответом?

>>1519537
> Какой же в этом дебагере низкий юзабилити.
Он предназначен не для обратной разработки, а для отладки свеого кода. С доступными символами.
Аноним 12/11/19 Втр 21:43:50 1519651134
>>1519550
> А чем тебя tls не устраивает? Оно уже 9 лет как в стандарте Си (_Thread_local/thread_local).
Может есть варианты лучше, решил спросить.

>>1519550
> Переменная в сишке создается? Тогда у тебя имя_переменной в том объектнике, и ты такой:
В сишке. Нужен быстрый доступ, как в случае с TEB, те mov eax, [gs:0e8h]. Я так и не понял, могу ли я сделать что-то типо mov eax, globalvar_in_cpp_file ?

> Он предназначен не для обратной разработки, а для отладки свеого кода. С доступными символами.
Это же единственный отладчик режима ядра, чем еще крашдамп анализировать? Что правда нет аналога xrefs? Как жить то..

Аноним 12/11/19 Втр 23:46:22 1519733135
>>1519651
> могу ли я сделать что-то типо mov eax, globalvar_in_cpp_file
Нет такой магии. Разве что ты будешь код для каждого потока дублировать в память, и при старте впатчивать вычисленные адреса thread-local переменных прямо в код.

> Нужен быстрый доступ,
А кто мешает? Выделяешь один регистр под это. В начале треда/процедуры выполняешь первые три строки из кода, который я выше постил. Кладешь результат в какой-нибудь ebx. Когда нужна переменная - ходишь до нее через [ebx+имя]. Если жалко ebx, можешь выкинуть стекфрейм нахуй и использовать под TLS ebp, а к локальным переменным на стеке адресоваться через esp. Если стекфрейма жалко, просто кладешь вычисленный адрес TLS в стек, тогда доступ будет mov eax,[ebp+tls_addr_in_stack], mov eax,[eax+имя].
Аноним 13/11/19 Срд 00:14:27 1519769136
>>1519733
Дело в том, что это каллбек с неопределенным количеством аргументов, который передает управление в другое место в зависимости от индекса, который я загружу в eax регистр. Придется шифтить аргументы туда сюда, чтобы освободить регистры и моя асм портянка из пары строк кода разрастется на экран в лучшем случае... А для меня это боль, ибо я не гуру асма..
Аноним 13/11/19 Срд 00:54:59 1519782137
>>1519769
> я не гуру асма
Пиши на си тогда, в чем проблема?
Аноним 13/11/19 Срд 01:14:53 1519795138
>>1519782
Не могу, интринсиков не хватает под 64битную архитектуру.
Аноним 13/11/19 Срд 01:17:40 1519796139
>>1519782
В любом случае спасибо, поступлю дедовским методом, реализую оба метода и уже походу решу какой использовать.
Аноним 13/11/19 Срд 14:27:47 1520047140
Признавайтесь,кто где работает?Что реверсите?Молварь?Сколько кому платят?
Аноним 13/11/19 Срд 14:42:10 1520064141
Ананасы, помогите советом. Хочу глубоко вкатиться в exploit development, есть неплохая база для этого (Си, кресты, асм х86, знания основ ОС, базовый уровень реверсинга и эксплуатации простых уязвимостей). Сразу говорю, отговаривать меня от этого не надо, в моей стране это более востребовано, чем в странах СНГ, и в этом работают здесь далеко не невыездные тарищи майоры за 40к рублей в месяц.
Суть: как сделать так, чтобы хотя бы пригласили на собес, а не выкинули резюме в мусорку при подаче оного? Подрочить pwnы на HackTheBox? Или сходить на CTFы пару раз? Ведь на реальных примерах это не показать, ибо, ясень-пень, незаконно.
Аноним 13/11/19 Срд 15:19:05 1520103142
Аноним 13/11/19 Срд 17:41:45 1520226143
>>1520064
1) Напизди в резюме про опыт работы;
2) Закидывай резюме вообще на все вакансии (даже смежные) на похуй (большая часть всё равно не ответит ибо висит на сайте из-за проёба хрюш);
3) Ходи на все тусовочки по теме.
Аноним 13/11/19 Срд 17:58:03 1520262144
>>1520103
спасибо за линк, но я покамест грызу эксплуатацию в юникс-подобных системах. Винду потом по мере необходимости подтяну
Аноним 13/11/19 Срд 21:47:40 1520471145
>>1520064
Забугром без сертификатов тебя никто на работу не возьмет. На HTB нужно быть в топе, чтобы это хоть что-то значило для работодателя. Ну и вся мякотка в том, что не бывает джунов в этой теме, ты либо компетентен и тебя нанимают для выполнения реальной работы, либо ты сидишь дома и учишься, получаешь сертификаты и становишься компетентным.
Аноним 14/11/19 Чтв 16:57:47 1521091146
>>1515028
норм компы только в 2000тысячные появились.
Аноним 15/11/19 Птн 14:31:54 1521676147
>>1520471
но сертификации есть только по веб-хакингу, который к бинарой эксплуатации не имеет никакого отношения. Ну и про сетевой безопасности там что-то, но по реверсу и разработке эксплоитов я не видел.
Аноним 15/11/19 Птн 16:29:02 1521764148
>>1521676
> но сертификации есть только по веб-хакингу, который к бинарой эксплуатации не имеет никакого отношения. Ну и про сетевой безопасности там что-то
Прикинь, это 90% всех сплоитов. Еще скажи, что JS учить не хочешь, а придется.
https://www.giac.org/certifications/get-certified/roadmap
Аноним 15/11/19 Птн 22:16:00 1522130149
можно как то не особо сложным способом вставить свои опкоды в x86/arm линуксовую либу и прыгать в них а потом обратно?

и вопрос по иде. есть игра только с арм либами, соответственно она под эмулем работает через гудини. Пробую дебажить через x86 сервер, ида логично посылает меня нахуй, пробую армовский но ида коннектится к процессу и сразу отваливаентся. У меня выбор только арм виртуалка или физ устройство?
Аноним 16/11/19 Суб 13:54:49 1522566150
Знаю, что вопросы не по теме, но также знаю что здесь сидят нужны эе люди.

Есть одна игра и два человека, которые написали ботов, которые распознают экран и не лезут в память. Одного банят, второй спокойно играет.
1. Как можно задетектить бота, который не лезет в память, и единственное что делает это эмулирует нажатия на клаву?
2. Как может быть, что за эмуляцию одного банят, а второго нет? Может зависеть от способа эмуляции нажатия?
Аноним 16/11/19 Суб 14:28:49 1522600151
>>1522566
> Одного банят, второй спокойно играет
Один жадюга фармит 24/7, другой ставит на пару часиков. Бан скорее всего ручной, по логам.

> Как можно задетектить бота, который не лезет в память, и единственное что делает это эмулирует нажатия на клаву?
Есть несколько способов сделать это из юзермода. Низкоуровневый хук мыши и запрос операции ввода мыши.

