... (читайте далее в статье)

ТУТОРИАЛ ДЛЯ РЕШЕНИЯ ЗАДАНИЯ NICO ИЗ EKOPARTY 2018 - ЧАСТЬ 2. Давайте сделаем скрипт на PYTHON для решения конкурсной задачи NICO, которую мы реверсировали в предыдущей части. Cкрипт основан на реверсинге, который мы делали, а также на решении, которое прислал мой дружбан LUCAS KOW, особенно это видно в части про ROP, и мы объясним, как это сделать. Если я запускаю скрипт LUCAS, я вижу что останавливается счетчик de la fuga de capitales(сложно понять без запуска про что он говорит) и что запускается калькулятор. Поэтому давайте посмотрим на это всё. Очевидно, что, во-первых, устанавливается соединение с сервером, который будет прослушивать порт 41414, как мы уже видели. В качестве IP-адреса я введу 127.0.0.1, так как запускаю его на той же машине. Если сервер находится на удаленной машине, придется ввести IP машины, на которой работает этот сервер. Здесь импортируется сокет и устанавливается соединение с ним. Напомним, что первый пакет назывался HANDSHAKE... (читайте далее в статье)

ТУТОРИАЛ ДЛЯ ЗАДАНИЯ NICO ДЛЯ EKOPARTY 2018 - ЧАСТЬ 1 Давайте отреверсим шаг за шагом задание NICO для EKOPARTY 2018. Это сервер скомпилированный 64-битным компилятором и работающий конечно на WINDOWS. Для начала я посмотрю на него в WINDOWS 7. В любом случае, часть статического реверсинга будет похожей. При запуске мы видим следующее. Описание находится здесь. https://labs.bluefrostsecurity.de/blog/2018/09/11/bfs-ekoparty-2018-exploitation-challenge/ Резервные запасы уменьшаются и вы должны остановить это, затем, в качестве второй цели, вы должны запустить калькулятор... (читайте далее в статье)

Реверсинг задачи по SCADA В группе телеграмм мы поставили перед собой задачу, которая относится к реверсингу следующего CVE, чтобы практиковаться с реальным программным обеспечением. CVE-2013-0657 https://ics-cert.us-cert.gov/advisories/ICSA-13-018-01 Здесь есть ссылка. Все версии и 9 и 10 являются уязвимыми, за исключением тех версий, к которым был применен патч. Уязвимую версию 9 можно загрузить отсюда: HTTPS://DRIVE.GOOGLE.COM/OPEN?ID=1V4DAVXWD6FYSMVK4UKRG-SHCJNXI55XN А патч отсюда: HTTP://IGSS.SCHNEIDER-ELECTRIC.COM/IGSS/IGSSUPDATES/V90/PROGUPDATESV90.ZIP Это исполняемый файл, который прослушивает порт TCP 12397. Если мы установим программу, мы увидим, какой исполняемый файл прослушивает этот порт. Когда я устанавливаю программу, я сначала выбираю опцию DEMO, а затем FREE FOR 50. С этими настройками я могу запустить программу нормально. И когда я нажимаю на кнопку START, программа начинает работать... (читайте далее в статье)

СЕГМЕНТАЦИЯ И ПЭЙДЖИНГ ПАМЯТИ ДЛЯ АРХИТЕКТУРЫ X86 В этой части туториала мы попытаемся увидеть управление памятью для архитектуры X86, а позже попытаемся актуализировать знания для X64. Это серьёзная тема. Она включает в себя таблицы, которые вы должны понять и научиться находить, поэтому мы будем идти медленно и верно. Давайте посмотрим, некоторые понятия полученные из Интернета. РЕАЛЬНАЯ ПАМЯТЬ ТАКЖЕ НАЗЫВАЕМАЯ ФИЗИЧЕСКАЯ ИЛИ ПАМЯТЬ RAM Эта память используется для хранения инструкций и выполнения процессов на нашем компьютере. Емкость этой памяти - это реальная емкость, которая необходима нашей машине для выполнения наших программ. ВИРТУАЛЬНАЯ ПАМЯТЬ Виртуальная память больше, чем физическая память как таковая. Она является техникой, используемой в вычислительной техники для симуляции того, что у вас есть больше емкости физической памяти. Техника состоит в том, чтобы хранить определенное количество файлов на жестком диск для их мгновенного хранения... (читайте далее в статье)

Мы возвращаемся после праздников с новыми туториалами. В этом туториале мы увидим вариант эксплуатации того же самого драйвера, который мы видели для WINDOWS 7 32 бит. Только теперь сделаем для WINDOWS 10 32 бит. Разница, как мы сказали, состоит в SMEP. Это защита позволяет избежать перехода ядра на выполнение страниц, помеченных как пользовательские. Как мы делали в примерах, которые мы видели до сих пор, мы выделяли страницу в пользовательском режиме с разрешением на выполнение. Когда мы берем на себя контроль на страницей, мы переходим туда, где находится наш шеллкод. Тот, кто хочет углубиться по теме SMEP, здесь есть очень хорошее объяснение. Но оно английском языке. https://www.coresecurity.com/system/files/publications/2016/05/Windows SMEP bypass U=S.pdf Бит 20 отладочного регистра CR4 - это бит, который активирует защиту SMEP... (читайте далее в статье)

