Этого треда уже нет.
Это копия, сохраненная 29 июня 2019 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Это копия, сохраненная 29 июня 2019 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
В этом треде мы изучаем самый компактный и низкоуровневый язык Ассемблер и смежную с ним область: Реверс-инженеринга (RE).
Вы пишите на ассемблере или собираетесь начать на нём писать? Программируете микроконтролёры, пишете драйвера для ОС, а то и саму ОС? Вам сюда.
Вы изучаете алгоритмы работы закрытого софта, пишите патчи бинарников? Вам тоже сюда.
Попрошайки с "решите лабу по асме за меня" идут в общий тред, а лучше нахуй.
Книги по RE:
beginners.re - "Reverse Engineering для начинающих"- бесплатная современная книга на русском языке. К прочтению вкатывающимся и прочим ньюфагам обязательна!
Чтобы не палить свой адрес почты, вот прямая ссылка https://beginners.re/f572d396fae9206628714fb2ce00f72e94f2258f/
https://mega.nz/#!Bc9VVAYC!Vk6CFlW6VIoskLNgDKXbsL6FacDQeOKe6LX92wNicKY Нарваха практический курс по дебагингу
https://www.goodreads.com/shelf/show/reverse-engineering - список книг
Сайты по RE:
http://wiki.yobi.be/wiki/Reverse-Engineering
https://www.reddit.com/r/ReverseEngineering/comments/hg0fx/a_modest_proposal_absolutely_no_babies_involved/
http://www.program-transformation.org/Transform/ReengineeringWiki
http://blog.livedoor.jp/blackwingcat/
https://yurichev.com/blog/
http://wiki.xentax.com/index.php/DGTEFF
https://exelab.ru/
Инструменты для RE:
Дизассемблеры:
0) IDA Pro 7.2 когда подберут пароль к архиву
1) IDA Pro 7.0.torrent (x64 only, для XP нужно патчить PE + вылеты)
2) IDA Pro 6.8.torrent
3) IDA Pro 5.0 - бесплатная версия для некоммерческого использования
4) Radare 2 - наконец прикрутили гуй, но по прежнему нужна только клиническим, не умеющим в скачивания торрентов, или пользователям альтернативных ОС
5) Остальное
Все книги и статьи Криса Касперски (R.I.P.)
https://yadi.sk/d/CxzdM1wyea4WP или https://rutracker.org/forum/viewtopic.php?t=5375505
+ https://rutracker.org/forum/viewtopic.php?t=272818
Книги по ассемблеру:
"Архитектура компьютера" Э. Таненбаум
С.В. Зубков: Assembler. Язык неограниченных возможностей.
Сайты по ассемблеру:
Замена почившему wasm.ru- https://wasm.in/
https://www.unknowncheats.me/wiki/Assembly
http://asmworld.ru/
https://software.intel.com/en-us/articles/intel-sdm
http://www.nasm.us/doc/
https://sourceware.org/binutils/docs/as/index.html#Top
https://msdn.microsoft.com/en-us/library/afzk3475.aspx
disassembler.io Дизассемблер онлайн
Для ковыряющих винду и софт под неё, сайты с описанием структур со смещениями и разными версиями оных:
http://msdn.mirt.net/
http://terminus.rewolf.pl/terminus/
http://geoffchappell.com/
Предыдущие
№5 https://arhivach.ng/thread/395971/
№6 тонущий >>1301036 (OP) если кому нужен тред, сами архивируйте, я в следующий добавлю.
Вы пишите на ассемблере или собираетесь начать на нём писать? Программируете микроконтролёры, пишете драйвера для ОС, а то и саму ОС? Вам сюда.
Вы изучаете алгоритмы работы закрытого софта, пишите патчи бинарников? Вам тоже сюда.
Попрошайки с "решите лабу по асме за меня" идут в общий тред, а лучше нахуй.