Дай угадаю, игра WoW? Они как раз второй метод используют.
Аноним 16/11/19 Суб 14:35:04 1522604152
>>1522600
>Один жадюга фармит 24/7, другой ставит на пару часиков. Бан скорее всего ручной, по логам
Хз хз, один делал рыбалку, второй гоняет по квестам. Возможно, они просто детектят все эмуляции именно на рыбалке и игнорируют остальные.

>Есть несколько способов сделать это из юзермода. Низкоуровневый хук мыши и запрос операции ввода мыши.
>Дай угадаю, игра WoW? Они как раз второй метод используют.
То есть нарушают законы и пишут малварь? Им же никто не давал разрешения хукать мои процессы. Нет, игра Lost Ark из новых.
Аноним 16/11/19 Суб 17:32:09 1522742153
Реверсач, привет
Я начинающий реверсер, хорошо знаю асм, си и кресты тоже хорошо знаю, но вот заметил, что статический анализ даже относительно простых крэкми занимает у меня довольно много времени, плюс у меня есть постоянное желание рисовать стэк на бумаге, чтобы помочь себе не запутаться по ходу анализа. Мб я неправильно юзаю софт, мб есть акие-то фичи, чтобы реверсить быстрее и без использования листочка? Или нужно просто очень много опыта и нет никаких фокусов/трюков для облегчения самого процесса реверсинга в плане "не потеряться"?
Аноним 16/11/19 Суб 19:14:09 1522808154
image.png (33Кб, 940x348)
940x348
>>1522604
>То есть нарушают законы и пишут малварь?
Коммерческие античиты очень многое себе открыто разрешают прямо в EULA. Не удивлюсь, если в темную они используют совсем уж грязные способы детекта.
В конце концов, раз речь идет о деньгах, то прайваси потребителя может и сходить найух.
Аноним 16/11/19 Суб 20:30:31 1522851155
https://exploit.education/

Если я пройду все виртуалки здесь, я буду компетентен хоть на какую-то йоту или это все игрушки?
Аноним 17/11/19 Вск 06:58:51 1523040156
>>1522604
> То есть нарушают законы и пишут малварь?
С пробуждением. Я тебе больше скажу, винда сама по себе малварь.
Аноним 17/11/19 Вск 13:45:45 1523164157
>>1522600
>Низкоуровневый хук мыши и запрос операции ввода мыши.
по факту всё это можно обойти просто юзая посредника в виде железного эмулятора клавомыши на стмке к примеру?
Аноним 17/11/19 Вск 20:45:19 1523561158
>>1519550
>И что? Ты точно не промахнулся с ответом?
да, промах, ответ должен был быть туда же куда и твой
Аноним 17/11/19 Вск 20:47:30 1523562159
>>1523164
где то даже были примеры, правда на ардуинке)
Аноним 17/11/19 Вск 21:16:20 1523588160
Сап, реверсач
Имеет ли место быть бинарная эксплуатация в языках типа раста, джавы, сишарп, где сложно выстрелить себе в ногу из-за автоматизированного мемори менеджмента? Или все эти ваши зиродеи только в дырявых сишечке и плюсах? Я говорю именно про разного рода переполнения, юафы и т.п., не про веб-атаки
Аноним 17/11/19 Вск 21:17:29 1523591161
>>1523588
Поправка: бинарная эксплуатация программ, написанных на перечисленных языках
Аноним 17/11/19 Вск 21:22:26 1523600162
>>1523588
В любых проектах чуть больше и сложнее хеллоу ворлда используется unsafe код, так что да.
Аноним 17/11/19 Вск 21:47:36 1523622163
1
Аноним 18/11/19 Пнд 02:05:25 1523792164
>>1523600
Это известно, многие об этом говорят. Но вопрос состоит в другом - ПОЧЕМУ есть такая надобность? Без этого код недостаточно гибкий?
Аноним 18/11/19 Пнд 02:35:24 1523803165
>>1523164
Конечно, если устройство будет представляться обычной мышкой и эмулировать все проверяемые паттерны.
Ещё можно индуса посадить.
Аноним 18/11/19 Пнд 16:19:21 1524074166
Дратути. Допустим я планирую читать память игры, сможет ли античит меня выловить, существуют ли у него такие способы?
Аноним 18/11/19 Пнд 18:02:49 1524172167
image.png (1117Кб, 1910x1032)
1910x1032
Что это за тулза? Пикрилейтед.
Аноним 18/11/19 Пнд 18:31:49 1524186168
>>1524074
>сможет ли античит меня выловить
Если сделан не на отъебись, то сможет.
>существуют ли у него такие способы
Вагон и маленькая тележка.
18/11/19 Пнд 18:44:56 1524203169
>>1524074
Вот тут >>1524186 я про чтение внаглую из юзерспейса с использованием стандартных WinAPI.
Уточнение, на всякий случай.
Аноним 19/11/19 Втр 18:29:52 1524775170
Аноним 19/11/19 Втр 20:35:10 1524865171
>>1524074
Запусти игру в виртуалке. поставь Из хоста поставь процесс виртуалка на паузу, сдампь память волатилити, извлеки из дампа всей виртуалки только память процесса игры. Античит даже не поймёт, что игру прерывали

Рейт идею, кто шарит
Аноним 19/11/19 Втр 23:43:47 1524999172
>>1524865
Античит может обнаружить присутствие гипервизора/отладчика и прочий известный инструментарий. Вообще каждая игра может быть запущена отдельно от античита на какое-то время, этого вполне достаточно чтобы сделать дамп.
Аноним 20/11/19 Срд 00:06:54 1525011173
>>1524999
Чекнул. Действительно античиты вполне рутинно детектят гипервизор. Оказывается не только малварь пытается избегать виртуалок
Аноним 20/11/19 Срд 06:14:02 1525075174
Скажите нуфагу. Какие навыки RE мне помогут в гемедеве?
Аноним 20/11/19 Срд 11:22:26 1525164175
Где можно посмотреть либы с этими вашими мов, инк, пуш итд?
Аноним 20/11/19 Срд 11:42:24 1525177176
>>1525164
Либы? Что ты имеешь в виду?
Аноним 20/11/19 Срд 21:30:48 1525598177
>>1525011
Античиты и есть малварь, как и антивирусы. По крайней мере методы у них одинаковые.
Аноним 20/11/19 Срд 22:04:57 1525635178
Нужно добавить секцию в файл программно, читаю файл в заранее выделенный буфер, через ReadFile. Что дальше то делать? Просто добавить описание секции в хедер, указать на пустой участок памяти и сделать запись в файл?
20/11/19 Срд 22:42:59 1525661179
>>1525635
Если в OptionalHeader.SizeOfHeaders заголовок секции влезет - то все так. Если не влезет, придется расширять последнюю секцию. Ну еще про выравнивание в файле и в памяти почитаешь.
Аноним 21/11/19 Чтв 01:24:45 1525750180
Реверсач, сяп. В каком из регистров или где именно в стэковом кадре может храниться количество переданных аргументов в функцию конвенция cdecl, разумеется?
Или хотя бы оффсет к стэковому поинтеру как узнать, чтобы вычислить это количество?