Мы рассмотрим другой случай в уязвимом драйвере. Теперь поговорим о INTEGER OVERFLOW. Многие спрашивают меня, почему бы не проанализировать его непосредственно в C или C++. Проблема состоит в том, что некоторые из них уже сделаны на C и C++. Методы те же самые. Поэтому перенос их на PYTHON не только приносит что-то новое, но и заставляет нас практиковаться в PYTHON и библиотеке CTYPES, что является для нас важным. Для тех, кто хочет увидеть методы, исходный код доступен здесь: https://github.com/hacksysteam/HackSysExtremeVulnerableDriver/tree/master/Exploit И здесь он уже откомпилирован... (читайте далее в статье)

Перед тем, как начинать объяснять скрипт на PYTHON давайте скажем, что он основан на коде языка C, который находится на странице уязвимого драйвера. https://github.com/hacksysteam/HackSysExtremeVulnerableDriver/tree/master/Exploit Этот метод достаточно старый. Мы использовали его в моей работе совсем недавно. Хотя мы не использовали библиотеку CTYPES поэтому если есть какая-либо ошибка при использовав CTYPES, разработчики просят их простить. И это не то что я использую каждый день. Мы увидим скрипт, который, как мы уже говорили, работает только в 32-х разрядной версии WINDOWS 7, а не на 64-битных машинах. Позже мы рассмотрим его на 64-битной машине, чтобы адаптировать его к этому случаю. После необходимых импортов библиотек, среди которых есть и CTYPES, есть некоторые константы, которые нам необходимы, а также классы и функции. Чуть ниже начинается основной код. У нас есть шеллкод, который похож на переполнение стека, который меняет только инструкцию RET. В нашем случае только RETN... (читайте далее в статье)

Давайте рассмотрим ARBITRARY OVERWRITE(записать то, что мы хотим туда куда мы хотим) того же самого уязвимого драйвера. Конечно, я хочу уточнить, что это старый метод, который работает только на WINDOWS XP и WINDOWS 7, и в этом случае только для машин x86. НА МАШИНАХ С WINDOWS 7 64 БИТ ЭТО НЕ БУДЕТ РАБОТАТЬ. По крайней мере если не адаптировать немного эксплоит. Мы должны хорошо проверить некоторые значения которые не равны. Наша цель - это 32-х битная WINDOWS 7. Но всё равно это нам понадобиться для того, чтобы свыкнуться с CTYPES, которые являются немного сложными и чтобы продвигаться вперед понемногу. В диспетчере, который обрабатывает различные IOCTL коды. Мы видим, что есть один, который помечен как ARBITRARY OVERWRITE, поэтому мы отмечаем его... (читайте далее в статье)

Хорошо. Нам осталось добавить сам шеллкод. Это типичный шеллкод, который крадет токен процесса SYSTEM и копирует его в наш процесс. Он очень короткий. Но стоит его хорошо проанализировать. shellcode="\x53\x56\x57\x60\x33\xC0\x64\x8B\x80\x24\x01\x00\x00\x8B\x40\x50\x8B\xC8\xBA\x04\x00\x00\x00\x8B\x80\xB8\x00\x00\x00\x2D\xB8\x00\x00\x00\x39\x90\xB4\x00\x00\x00\x75\xED\x8B\x90\xF8\x00\x00\x00\x89\x91\xF8\x00\x00\x00\x61\x33\xC0\x83\xC4\x0C\x5D\xC2\x08\x00" Шеллкод - довольно общий. То, что нужно знать про шеллкод, состоит в том, что когда он завершается, он возвращается к процедуре откуда он был вызван. Для этого нужно внимательно посмотреть. Последняя инструкция RETN должна быть RETN 4 или больше, чтобы вернуться туда куда нужно. Если бы мы не перезаписали RET случилось бы переполнение и программа продолжила работу. Иначе будет BSOD и чао-какао. Здесь мы видим, как я разместил шеллкод... (читайте далее в статье)

Всем привет.
Вообще никогда не занимался реверсом, но появилась нужда и я решил попробовать. Естественно получилось как всегда: первый блин комом.
Нужно взломать активацию бота написанного на делфи (Dwar Rapid Bot если кому-то интересно).
Начал с простого: прогнал в PeID. Показало что нема никаких упаковщиков.
Прогнал через OllyDBG. Возле поля ввода ключа активации в проге есть текстовое поле "Введите код активации". Решил найти это поле в Search for > All referenced strings. И проблема заключается в том, что там нет вообще полей с русскими символами.
Но в одной из строк вижу это:
Text strings referenced in drbot_ht:.text, item 38413
Address=005FEF75
Disassembly=PUSH drbot_ht.005FEFB0
Text string=UNICODE "Delphi Component"
Соответственно, прога написана на делфи, и по идее её не должно создавать никакого труда декомпилировать.
Паралельно вспоминаю про Detect It Easy, загоняю туда. Компилятор: Embarcadero Delphi(XE2-XE4)[-],... (читайте далее на форуме)