Книги по RE:
beginners.re - "Reverse Engineering для начинающих"- бесплатная современная книга на русском языке. К прочтению вкатывающимся и прочим ньюфагам обязательна!
Чтобы не палить свой адрес почты, вот прямая ссылка https://beginners.re/f572d396fae9206628714fb2ce00f72e94f2258f/
https://mega.nz/#!Bc9VVAYC!Vk6CFlW6VIoskLNgDKXbsL6FacDQeOKe6LX92wNicKY Нарваха практический курс по дебагингу
https://www.goodreads.com/shelf/show/reverse-engineering - список книг
Сайты по RE:
http://wiki.yobi.be/wiki/Reverse-Engineering
https://www.reddit.com/r/ReverseEngineering/comments/hg0fx/a_modest_proposal_absolutely_no_babies_involved/
http://www.program-transformation.org/Transform/ReengineeringWiki
http://blog.livedoor.jp/blackwingcat/
https://yurichev.com/blog/
http://wiki.xentax.com/index.php/DGTEFF
https://exelab.ru/
Инструменты для RE:
Дизассемблеры:
0) IDA Pro 7.2 когда подберут пароль к архиву
1) IDA Pro 7.0.torrent (x64 only, для XP нужно патчить PE + вылеты)
2) IDA Pro 6.8.torrent
3) IDA Pro 5.0 - бесплатная версия для некоммерческого использования
4) Radare 2 - наконец прикрутили гуй, но по прежнему нужна только клиническим, не умеющим в скачивания торрентов, или пользователям альтернативных ОС
5) Остальное
Все книги и статьи Криса Касперски (R.I.P.)
https://yadi.sk/d/CxzdM1wyea4WP или https://rutracker.org/forum/viewtopic.php?t=5375505
+ https://rutracker.org/forum/viewtopic.php?t=272818
Книги по ассемблеру:
"Архитектура компьютера" Э. Таненбаум
С.В. Зубков: Assembler. Язык неограниченных возможностей.
Сайты по ассемблеру:
Замена почившему wasm.ru- https://wasm.in/
https://www.unknowncheats.me/wiki/Assembly
http://asmworld.ru/
https://software.intel.com/en-us/articles/intel-sdm
http://www.nasm.us/doc/
https://sourceware.org/binutils/docs/as/index.html#Top
https://msdn.microsoft.com/en-us/library/afzk3475.aspx
disassembler.io Дизассемблер онлайн
Для ковыряющих винду и софт под неё, сайты с описанием структур со смещениями и разными версиями оных:
http://msdn.mirt.net/
http://terminus.rewolf.pl/terminus/
http://geoffchappell.com/
Предыдущие
№5 https://arhivach.ng/thread/395971/
№6 тонущий >>1301036 (OP) если кому нужен тред, сами архивируйте, я в следующий добавлю.
>>369180 (OP)
Пора бы уже гидру в шапку добавить.
Пора бы уже гидру в шапку добавить.
>>369393
Тащемта по дефолту там прослушивается порт и включена возможность удаленного подключения. Есть в гидре конечно и свои плюсы, как-то легче что-ли первичный анализ бинарника сделать, но для реальной работы она не катит все таки.
Тащемта по дефолту там прослушивается порт и включена возможность удаленного подключения. Есть в гидре конечно и свои плюсы, как-то легче что-ли первичный анализ бинарника сделать, но для реальной работы она не катит все таки.
По-моему Сишный компилятор больше инструкций добавляет, а с опцией -O3 вообще мрак получится.
Кто-то поможет объяснить, почему так?
https://godbolt.org/z/zTCRf7
Кто-то поможет объяснить, почему так?
https://godbolt.org/z/zTCRf7
>>369231
Ссылку прикрепи ответом на первый пост, добавлю.
Ссылку прикрепи ответом на первый пост, добавлю.
>>369180 (OP)
https://arhivach.ng/thread/415252/ (#6)
https://arhivach.ng/thread/437556/ (и этот сразу заодно)
>>369486
public internal_name as '_external_name' или просто public name, если переименовывать не нужно.