Если что, в асмах не разбираюсь нихуя, так что нид хелп.
Аноним 21/11/19 Чтв 15:11:40 1525983181
>>1525750
Эта инфа не хранится в регистре. Когда у тебя начинает стэк фрейм новой процедуры, обращение к аргументам процедуры происходит через [ebp+Z] где Z = 0x4, 0x8, 0xc... в случае 32-битного бинарника и 0х8, 0х10... в случае 64-битного бинарника.
Аноним 21/11/19 Чтв 15:12:52 1525984182
>>1525983
Upd:
Ebp - 32 битный бинарник
Rdp - 64 битный
Аноним 21/11/19 Чтв 16:24:49 1526045183
>>1525983
>>1525983
>через [ebp+Z] где Z = 0x4, 0x8
Но ведь я правильно понимаю, что аргументы энивей будут хранится в стэке, причём в 4-байтовых блоках, и рядом с друг другом?
Алсо я сам себя наебал с cdecl, оказывается в моём случае - смешанная конвенция, где какая-то часть (в зависимости от арх-ры) аргументов пиздует сразу в регистры, а та что не влезла - по старинке в стэк. И если это так, то как мне тогда в сишечке достать те, что попали в регистры, без ассемблерных заплаток?
Аноним 21/11/19 Чтв 18:20:52 1526132184
>>1526045
Да. Просто повтори конвенции, чтобы не путаться. Алсо, для сисколлов есть своя конвенция, там как раз-таки аргументы хранятся в регистрах. Для реверса плюсового кода тоже есть свои конвенции, ибо там есть ооп (например, в ecx/rcx хранится указатель на объект). Конвенции различаются даже между 32 и 64 битными бинарями. Расписывать это здесь не имеет смысла, ибо есть гугл. Когда наберешься опыта в реверсинге, то уже будешь помнить все наизусть.
Аноним 21/11/19 Чтв 18:23:50 1526134185
>>1521764
Не пизди. Есть очень много уязвимостей именно в бинарниках, которые с веб-атаками не имеют ничего общего. Веб-атаки и бинарная эксплуатация - разные отрасли тащемта.
Аноним 21/11/19 Чтв 18:26:15 1526135186
>>1524865
hiberfil/pagefile можно так использовать?
все нативно, никто ругаться не будет. игру свернул (если настройки и оперативка позволят оси передвинуть ее в подкачку) или просто гибернацию нажал и потом с харда переписал на другой системе.
Аноним 21/11/19 Чтв 18:38:55 1526146187
>>1519156
иногда можно зайти с черного хода или вообще через канализацию.
от виртуалок и работы с микрухами памяти до еба-скоростных логических девайсов на шине проца.
Аноним 21/11/19 Чтв 18:46:54 1526153188
>>1517086
вау, научи также разбираться в основах. посоветуй книгу пожалуйста.
21/11/19 Чтв 19:47:30 1526189189
>>1526045
> И если это так, то как мне тогда в сишечке достать те, что попали в регистры, без ассемблерных заплаток?
Писать ассемблерные заплатки. Точнее, там всего несколько простых инструкций, поэтому проще всего захардкодить их и динамически собирать враппер из твоего __usercall в какой-нибудь __stdcall (и/или обратно), выделить память с флагом на выполнение и положить туда этот враппер.
Аноним 21/11/19 Чтв 21:18:59 1526239190
>>1525661
Вот эти выравнивания и rva/va на диске не вкуриваю. Что есть база файла хранящегося на диске? OptionalHeader.ImageBase? Есть вообще какой-то инструментарий для подобных махинаций, винапи/макросы в каких-нибудь майковских хедерах?
22/11/19 Птн 00:01:19 1526328191
>>1526239
На диске у тебя офсеты от начала, никакой базы. А вот в память файл грузится по image base (или не по ней, но тогда все немногочисленные виртуальные адреса исправляются на разницу между записанной image base и реально использованной).

> Вот эти выравнивания и rva/va на диске не вкуриваю
> VA
Просто адрес в памяти внутри образа
> RVA
Дельта относительно использованной при загрузке image base, т.е., GetModuleHandle(...) + RVA = VA.

> Есть вообще какой-то инструментарий для подобных махинаций
PE file editor в ассортименте.

> винапи/макросы в каких-нибудь майковских хедерах
Есть в основном недокументированные LdrXXX и RtlImageXXX, есть макросы в winnt.h, но это все в основном для чтения.
Аноним 22/11/19 Птн 01:49:55 1526368192
>>1526132
>Да.
Тогда наверное, я чего-то не понимаю

int funct (int n,...)
{
char ptr = &n; // теперь поинтер указывает на первый байт первого аргумента в СТЭКЕ, не так ли?

/
далее поБАЙТово (изза врожденной паранои) прогоняю/ /поинтер назад и вперёд с радиусом в 1 килобайт/
/
можно и с большим, но не думаю, что поможет/
---------->
/
ни ОДИН из переданных аргументов с мэйна не/ /засветился*/
}
То есть, судя по всему, аргументы хранятся исключительно в регистрах. Либо поинтер указывает вовсе не на то, что я думаю.
Алсо подозреваю, что если в самом начале вызвать любую функцию, то эти аргументы по выходу из неё проёбываются в небытиё; так как КДбг показывает, что нужных значений в регистрах уже нет, а попытка найти их тем же способом также провальна.

>Просто повтори конвенции,
>The registers RDI, RSI, RDX, RCX, R8, and R9 are used for integer and memory address arguments and XMM0, XMM1, XMM2, XMM3, XMM4, XMM5, XMM6 and XMM7 are used for floating point arguments.
>For system calls, R10 is used instead of RCX. Additional arguments are passed on the stack and the return value is stored in RAX.