Доброго времени участникам форума.
Есть дллка пропущенная через Safengine Shielden 2.4.
Есть ли программы для снятия данного протектора?
Если нет то может кто подкинуть ссылку на ручное снятие. В тырнете искал, не... (читайте далее на форуме)

Добрый день
Помогите идентифицировать функцию из состава Microsoft VisualC 2-11/net runtime.
Разбираю из dll интересующую меня функцию. В одном месте происходит вызов функции которая возвращает уникальное число сгенерированное на заданных правилах. Переходя во внутрь функции, по вызываемым функциям я сделал вывод, что эта функция является какая-та стандартная, но идентифицировать я ее не могу.
Теперь по порядку.
Есть функция sub_FF18230, в которую передается два параметра. Один через стек, число. Второй параметр передается через ECX, и является указателем на область памяти выделенную как new [0xEC]
void sub_FF18230(int level, int*)

[img]https://c2n.me/46EFTxN[/img]

А вот теперь рассмотрим функцию, которую я предполагаю, что она стандартная но, ее идентифицировать не получается.
var4 = 4;
Sub_ff15Cf0(ptr, 0x4B, ptr+0xE8, &var4 )
После того как функция отработала по адресу ptr+0xE8 – и находиться сгенерированное... (читайте далее на форуме)

Здравствуйте!
Есть защищенный мутированный VMProtect'ом код(без виртуализации), версия 3+, нужно сделать сигнатуру для этого кода, при этом каждый билд программы генерирует рандомный мусор и рандомные регистры кода, но алгоритм остается тем же. Каждый билд программы сигнатура перестает быть рабочей, а нужно сделать ее универсальной, алгоритм кода не меняется.
Может быть, есть какие нибудь решения для моей проблемы?
Заранее... (читайте далее на форуме)

Добрый день участники форума.
Использовал Ida pro 6.8, и с ней плаги Keypatch работал на ура. Плагин для патчинга.
Теперь перешел на Ida pro 7.2 - плагин перестал работать.
Есть ли возможность патчинга плагинов к версии ниже 7.0 - чтобы они работали для 7.2 версии?
Скину ссылку на плагин - https://github.com/keystone-engine/keypatch/
И что конкретно нужно патчить в плагине чтобы он заработал на 7.2 версии?
спасибо за... (читайте далее на форуме)

Тестил 1 прогу и задумался над такой вещью - почему-то не получается запустить процесс с правами Системы в XP/2000. Как бы оно уже никому не надо, но почему так? Мой код возвращает ACCESS_DENIED, популярные тулзы тоже вылетают с ошибкой. Почему-то на десятке даже можно скопировать токен winlogon'a (ес-но от админа), и запустить софт с правами системы, а на ХР нельзя? Как служба - понятно, можно, но если без службы?
Копал кто-то эту тему или может знает, в чем... (читайте далее на форуме)

--> todo <--
--> changelog <--
--> https://github.com/marakew/syser/ <--
Добавлено спустя 0 минут
reload
just for fun like a hobby

1711 180320
- restart the project
- new build for x86
- fix close debugger while in modal window
- add menu history
- add bookmark
- implement all console command
- implement pe explorer
- implement run tracer
- new width for dataview, allow by popup menu
- prepare for source debugging
0001 200320
- add options for settings and color
- some settings can be apply without restart
- colors can be apply without restart
- add setting for monitor window to move position left/right
- font size setting need to restart
0030 210320
- allow run on winxp
- fix crash when close debugger with many windows
- disable change IF EFLAGS
- disable edit segment reg/base
- fix... (читайте далее на форуме)

Бывают случаи, когда в памяти остаётся процесс, который штатными средствами винды убить невозможно. Попытка убийства через диспетчер задач выдаёт ошибку доступа, а taskkill пишет:
Ошибка: Не удается завершить процесс с идентификатором 1234.
Причина: Ни один из экземпляров этого задания не запущен.
Если глянуть потоки через procexp, то там либо непонятный пустой поток без опознавательных признаков с TID 0, либо ntdll.dll!RtlUserThreadStart и какой-то вменяемый TID. Кто-нибудь знает, что это за фигня и чем её... (читайте далее на форуме)

Ребят, подскажите пожалуйста, есть программка на asm под masm с winapi и одним окошком (CreateWindowEx), хотелось бы поменять стандартный шрифт на кнопках, лэйблах, эдитах. Есть ли какие нибудь функции на подобие CreateFont, или еще какие... (читайте далее на форуме)

Вечер Добрый.
Хотел у вас поинтересоваться
как имея отладчик hex редактор и программу на NET.FrameWork
добавить две секции 1-я .rsrc c иконкой и справочной информацией вторая добавленная секция загрузчик в нее нужно добавить еще и код на асемблере вычитающий 1 байт с последнего адреса программы при каждом запуске ?
То есть нужен код на асм вычитающий последний байт и сохраняющий программу после чего делающий вызов или прыжок на
на адресс EP ff2500204000 jmp dword ptr 004002000h который загрузит exe без ошибки mscoree.dll вот такой вот вопрос.
ах да вот ... (читайте далее на форуме)