>>369494
У тебя в крестах локальная переменная, в Си - глобальная. Во втором случае оно смогло в автоматическую векторизацию (обрабатывает несколько шагов цикла за раз), попробуй собрать с -fno-tree-vectorize, если важен размер кода.
> если кому нужен тред, сами архивируйте
https://arhivach.ng/thread/415252/ (#6)
https://arhivach.ng/thread/437556/ (и этот сразу заодно)
>>369486
> Как экспортировать символ на fasm?
public internal_name as '_external_name' или просто public name, если переименовывать не нужно.
>>369494
У тебя в крестах локальная переменная, в Си - глобальная. Во втором случае оно смогло в автоматическую векторизацию (обрабатывает несколько шагов цикла за раз), попробуй собрать с -fno-tree-vectorize, если важен размер кода.
a
>>369677
Да, крестовые алгоритмы из стандартной библиотеки лучше оптимизируются, потому что компилятору доступно больше информации. В Си можно так: https://godbolt.org/z/ShqpCI (к сожалению, без const не свернет).
Да, крестовые алгоритмы из стандартной библиотеки лучше оптимизируются, потому что компилятору доступно больше информации. В Си можно так: https://godbolt.org/z/ShqpCI (к сожалению, без const не свернет).
>>369683
Ну, кстати с флагом -fno-tree-vectorize оптимизируется также.
Значит таки лучше на крестах учиться писать для скорости то? Думаю да
Ну, кстати с флагом -fno-tree-vectorize оптимизируется также.
Значит таки лучше на крестах учиться писать для скорости то? Думаю да
>>369687
Да. Но именно на современных крестах, а не на C++98.
Да. Но именно на современных крестах, а не на C++98.
Ебать я даун.
Написал программу, неправильно проверил и сижу ищу ошибку которой не существует.
Как в анекдоте про иностранца, собирающего холодильник, и русских, которые подкидывают ему детальки.
Ладно одной проблемой меньше.
Как в этом прекрасном языке строки вводятся, выводятся? Чот из методички нихрена не понял.
Пните меня хоть в правильное место.
Прерывания какие-то досовские, значения регистров для вызова правильной подпрограммы, вообще охуеть.
Написал программу, неправильно проверил и сижу ищу ошибку которой не существует.
Как в анекдоте про иностранца, собирающего холодильник, и русских, которые подкидывают ему детальки.
Ладно одной проблемой меньше.
Как в этом прекрасном языке строки вводятся, выводятся? Чот из методички нихрена не понял.
Пните меня хоть в правильное место.
Прерывания какие-то досовские, значения регистров для вызова правильной подпрограммы, вообще охуеть.
Знающие семпаи-аноны, подскажите, а чисто по-приколу можно на ассемблере игру написать?
>>371108
Можно
Можно
1,3 Мб, 1280x720>>371108
Ну Spacewar! нахерячили же в 62 году. Скорее всего на ассемблере, либо вообще на двоичном запилили (Маловероятно, но возможно).
(Хотя чёрт его знает что было на PDP-1 Вдруг и компилятор чего нибудь высокого. Хотя вряд ли)
Ну Spacewar! нахерячили же в 62 году. Скорее всего на ассемблере, либо вообще на двоичном запилили (Маловероятно, но возможно).
(Хотя чёрт его знает что было на PDP-1 Вдруг и компилятор чего нибудь высокого. Хотя вряд ли)
>>371204
Бляяяяяяяяяяяя.
Бляяяяяяяяяяяя.
>>371204
300кк\сек на связи судя по антуражу.
300кк\сек на связи судя по антуражу.