Очень похоже на мой кудахтер, только зарезвервированных регистров не 6, а 14.
Аноним 22/11/19 Птн 02:10:08 1526370193
>>1526368
Отладчиком пробовал пользоваться? Поставь точку останова на вызове функции и проанализируй регистры/стек, там все наглядно видно.
Аноним 22/11/19 Птн 14:52:23 1526741194
Сколько нынче реверс-инженеры получают на фуллтайме?
Аноним 22/11/19 Птн 16:29:48 1526828195
22/11/19 Птн 19:32:16 1526974196
>>1526368
> теперь поинтер указывает на первый байт первого аргумента в СТЭКЕ
Или на первый аргумент, который был сохранен из регистра в стек, потому что компилятор очень хотел сделать то, что ты сказал, но у регистра взять адрес не очень получалось. Что ты сделать-то хочешь?
Аноним 23/11/19 Суб 00:31:30 1527209197
>>1526741
если смотреть на зп в аверах,то очень мало
настолько мало,что я ебал
Аноним 23/11/19 Суб 02:09:50 1527242198
>>1527209
>в аверах
Их больше одного?
Аноним 23/11/19 Суб 03:22:22 1527252199
>>1527242
ты про виндеф щас или я не выкупил?
Аноним 23/11/19 Суб 03:32:15 1527253200
>>1527252
Не ебу про что ты, по я на пост про зарплату в авреах для реверсеров отвечал. Там же почти монополия и хуй куда в рф перекатишься.
Аноним 23/11/19 Суб 03:33:55 1527254201
>>1527253
каспер,дрвеб,есет,груп биби в конце концов,хотя к дебилу сачкову пойти самому это нужно постараться
Аноним 23/11/19 Суб 03:50:09 1527256202
>>1527254
>каспер
монополист
>дрвеб
это бренд, а не рабочий продукт и реверсеры им не нужны чтобы зарабатывать
>есет
в россии нет ресёрч центра
>груп биби
это даже не авре, но тоже монополист. зарабатывает на том, что каспер делает бесплатно или вообще забил и не делает. задрал цены, зажал зарплаты и нанял толпу прогеров писать нахуй никому не нужный российский клон снорта и арксайта лижбы впарить его втридорога всяким газпромам. а реверс им нужен, но платить не хотят. хотят вчерашних студентов ситиэфщиков за еду обещая должность деректора через 5 лет.

какая же это всё хуйня. а сачков пидор
Аноним 23/11/19 Суб 03:59:34 1527257203
>>1527252
>виндеф
Только щас понял, что ты говорил про встроенный в десятку дэфолтный виндеф. А я ещё туплю мол при чём тут виндовс когда мы говорим про хуёвую работу в рф
Аноним 23/11/19 Суб 04:02:17 1527258204
>>1527256
> а сачков пидор
полностью согласен,я бы даже сказал пидарасина
>>1527257
да,сорян,я просто сначала не вьехал о чем ты говоришь
Аноним 23/11/19 Суб 04:09:50 1527259205
>>1527258
>полностью согласен,я бы даже сказал пидарасина
Как я рад, что кто-то согласен. А то у меня 2 знакомых к нему пошли и один планирует. Удивляются почему я носом ворочу и не соглашаюсь в гиб переходить. А у тебя к нему какие претензии? Может и тут сойдёмся?
Аноним 23/11/19 Суб 04:17:19 1527260206
>>1527259
Мерзкий тип он,посмотрев его интервью,с этими "Смотрю им в глаза на задержаниях","Ух сука бля всех бы нахуй посадил",рассказами что он хотел пойти в ментуру,но его просто не взяли.
От этого всего у меня о нем складывается впечатление,что он такой обиженный,но при этом полностью уверенный в том,что делает супер-пупер-добро всему миру когда ловит ужасных преужасных блечеров
Ну это помимо того что он педрилло которое сидит на госконтрактах и пиздит бабки


>А то у меня 2 знакомых к нему пошли и один планирует.
Я хз,смотря на ЗП всех этих пентестеров,реверсеров и прочих в ру конторах,которая редка превышает 100к и чет прям у меня непонимание,кто туда идет.
Уж лучше малварь пилитьмы не одобряем
Аноним 23/11/19 Суб 04:26:58 1527262207
>>1527260
>блечеров
Это кто такой?
Аноним 23/11/19 Суб 04:31:52 1527265208
Аноним 23/11/19 Суб 06:30:31 1527281209
Так сколько платят по итогу? Вчера елозил по ххрю, на первый взгляд 80-150к выходит на рядового реверсера.
В Dr.web уже год висят вакансии на джуна вирусного аналитика и обычного вирусного аналитика. Мало платят что-ли? Ну не верю я, что меньше 60к.
Аноним 23/11/19 Суб 08:33:59 1527311210
Давно в VS есть удаленный отладчик ядра? Как он по сравнению с WinDbg?
Аноним 23/11/19 Суб 09:07:39 1527315211
>>1526974
>Или на первый аргумент, который был сохранен из регистра в стек,
Это точно не так - принтом выдает первый обязательный аргумент n, expected. Поинтер, согласно отладчику, хранит адрес 4(%rbp), что похоже на истину. Если начать дальше сдвигать его вверх будь-то по байту, или 4 байтам, то необязательных аргументов не видно совсем.

>Что ты сделать-то хочешь?
Хочу понять куда проебываются остальные аргументы после вызова любой другой функции в int funct(), раз. Второе, просто понять как работать с этими функциями в таких конвенциях на высокоуровневом языке, просто для себя, уж больно зацепило.
Аноним 23/11/19 Суб 14:35:24 1527576212
>>1527281
в вебе вроде джуну 50 или 60к,а нормальному то ли 70,то ли 80
Аноним 23/11/19 Суб 15:10:35 1527609213
>>1527315
Подержу в курсе. Сейчас глазками пробежался по ассемблеру из клэнга, и моих знаний хватило на вывод, что необязательные аргументы в регистрах просто-напросто испаряются нахуй перед вызовом подпрограммы. Подозреваю, что в гцц та же морковь. Наверное конпеляторы думают, что если у объекта нет имени в исходнике, значит хуй с ним, понимаешь, так и говорят, хуй с ним, зачем это говно нам в стэк кидать
23/11/19 Суб 19:51:14 1527880214
>>1527315
> понять как работать с этими функциями в таких конвенциях на высокоуровневом языке
Да никак, врапперы писать или динамически генерировать. Максимум, что тебе сишка дает - это variadic-функции (которые с точечками - void foo(int first, ...)) и va_list/va_start/va_next для них, а уж дальше оно само.
Аноним 24/11/19 Вск 01:14:51 1528116215
Кто-то под RISC-V ассемблил, прогал на нем?
24/11/19 Вск 01:46:31 1528129216
>>1528116
> Кто-то под RISC-V ассемблил
Те же мифические люди, которые в r2 реверсят.
Аноним 24/11/19 Вск 01:58:29 1528133217
>>1528129
Значит пора написать один такой и эмулятор.
Аноним 24/11/19 Вск 02:27:06 1528149218
>>1527576
Это в питере. В москве у каспера джун с 60ти начинается. Это если без сэйвборда. Через стажировку проще вкатиться, но меньше платят
Аноним 24/11/19 Вск 02:59:54 1528157219
>>1528149
Так это все равно мало сука
Очень блядь мало
Посмотри сколько получают всякие макаки на жыэсе и прочем и сравни уровень знаний который должен иметь средний макак и средний реверсер
уж лучше пилить моды всяких isfb за 5к долларов в месяц,чем дрочить семплы на потоке за 60 ссаных к в МСК

Аноним 24/11/19 Вск 03:07:16 1528158220
>>1528157
Это только первое время 60к, но потом тоже мало.
Аноним 24/11/19 Вск 03:09:49 1528159221
>>1528158
мало которое потом это сколько?
Аноним 24/11/19 Вск 03:18:13 1528163222
>>1528159
Не знаю. Не стал допрашивать. Подозреваю, что мне бы чуть больше 100к предложили. Хотя есть люди, которые на 50 евро в час в какую-нибудь германию уезжают. А иностранцы, которые в грите работают получают шестизначную зарплату в долларах.
Аноним 24/11/19 Вск 03:18:53 1528164223
Аноним 24/11/19 Вск 03:28:19 1528168224
>>1528164
great, которая все касперовкие апт репорты пишет
Аноним 24/11/19 Вск 03:38:16 1528174225
>>1528168
шестизначную в долларах это в год,я полагаю?
Нормально конечно,но сколько надо проработать на эту хуйню чтобы столько получать
как-то меня это все портит настроение,когда я начинаю думать об этом.Вся эта срань с апт,аверы-хуяверы,шансы сесть в тюрьму,хуевые зп почти у всех
на кой хуй я поперся сюда..пилил бы сраные сайтики и сидел бы довольный
Единственный вариант который я вижу - спиздить откуда-то много биткойнов и всю жизнь заниматься любимыми делами,не боясь оказаться на улице
Аноним 24/11/19 Вск 03:39:52 1528176226
>>1528174
Хуевая идея, лучше работать всю жизнь; иначе ты быстрее превратишься в животное, чем будешь заниматься любимыми делами.
Аноним 24/11/19 Вск 03:43:16 1528179227
>>1528176
Почему?Уехал бы куда-нибудь в швейцарию,взял книжки по биологии и химии,ходил бы на лекции,нашел бы девушку с которой можно было-бы приятно проводить время,забыл бы нахуй это айти и прожил бы счастливую жизнь
Аноним 24/11/19 Вск 04:36:49 1528191228
>>1528179
юпд. прыгать со скал с парашютом,наслаждаться красивыми видами,даже можно попутешествовать и даже завести детей
Эээх...Как бы хотелось прожить такую жизнь сук...
>>1528176
да хер его знает,дрочить всю жизнь малваре в авлабе это тоже не верх интеллектуальной деятельности.
+надоест быстро,я думаю
Всякие великие штуки типа лекарства от рака ты без миллионов долларов и кучи свободного времени не сделаешь все таки




Аноним 24/11/19 Вск 04:45:54 1528194229
>>1528191
100 среднепрофессиональных рабочих всегда лучше одного гения...
Аноним 24/11/19 Вск 04:46:53 1528195230
>>1528194
к чему это,друг?Я просто уже спать хочу,чуть туплю
Аноним 24/11/19 Вск 04:48:32 1528196231
>>1528195
Я о том, что хватит мечтать и делай работу, что делает другая сотня людей. Ну и развивайся.
А вот сидеть нихуя не делать 10 лет, и потом выпускать нечто гениальное уже менее полезно.
Аноним 24/11/19 Вск 04:50:33 1528197232
>>1528196
так это же отстойно,сидеть и делать рутину...
Мне моя концепция с спизжеными битками и деланьем любимого дела нравится больше,если честно
Аноним 24/11/19 Вск 04:52:28 1528198233
>>1528197
Жизнь сама по себе рутина, меньше фильмов смотри, ага.
Аноним 24/11/19 Вск 04:54:18 1528199234
>>1528198
Да пошли вы в пизду тогда с своим программированием,в рот я вас ебал делать однообразную хуйню всю жизнь
На днях займусь тем чем собирался,ты меня окончательно переубедил.
Аноним 24/11/19 Вск 12:51:07 1528295235
>>1528157
По-моему норм, там из требований только знание x86 ассемблера, который осваивается за 2 месяца.
Аноним 24/11/19 Вск 12:56:14 1528300236
>>1528157
Макак как раз таки рыночек порешал, там сейчас дикий пердолинг фуллстек с кучей йоба технологий или иди гуляй, а реверсеров годами ждут и ценят. Только что погуглил, у джунов макак тоже в районе 60-80к зп. Вы переоцениваете сложность реверса, это абсолютно аналогичное по сложности осваивания ремесло и чем-то даже менее стрессовое чем программирование. Сидишь пердолишь семплы, никуда не торопишься, пока макаку ебут в жопу за проебаные дедлайны и говнокод.
Аноним 24/11/19 Вск 16:28:07 1528475237
>>1528300
кто ждет?на хх 1-2 обычно,если вообще есть,обновляются редко
но в чем-то ты прав,а потом можно накачаться и сплойты пилить и продавать например
Аноним 24/11/19 Вск 20:02:19 1528721238
После вызова syscall, что происходит с потоком, который его вызвал? Ждет возврата, пока ядро обработает его вызов? Или система пропускает этот поток в ядро для обработки вызова?
24/11/19 Вск 22:26:35 1528831239
>>1528721
Контекст потока сохраняется, переключается на ядро. А дальше либо ядро сразу обрабатывает вызов, либо откладывает поток в список ожидающих io. Когда все обработалось, контекст заменяется на юзермодный обратно.
> пропускает
После того, как eip/rip сменился, об этом уже сложно сказать "пропускает".
Аноним 24/11/19 Вск 23:04:09 1528849240
>>1528831
Так кто обрабатывает мой системный вызов? Системный ядерный тред из тредпула или у моего юзермодного треда меняется контекст и он выполняет всю работу?
Аноним 25/11/19 Пнд 15:21:38 1529200241
image.png (28Кб, 937x115)
937x115
Переведите плиз. Почему two's complement так называется?
Аноним 26/11/19 Втр 06:31:02 1529717242
>>1529200
Потому что дополнение до двух, ты что, совсем тупой?
Аноним 26/11/19 Втр 14:03:23 1529961243
image.png (177Кб, 506x884)
506x884
Ахуеть, это вообще возможно? Статистика за год, если что. Это же нереально руками столько сплоитов найти. Может где-то на просторах гитхаба лежат навороченные фазеры ака кнопка бабло? Дискасс.
Аноним 26/11/19 Втр 20:05:48 1530209244
>>1529961
Ну нашел чувак кормушку, можно и не только ковыряя асм найти.
Аноним 26/11/19 Втр 20:53:46 1530258245
>>1530209
Кстати да, заметил что все крутые багхантеры долбят 1-2 конторы. Так они по-любому какой-то сканер ставят, которым им алерты выдает чуть что в инфраструктуре изменилось. Вангую у них там покрыто все, похлеще блекхетовский штучек. Ну не верю я, что они руками каждый раз аудит проводят по новой.
Аноним 26/11/19 Втр 21:10:37 1530284246
>>1529961
Я тебе одну вещь скажу, ты только не обижайся (с)
Нравится ковырять бинари - ковыряй на здоровье. Кто-то готов тебе платить тебе, за то, что ты круто ковыряешь бинари - еще ахуеннее.
Но, ты увидел скрин чувака, который, возможно, поднял бабла ковыряя дыры в софте и решил, что тоже так хочешь - wrong.
ИМХО, возможно данный гражданин пиздит, возможно данный гражданин - официальный рекламный партнер H1 (сам не был их клиентом, но видел неоднозначные отзывы), возможно данный гражданин медиа представитель команды рабов NSA завлекающий соответствующих ботанов-аутистов работать на благо родины. Короче, я бы не стал доверять никаким красивым картинкам.
То, в чем можно быть уверенным - шансы на успех минимальны, если ты хочешь только результат и при этом не наслаждаешься самим процессом.
Аноним 26/11/19 Втр 21:59:03 1530324247
>>1530284
Я уже давно хотел вкатиться в автоматику, а тут твит в глаза бросился, еще раз убедился в том, что нужно копать в эту сторону. Думаю здесь без автоматики здесь не обошлось, решил у анонов спросить что вы думаете по этому поводу.