>>371204
если подкрасишься ничего так будешь, учи мейкап
если подкрасишься ничего так будешь, учи мейкап
Конечно на двоичном! Да чё вы, ещё Никола Тесла игры писал когда электрон гонял по прутику, хули там
>>371944
тому что ты не достаточно няшный
тому что ты не достаточно няшный
>>371944
Том что выполнение начинается с первой строчки, а у тебя там вместо кода переменная. Утащи ее вниз. И еще тому, что для int 21h/func=9h DX должен указывать на строку, завершенную долларом, а у тебя не указывает и не на строку.
Том что выполнение начинается с первой строчки, а у тебя там вместо кода переменная. Утащи ее вниз. И еще тому, что для int 21h/func=9h DX должен указывать на строку, завершенную долларом, а у тебя не указывает и не на строку.
>>369613
Подловил однако!
Подловил однако!
Ребят подскажите сколько цыклов процессора идет на выполнение комманд ассемблера таких как mov inc sub div и остальных. Или подскажите где это искать ибо у самого лапки и не нашел.
>>372448
>>372448
Не ну для 8088 все есть а для рабочих процов + архитектуры нет.
Ну спс хоть за что-то.
тактов/цыклов дискасс
Машинный цикл — промежуток времени между двумя последовательными обращениями центрального процессора к внешней оперативной памяти команд/данных, или обмена 1 словом данных с периферийными устройствами, в том числе в циклах обработки аппаратных прерываний и является составляющей частью исполнения машинной команды.
Такт процессора или такт ядра процессора — промежуток между двумя импульсами тактового генератора, который синхронизирует выполнение всех операций процессора.
>>372448
Не ну для 8088 все есть а для рабочих процов + архитектуры нет.
Ну спс хоть за что-то.
тактов/цыклов дискасс
Машинный цикл — промежуток времени между двумя последовательными обращениями центрального процессора к внешней оперативной памяти команд/данных, или обмена 1 словом данных с периферийными устройствами, в том числе в циклах обработки аппаратных прерываний и является составляющей частью исполнения машинной команды.
Такт процессора или такт ядра процессора — промежуток между двумя импульсами тактового генератора, который синхронизирует выполнение всех операций процессора.
>>372468
Суперскалярная архитектура, мам. Какие именно такты ты считать собрался? Почитай Intel Architectures Optimization Reference Manual, почитай Агнера Фога для начала.
> для рабочих процов + архитектуры нет
Суперскалярная архитектура, мам. Какие именно такты ты считать собрался? Почитай Intel Architectures Optimization Reference Manual, почитай Агнера Фога для начала.
>>372480
Software Optimization Guide тута:
https://developer.amd.com/resources/developer-guides-manuals/
Software Optimization Guide тута:
https://developer.amd.com/resources/developer-guides-manuals/
>>372441
https://www.agner.org/optimize/instruction_tables.pdf
Правда, как раз-таки с mov всё посложнее.
https://www.agner.org/optimize/instruction_tables.pdf
Правда, как раз-таки с mov всё посложнее.
>>373392
Нету.
Можно наподобие https://stackoverflow.com/questions/3898716/how-to-build-an-executable-without-import-table-in-c-c
Только какой-нибудь GetStartupInfo, а дальше искать в кернеле GetProcAddress и через него нужные апишки дергать.
Нету.
Можно наподобие https://stackoverflow.com/questions/3898716/how-to-build-an-executable-without-import-table-in-c-c
Только какой-нибудь GetStartupInfo, а дальше искать в кернеле GetProcAddress и через него нужные апишки дергать.
Изучаю язык ассемблера, использую nasm ассемблер и линкер от Microsoft, пытаюсь вызвать С-функцию call puts, но при ее вызове выбрасывается ошибка "Access violation reading location" что я не так делаю?
>>373311
Завтра посмотрю. Под фейковым импортом я понимаю технологию, когда программа дёргает апи динамически при помощи парсинга таблицы импорта dll, а собственный импорт у неё фейковый или вообще спизжен у калькулятора.