Алсо, на счет бинарей, где можно скачать нужные мне бинари конкретной версии винды? Дллки беру здесь https://www.dll.ru/, но нужны экзешики и дрова в том числе.
Аноним 27/11/19 Срд 12:36:27 1530582248
Решил в Гидру вкатиться после семилетнего перерыва в реверсе (не сказать, что я блистал, но без Иды пару кейгенов написал когда-то).

0. В декомпиле не подсвечивается переменная в соседних никаким образом, когда на нее курсор наводишь. При скролле и курсор сдвигается. Нередко приходится выхлоп декомпиля в нормальный текстовый редактор копировать, чтобы удобно по нему ориентироваться.
1. Постоянно ломается что-то, когда переименовываешь локальную переменную. Она переименовывается в какое-то говно вида aQstack59 и вываливается ошибка по размеру данных. Видимо, простое переименование триггерит какой-то DataFlow-анализ, который почему-то обламывается. Если откатиться (не по Ctrl+Z, а через переоткрытие проекта), то может прокатить повторная попытка.
2. Снова переименование, но уже класса. Его можно переименовать в окне редактирования его полей, с вероятностью 80% это ломает вообще все. Можно переименовать в SymbolTree, но при этом у меня часть функций продолжили ссылаться на уже не существующий тип данных, через Clear Flow and Repair привязки исправилась, стерев при этом названия всех полей класса, которые я собирал по кусочкам последние два часа.

Декомпиль по сравнению с Идой конкретно в случае с моим бинарем очень приятный. Код генерит простой и пошаговый, а не эзотерическую околоолимпиадную магию с непрозрачным жонглированием битами, как это делает в моем случае Ида.

Не отрицаю, что я вообще не очень понимаю, что делаю, и, возможно, эти постоянные ошибки парой действий можно уверенно исправлять, не теряя проделанной работы, но такая нестабильность удивляет, ведь Гидру должны были сотни реверсомакак каждодневно использовать.
Аноним 01/12/19 Вск 05:39:11 1534184249
Можно ли заработать фрилансиром малварь реверсером? Самому ловить в ханипотах малварь, реверсить, писать яра правила и продавать их эксклюзивно какой-нибудь thread intelligence конторе.
Аноним 01/12/19 Вск 13:08:24 1534526250
>>1534184
Если объемы приличные, то можно, наверное.
Аноним 01/12/19 Вск 13:33:50 1534569251
>>1534526
Как можно одному большие объёмы выдавать?
Аноним 01/12/19 Вск 16:17:55 1534826252
>>1534569
Пишешь генератор малвари и сразу же разбираешь скриптами.
Аноним 01/12/19 Вск 18:33:29 1534969253
>>1534184
Есть очень большой шанс что ты окажешься под мостом
Можно просто делать малварь:)
Аноним 02/12/19 Пнд 16:03:33 1535964254
>>1534969
Малварь пишет исключительно школота и макаки, брысь отсюда с такими советами.
Аноним 02/12/19 Пнд 23:52:55 1536277255
>>1535964
>Малварь пишет исключительно школота и макаки
малварь для целевых атак - нет
а на обычной можно быстро заработать,а не жрать гордым дошик,а после пары лет идти в групиби чтобв работать за 50-60к и дальше сосать хуй
уж лучше делать говномалварь с такими зп
Аноним 04/12/19 Срд 00:34:24 1537219256
>>1536277
> малварь для целевых атак - нет
А ее пилят студентики какого-нибудь ИТМО/МГУ, макаки те же, но с мат. бэком. Тему с зп и карьерным ростом уже обсуждали, все в порядке. Уходи из треда, здесь белые шляпы обитают.
Аноним 04/12/19 Срд 01:21:28 1537267257
>>1537219
а нахуя мат. бэк чтобы пилить малварь?
Аноним 04/12/19 Срд 01:28:14 1537269258
>>1537219
>здесь белые шляпы обитают
попрошу говорить только для себя
Аноним 04/12/19 Срд 01:29:44 1537270259
image.png (69Кб, 197x195)
197x195
>>1537219
>А ее пилят студентики какого-нибудь ИТМО/МГУ, макаки те же, но с мат. бэком.
Зачем тебе мат бэк чтобы малваре пилить?Почему именно студентики?есть же гос группы у которых бюджеты пиздец какие и там явно не студентота
И почему они макаки?
Аноним 04/12/19 Срд 01:58:47 1537280260
>>1537267
>>1537270
Я к тому, что гуманитарий сможет написать что-то уровня хеллоуворлд-малвари, которую дятел расковыряет за часик под пивко или которую автоматика сама проглотит, но точно не малварь для целевых атак.

> Почему именно студентики?есть же гос группы у которых бюджеты пиздец какие и там явно не студентота
Там как раз студентота и сидит.

> И почему они макаки?
Потому что студентота, очевидно же. Нет опыта = говнокодят = макаки.

>>1537269
Зерепортил.


Аноним 04/12/19 Срд 02:21:49 1537284261
>>1537280
>Зерепортил
по какой причине?я не спрашивал/советовал как делать малварь
Аноним 04/12/19 Срд 02:24:46 1537285262
>>1537280
>Я к тому, что гуманитарий сможет написать что-то уровня хеллоуворлд-малвари, которую дятел расковыряет за часик под пивко или которую автоматика сама проглотит, но точно не малварь для целевых атак.
У тебя какое-то странно представление малвари для целевых атак(Или у меня)
Малварь для ца должно быть сложно отреверсить или что?(с автоматикой понятно,она должна быть наебана чтобы все нормально отработало)
Аноним 04/12/19 Срд 02:34:18 1537290263
>>1537285
У этого >>1536277 спроси, я без понятия какой смысл он вкладывает в это понятие. Даже малварь для целевых атак может быть написана школотой и макаками. Обычно для целевых атак используется спайварь и естественно ее должно быть сложно детектировать, анализировать и как либо маркировать.
Аноним 04/12/19 Срд 02:38:35 1537291264
>>1537290
это я и есть,мы тут с тобой одни сидим
ну вообщем тебя понял