Завтра посмотрю. Под фейковым импортом я понимаю технологию, когда программа дёргает апи динамически при помощи парсинга таблицы импорта dll, а собственный импорт у неё фейковый или вообще спизжен у калькулятора.
>>373439
А как на Си компиляют? Какая разница-то, какой у тебя язык? Ну делаешь UInt8Array, создаешь от него DataView, пишешь туда по очереди поля IMAGE_DOS_HEADER, пишешь туда стаб, пишешь туда IMAGE_NT_HEADERS, пишешь IMAGE_SECTION_HEADER, пишешь данные секций, в том числе и секцию с твоей фэйковой директорией импорта, делаешь Blob, он сохраняется браузером, как обычно файлы скачиваются. Если хочется код генерить, есть готовые либы. Если не хочется, можно через FileReader загрузить бинарник и пропатчить его точно таким же способом.
> Как он тебе на джоэсс откомпиляет хоть что-нибудь да со своей IAT?
А как на Си компиляют? Какая разница-то, какой у тебя язык? Ну делаешь UInt8Array, создаешь от него DataView, пишешь туда по очереди поля IMAGE_DOS_HEADER, пишешь туда стаб, пишешь туда IMAGE_NT_HEADERS, пишешь IMAGE_SECTION_HEADER, пишешь данные секций, в том числе и секцию с твоей фэйковой директорией импорта, делаешь Blob, он сохраняется браузером, как обычно файлы скачиваются. Если хочется код генерить, есть готовые либы. Если не хочется, можно через FileReader загрузить бинарник и пропатчить его точно таким же способом.
>>373459
Один импорт парсит, другой GetProcAddress в ядре вызывает. Тебе экспорт парсить надо, обсуждалось в прошлом треде.
Один импорт парсит, другой GetProcAddress в ядре вызывает. Тебе экспорт парсить надо, обсуждалось в прошлом треде.
>>373457
КОД ТАЩИ
> учусь водить машину, но когда я нажимаю педаль газа, у нее отваливается бампер, что я делаю не так?
КОД ТАЩИ
>>373469
global main
extern puts
section .text
main:
mov rdi, message
call puts
ret
message:
db "Test", 0
global main
extern puts
section .text
main:
mov rdi, message
call puts
ret
message:
db "Test", 0
>>373471
Ты уверен, что ты линкуешься 64-битным линкером? Ты уверен, что первый аргумент для Microsoft-овой конвенции вызова должен быть в RDI? Ты уверен, что ты shadow space в стеке под аргументы зарезервировал?
Ты уверен, что ты линкуешься 64-битным линкером? Ты уверен, что первый аргумент для Microsoft-овой конвенции вызова должен быть в RDI? Ты уверен, что ты shadow space в стеке под аргументы зарезервировал?
Я начал заниматься кряканьем софта некоторое время назад. Подскажите, на каких форумах я могу найти заказы на взлом?
>>373721
мвд.рф
мвд.рф
Треда для системников нет, а в С/С++ сидят одни ньюфаги хеллоуворлдщики поэтому спрошу здесь. Пишу классический non pnp драйвер, все вроде работает, но при выгрузке внезапно синий экран. PAGE FAULT IN NONPAGED AREA.
В DriverEntry:
DriverObject->DriverUnload = &Unload;
Unload rouitne:
VOID Unload(
IN PDRIVER_OBJECT DriverObject
)
{
IoDeleteSymbolicLink(&SymbolLink);
IoDeleteDevice(DriverObject->DeviceObject);
}
Где проебался-то?
В DriverEntry:
DriverObject->DriverUnload = &Unload;
Unload rouitne:
VOID Unload(
IN PDRIVER_OBJECT DriverObject
)
{
IoDeleteSymbolicLink(&SymbolLink);
IoDeleteDevice(DriverObject->DeviceObject);
}
Где проебался-то?
>>373490
Спс, разобрался, надо было в регистр rcx писать адрес строки.
Спс, разобрался, надо было в регистр rcx писать адрес строки.
>>374096
Собираешь валидную таблицу дескрипторов, кладешь ее в GDTR, ставишь бит PE в CR0, выполняешь дальний jmp на начало 32-битного кода. Ну и там загрузка всяких SS и отключение прерываний по вкусу.
Собираешь валидную таблицу дескрипторов, кладешь ее в GDTR, ставишь бит PE в CR0, выполняешь дальний jmp на начало 32-битного кода. Ну и там загрузка всяких SS и отключение прерываний по вкусу.
>>374100
Спасибо,а теперь наебень кода на асме, заранее спасибо.
Ну или скажи где про это можно нормально почитать, а то я конченый.
Спасибо,а теперь наебень кода на асме, заранее спасибо.
Ну или скажи где про это можно нормально почитать, а то я конченый.
>>374230
Подожди, ты самый умный или как? Расскажи как быть таким же умным. Я вот не могу уйти в защищённый режим. Ты вот красиво по пунктам расписал, оно понятно все, но вот код не понятно, акты в порты какието, таблиц куча, джампы, и вот везде кал написан а мне непонятно, объясни заранее спасибо
Подожди, ты самый умный или как? Расскажи как быть таким же умным. Я вот не могу уйти в защищённый режим. Ты вот красиво по пунктам расписал, оно понятно все, но вот код не понятно, акты в порты какието, таблиц куча, джампы, и вот везде кал написан а мне непонятно, объясни заранее спасибо
>>374100
На сколько я помню, это уже с 2017 года не прокатывает, с приходом hyperguard'а.
На сколько я помню, это уже с 2017 года не прокатывает, с приходом hyperguard'а.
>>374230
Более фундаментальное есть почитать? Я так понял, Windows Internals поможет, да?
Более фундаментальное есть почитать? Я так понял, Windows Internals поможет, да?
>>374268
Чо? А гипервизоры-то тут каким местом вообще?
>>374263
Понятно, что строка. Где у тебя симлинк конкретно? Проверь ради разнообразия, что тебе IoDeleteSymbolicLink возвращает. Алсо, ты уверен, что у тебя после анлоада колбеки какие-нибудь не остаются торчать?
>>374291
Ты хочешь перейти в защищенный режим из винды, лол?
Чо? А гипервизоры-то тут каким местом вообще?
>>374263
Понятно, что строка. Где у тебя симлинк конкретно? Проверь ради разнообразия, что тебе IoDeleteSymbolicLink возвращает. Алсо, ты уверен, что у тебя после анлоада колбеки какие-нибудь не остаются торчать?
>>374291
Ты хочешь перейти в защищенный режим из винды, лол?
>>374331
Из третьего кольца, ты хотел сказать. Режим на то и защищенный, чтобы ты так не смог.
> Из третьего защищенного режима в нулевой.
Из третьего кольца, ты хотел сказать. Режим на то и защищенный, чтобы ты так не смог.
>>374296
Вот таким: http://www.alex-ionescu.com/?m=201708.
>>374331
Тоже самое выше читай. Никак ты не попадешь уже туда напрямую.
>Чо? А гипервизоры-то тут каким местом вообще?
Вот таким: http://www.alex-ionescu.com/?m=201708.
>>374331
Тоже самое выше читай. Никак ты не попадешь уже туда напрямую.
>>374381
В 9x как раз без проблем можно было запатчить IDT, перейдя из r3 в r0 буквально десятком инструкций, без дров. И наличие или отсутствие сейфмода при этом никак не мешало.
>>374399
Ну теперь-то ясно. Я просто думал, что в изначальном вопросе спрашивали про банальный переход из реалмода, а вы тут хацкеры, оказывается.
В 9x как раз без проблем можно было запатчить IDT, перейдя из r3 в r0 буквально десятком инструкций, без дров. И наличие или отсутствие сейфмода при этом никак не мешало.