школотрон
Аноним 04/12/19 Срд 05:15:50 1537307265
>>1537291
Зачем тогда семенишь? Шифруешься, малварьщик? Кидай сюда свою малварь для целевых атак, посмеемся. Она как минимум должна быть уровня Cobalt Strike.
Аноним 04/12/19 Срд 05:24:33 1537310266
>>1537307
>Шифруешься, малварьщик?
Да не особо если честно.Так,тыкаю сэмплы с твиттера разве что и смотрю что нового выходит на рынок
>Кидай сюда свою малварь для целевых атак, посмеемся
Я говорил что я ее делаю?Я говорил что я малварщик или тем более хороший малварщик?
Че ты накинулся вообще?
>Cobalt Strike
Это который гуй под метасплойт?
Аноним 04/12/19 Срд 15:56:42 1537524267
>>1537307
>Cobalt Strike
Он как раз и "реверсится за час под пивко" т.к. там нет никакой защиты от рерса. Только функционал
Аноним 04/12/19 Срд 19:30:54 1537672268
>>1529961
Руками в серьезном софте практически никакие дырки не находятся, лол. Грубый ручной статический анализ бинаря, в котором несколько десятков, а то и тысяч, функций, да еще если он stripped - чисто физически нереально. К тому же, очень легко самому прощелкать еблом и проебать дыру.
Ищут софтом (не только фаззерами, если чо), вручную долбят только подозрительные процедуры дополнительно. Найти уязвимость - полдела. Ее еще надо эксплуатировать (ну, или хотя бы вменяемый РоС написать), что с нынешними технологиями защиты не так просто. Ломать бинарь, даже с уже известной уязвимостью, при включенном ASLR, DEP, Full RelRo, ASCII armor, PIE - очень непросто. Если бинарник 64-битный, коих в 2к19 абсолютное большинство, то написать под него надежный эксплоит ОЧЕНЬ сложно, особенно если нет бага, который приводит к утечке данных (как в ошибке форматирования строки, но такие баги сейчас - большая редкость). Поэтому это энивей требует огромного багажа знаний в ОСях, структуре бинарников, да и вообще требует креативный и пытливый разум, поэтому не думай, что софт делает за исследователя всю работу, это лишь вспомогательная фича.
Аноним 04/12/19 Срд 21:11:48 1537728269
>>1537310
А нечего малварь здесь форсить, если у тебя деструктивный образ мышления, то не надо его распространять на других.

>>1537524
Там даже из коробки модулей на несколько метров. Тот же бикон можно в проксю завернуть, как он сам это делает с другими тулзами и отреверсить получится только хуй с маслом, потому что вся логика останется на тим сервере.
Аноним 05/12/19 Чтв 14:33:46 1538213270
Ананасы, нужен хелп от +- дилетанта
Написал лабу челику из интернетов, но он не может её сдать, потому что не может в ней разобраться, мол они такого не проходили, как сделать её примитивней я хуй знает, может у вас буду мысли, как упростить
Ввести с клавиатуры строку с разделителями, поменять местами первое слово с последним, второе с предпоследним и тд, вывести результат
Вот что я писал, он жалуется на непонятную обработку в мейне и чето блять с выводом ему не ясно, я уже не могу с ним разговаривать
.model small

.stack 200h

data segment
DelimChar equ ' ' ;символ, разделитель слов
_STDOUT_ equ 1 ;описатель вывода на экран
;обрабатываемая строка
String db 'loll goog bbooob suup mooling some paper to garbage'
Len dw $-String
;сообщения программы
CrLf db 0Dh, 0Ah, '$'
msgSourceString db 'Instant:', 0Dh, 0Ah, '$'
msgResultString db 'Result:', 0Dh, 0Ah, '$'
data ends

code segment

Reverse proc
push si
push di
jmp @@next
@@while:
mov al, [si]
mov ah, [di]
mov [di], al
mov [si], ah
inc si
dec di
@@next:
cmp si, di
jb @@while
pop di
pop si
ret
Reverse endp


main proc
mov ax, @data
mov ds, ax
;обработка строки
lea si, String
mov cx, Len
cld
;реверс всей строки
mov di, si
add di, cx
dec di
call Reverse

@@Loop:
;пропускаем все разделители
@@WhileDelimiter:
lodsb
cmp al, DelimChar
loope @@WhileDelimiter
jcxz @@Finish ;если строка закончилась - выйти
;найдено новое слово
mov di, si ;(di-1) указатель на начало слова
;пропускаем все буквы слова до разделителя
@@WhileWord:
lodsb
cmp al, DelimChar
loopne @@WhileWord
cmp cx, 1 ;учтём возможный выход из цикла по завершению строки
adc si, 0 ;когда на первый символ слова будет указывать (esi+1)
;теперь слово выделено
;(di-1) - начало слова
;(si-2) - конец слова
sub si, 2
dec di
xchg si, di
call Reverse
xchg si, di
add si, 2

test cx, cx
jnz @@Loop
@@Finish:
;вывод результатов
mov ah, 09h
lea dx, [msgSourceString]
int 21h
mov ah, 09h
lea dx, [msgResultString]
int 21h
;завершение программы
mov ax, 4C00h

main endp
code ends
end main
05/12/19 Чтв 19:21:29 1538452271
>>1538213
> как сделать её примитивней я хуй знает
Зачем ты строку разворачиваешь, поехавший? Просто сканируй ее с конца на предмет пробелов и копируй/выводи найденное таким образом слово.
Аноним 05/12/19 Чтв 21:41:27 1538581272
image.png (37Кб, 797x527)
797x527
/v/тард репортинг. Поясните за уровень сложности трюка, который провернул чувак, о котором идет речь на пике.
Аноним 05/12/19 Чтв 23:34:50 1538750273
Аноним 05/12/19 Чтв 23:36:25 1538752274
>>1538581
ну погугли историю про то как реверсили вмпрот, вот те же грабли. Ну и не чел а группа людей по предварительному сговору. охуилярд человекочасов.
Аноним 06/12/19 Птн 00:34:39 1538788275
>>1538581
Это время в пустую, разок ради ачивки разве что, другое дело если бы он автоматикой распаковывал и действительно нашел способ обрабатывать любые исключительные случаи вмпрота.
Аноним 06/12/19 Птн 01:07:49 1538803276
>>1538788
заладил ты со своей автоматикой. автоматика появляется только после ручных разборов лол. До этого макаки страдают и ждут пока кто то сделает/
Ну и вполне возможно что у них все же уже софтина почти/готовая. скопипащу:

>--> vmprotect 3 trojan unvirtualize <-- - сэмпл автоматика разбирала, сам дамп не рабочий. Но явно близко до выпиливания вмпрота из малвары с последующим восстановлением исходного кода.
>DENUVO 1-3 (VMProtect 2.06 - удалось установить точную версию) в теории и "ломается" за два/три клика. Под "ломается" подразумеваю построение зависимостей HWID от набора секретных DWORD, вшитых в файл лицензии Origin/Steam. В ранних версиях за OEP даже ехать не требуется. Допишите "trace analyser" (анализ хендлеров VM и трассировщик с подавлением защиты целостности VMProtect готов, количество VM не играет никакой роли) для Denuvo_Profiler и будет Вам счастье
Аноним 06/12/19 Птн 06:11:24 1538865277
>>1538581
Там два этапа, распаковка это практически автоматика, а вот девиртуализация это примерно как собирать банкноту после перекрёстного шреддера, переваренную и высранную слоном. Если по-простому, есть два варианта - делать это полу-вручную, копаясь в слонячьем говне, для этого нужно быть человеком дождя, и сделать робота для сбора этой банкноты, что еще сложней.
Аноним 06/12/19 Птн 06:15:45 1538866278
>>1538788
>разок ради ачивки разве что
>the main idea of this project was to verify whether Denuvo affects CPU usage and overall performance of this game
Аноним 06/12/19 Птн 14:46:46 1539210279
Аноним 06/12/19 Птн 17:32:43 1539410280
Аноним 07/12/19 Суб 09:09:33 1539883281
be9cc22dadbd7a2[...].jpg (41Кб, 500x382)
500x382
Аноним 07/12/19 Суб 18:18:28 1540216282
>>1537728
>потому что вся логика останется на тим сервере
Это не усложняет реверс, а вообще делает его неприменимым. Я про дэфолтный бикон. На нём нет обфускации. Хексрэйс сами с ним спрявятся. А исходники метерпретора вообще на гитхабе лежат. И насколько я помню у коблаьтстрайка с метаслплоитом нет встроеных модулей чтобы их обфусцировать. Они скорее зашифруют длл, а потом инджектнут в тругой процесс чем будут пытаться что-то офусцировать на уровне asm кода. А именно сложность чтения ассемблера делает реверс сложным. Вот я и говорю, что раз не обфусцирован, то и реверсить легко.
Аноним 08/12/19 Вск 19:06:36 1541178283
Как я заебался глобальный хук делать. Есть тут те кто смог?
Аноним 08/12/19 Вск 19:08:51 1541183284
>>1541178
Ваш хук уходит в зрительный зал
Аноним 08/12/19 Вск 19:20:14 1541206285
>>1541183
Вы всё о высоком, а толковых мануалов о том как сделать глобальный хук я чёто не наблюдаю.
Аноним 08/12/19 Вск 19:23:11 1541212286
>>1541206
>толковых мануалов
готовых исходников конечно же)
Аноним 08/12/19 Вск 21:46:06 1541363287
>>1541178
В ядро спустился хоть?
Аноним 08/12/19 Вск 23:46:30 1541494288
>>1541363
На подступах
Сообщения ловит, но не передаёт в основной поток. Можно же весь код в эту дллку запихнуть, че я мучаюсь.
Аноним 09/12/19 Пнд 12:35:25 1541743289
619fc6eda6902d1[...].png (96Кб, 1073x503)
1073x503
Есть одна прошивка в бинарном формате.
Открыл ее в binEdit(OllyDbg не смогла)
Правильно я понял что комментарии к коду сгенирировал
сам binEdit?
Аноним 10/12/19 Втр 12:42:46 1542707290
image.png (531Кб, 632x492)
632x492
Всем привет, ананасы
Тут есть жизнь?
Кто че делает?
Аноним 10/12/19 Втр 15:53:50 1542805291
Аноним 10/12/19 Втр 15:59:12 1542809292
Аноним 10/12/19 Втр 18:08:22 1542898293
>>1542809
Поздравляю, ты дегенерат
Аноним 10/12/19 Втр 18:40:25 1542925294
>>1542898
Почему? Жизненный мем же. Всегда проигрываю с маня-хантеров, которые на серьезных щах пишут о том, как они нашли xss на васян.ру проставив ковычечки. Такое то достижение!
Аноним 10/12/19 Втр 20:00:06 1543002295
>>1542925
Мы и так знаем что ты в теме бро, не нужно вкидывать раковые мемы и объяснять их. Лучше расскажи из жизни что-нибудь по теме имела интересного
Аноним 10/12/19 Втр 21:28:08 1543113296
>>1543002
Но вкидывал я, а писал - он)

По теме сейчас классную книгу читаю. The art of exploitation. Очень мощно, прям в подробностях объясняют базовые бинарные уязвимости и эксплуатации.

Собсна, мем потому такой и выбрал, что плавно вникаю в тему pwn/rop/aslr, а вокруг мои знакомые ковычки кругом тыкают да в бурпе сидят

Я надеялся что тут кипит хоть какая-то жизнь, а тут весьма вяленько
Аноним 10/12/19 Втр 21:29:26 1543117297
>>1542805
Меня там иногда постят!
Аноним 10/12/19 Втр 21:31:58 1543119298
>>1543113
Так это ASM & Reverse engineering тред, мы здесь малварь ковыряем, да винду ресерчим, а не баги ищем.
Аноним 10/12/19 Втр 21:38:42 1543128299
>>1543119
Я например в играх читерю. (и шинду ресерчу, да)
Хотя античит по сути и есть малварь, и по устройству и по цели применения.
Аноним 10/12/19 Втр 21:39:34 1543129300
>>1543119
Ну тут ведь нету PWN CTF треда. А создавать я его не хочу, это ж напряги вот эти вот. А я себе баночку курнул, иду открыл, GDB запустил и развлекаюсь. Че, нельзя тут, гражданин начальник?
Аноним 10/12/19 Втр 21:40:01 1543130301
>>1543128
Ооо! Умеешь читы писать? А на что?
Аноним 10/12/19 Втр 21:46:13 1543133302
>>1543130
Я относительно ньюфаг, обламываю зубы об ЕАК пока, расковыриваю дамп, ковыряюсь пальчиком в ядре, пытаюсь байпас захерачить. У меня уже каждый кусочек железа в тестовой пеке там побанен наверно. А сам пейлоад писать да игру реверсить ума много не надо.
Аноним 11/12/19 Срд 14:57:39 1543478303
изображение.png (11Кб, 556x198)
556x198
>>1543113
>а вокруг мои знакомые ковычки кругом тыкают да в бурпе сидят
Как будто что-то плохое.
Устав от реверса я вкатился в баунтихантинг.
На пиво хватает.
Аноним 11/12/19 Срд 17:20:23 1543588304
>>1543129
Да можно. На HTB зарегался уже?

>>1543133
Это поделие не годится для обнаружения чего либо, но самое смешное, что это самый продвинутый продукт на рынке. Они отстают на года.
Настройки X
Ответить в тред X
15000 [S]
Макс объем: 40Mб, макс кол-во файлов: 4
Кликни/брось файл/ctrl-v
Стикеры X
Избранное / Топ тредов