>>374399
Ну теперь-то ясно. Я просто думал, что в изначальном вопросе спрашивали про банальный переход из реалмода, а вы тут хацкеры, оказывается.
>>374785
Ну... кладешь в в IDT реалмодную таблицу, в GDT дескрипторы, чтобы на реалмод похоже было (16-битные сегменты, лимит мегабайт вот это все), прыгаешь в такой 16-битный сегмент, сбрасываешь CR0.PE, опять прыгаешь, чтобы CS перезагрузить уже реалмодным значением, перезагружаешь все остальные сегментные регистры сохраненными значениями (если у тебя DOS) или любыми разумными (если не DOS).
Ну... кладешь в в IDT реалмодную таблицу, в GDT дескрипторы, чтобы на реалмод похоже было (16-битные сегменты, лимит мегабайт вот это все), прыгаешь в такой 16-битный сегмент, сбрасываешь CR0.PE, опять прыгаешь, чтобы CS перезагрузить уже реалмодным значением, перезагружаешь все остальные сегментные регистры сохраненными значениями (если у тебя DOS) или любыми разумными (если не DOS).
>>369180 (OP)
Программята, я тут по залёту. Препод сказал что повысит мне оценку если я принесу ему ёлочку на ассемблере, но у нас, блядь, было всего две пары по нему два года назад. Нагуглил только какую-то сложную ёлку с анимацией, а это слишком подозрительно. Поможете или я могу нахуй пройти?
Программята, я тут по залёту. Препод сказал что повысит мне оценку если я принесу ему ёлочку на ассемблере, но у нас, блядь, было всего две пары по нему два года назад. Нагуглил только какую-то сложную ёлку с анимацией, а это слишком подозрительно. Поможете или я могу нахуй пройти?
69 Кб, 600x495Анон, где можно посмотреть/спиздить исходные коды различных девайсов, всякие мигалки на 100500 диодов заебали
Пол года уже прошло. Иду 7.2 бесплатно завезли? Если да, то где скачать?
Появилась недавно идея, сделать электронный замок для ящика стола. Короче говоря, я сажусь за ПК, ввожу пароль. Ящик открывается. Для этого нужно придумывать какую-то муть с подключением всего механизма к ПК. Впринципе, если б я это пилил на какой-нибудь ардуинке И вместо пароля- обычная кнопочка, то проблем бы это не составило. Но т.к я хочу сделать это через ПК, то возникает масса вопросов. Как организовать ввод-вывод (Через какие порты) Можно через usb, но как??
Если на той же ардуино много разных портов ввода-вывода, и на каждый можно подавать напряжение по отдельности, либо считывать с него, то как это делать посредством usb провода?
Натолкните на инфу по этому вопросу. Я даже слабо представляю как такое гуглить
Если на той же ардуино много разных портов ввода-вывода, и на каждый можно подавать напряжение по отдельности, либо считывать с него, то как это делать посредством usb провода?
Натолкните на инфу по этому вопросу. Я даже слабо представляю как такое гуглить
>>377050
Ну погугли спеку юсб, как там инфа кодируется не подойдёт тебе юсб, попробуй выход на колонки
Ну погугли спеку юсб, как там инфа кодируется не подойдёт тебе юсб, попробуй выход на колонки
>>377051
Это как вообще? Просто как провода от jack 3.5 обрезать, и в качестве пинов использовать?
> не подойдёт тебе юсб, попробуй выход на колонки
Это как вообще? Просто как провода от jack 3.5 обрезать, и в качестве пинов использовать?
>>377050
Ну придумываешь кастомный протокол, кидаешь пакетики в устройство, чтобы управлять output-портами, периодически опрашиваешь устройство на предмет событий с input-портами. На компе через libusb, на устройстве - зависит от микроконтроллера, хоть вручную, хоть через многочисленные USB-либы. И вообще, ты сюда мимо, тебе в /ra/.
> Если на той же ардуино много разных портов ввода-вывода, и на каждый можно подавать напряжение по отдельности, либо считывать с него, то как это делать посредством usb провода?
Ну придумываешь кастомный протокол, кидаешь пакетики в устройство, чтобы управлять output-портами, периодически опрашиваешь устройство на предмет событий с input-портами. На компе через libusb, на устройстве - зависит от микроконтроллера, хоть вручную, хоть через многочисленные USB-либы. И вообще, ты сюда мимо, тебе в /ra/.
>>375845
Бери прсотую сишную елку и перепиши на асм. Или дизассемблируй. Вот уж проблема то.
Бери прсотую сишную елку и перепиши на асм. Или дизассемблируй. Вот уж проблема то.
>>376703
Если линукч, то наверно в ядре его
Если линукч, то наверно в ядре его
>>377129
А можно просто конпелятору опцию указать и он будет генерить асм-код завместо бинарника.
А можно просто конпелятору опцию указать и он будет генерить асм-код завместо бинарника.
>>377050
LPT/COM/USB/Ethernet/Wi-Fi/Audio 3.5
Выбирай любое. Для всего существуют готовые решения.
>>375845
Можно на таком захуярить прямо онлайн http://rk86.ru/ . Должно быть попроще х86.
>>376703
http://cxem.net/mc/mc.php
https://www.radiokot.ru/circuit/
http://easyelectronics.ru/
И т. д.
LPT/COM/USB/Ethernet/Wi-Fi/Audio 3.5
Выбирай любое. Для всего существуют готовые решения.
>>375845
Можно на таком захуярить прямо онлайн http://rk86.ru/ . Должно быть попроще х86.
>>376703
http://cxem.net/mc/mc.php
https://www.radiokot.ru/circuit/
http://easyelectronics.ru/
И т. д.
77 Кб, 400x400> И т. д.
Спасибо братишка, но там в основном уже все в омновном откомпилиравано, дизасемблировать занятие так себе
54 Кб, 604x457>>377881
Не, отреверсить то можно, но мне бы сначала с просто кодингом разобраться, все ж мы люди
> Вы пишите на ассемблере или собираетесь начать на нём писать? Программируете микроконтролёры
Не, отреверсить то можно, но мне бы сначала с просто кодингом разобраться, все ж мы люди
Какой диалект на linux использовать - nasm или gas?
Насколько я понял, то gas более типичен для данной ОС, а основное отличие в том, что используется не intel синтаксис, а AT&T (хоть gas и поддерживает intel syntax). AT&T вроде более нагляден и понятен.
Насколько я понял, то gas более типичен для данной ОС, а основное отличие в том, что используется не intel синтаксис, а AT&T (хоть gas и поддерживает intel syntax). AT&T вроде более нагляден и понятен.
>>377963
Почему?
Почему?
>>377963
Вот как только томаш stabs осилит (нативно, а не через внешний костыль, который парсит fas), вот прямо сразу. А до тех пор fasm советовать широкому кругу особенно под linux бессмысленно, и даже сраный nasm будет лучше.
Вот как только томаш stabs осилит (нативно, а не через внешний костыль, который парсит fas), вот прямо сразу. А до тех пор fasm советовать широкому кругу особенно под linux бессмысленно, и даже сраный nasm будет лучше.
>>378013
Кстати, кто-нибудь знает, как из фасма / фасм-г экспортировать отладочные символы и импортировать их x64dbg? В каком формате это надо делать?
Кстати, кто-нибудь знает, как из фасма / фасм-г экспортировать отладочные символы и импортировать их x64dbg? В каком формате это надо делать?
>>378206
А что это?
А что это?
>>378404
Кэп? Куча бреда в его статьях и книгах никак не отменяет того факта, что по ним училось большинство реверсеров в 2000х.
Кэп? Куча бреда в его статьях и книгах никак не отменяет того факта, что по ним училось большинство реверсеров в 2000х.
>>378404
Почитал. Критикующий ничем не лучше: тоже достаточно неточностей, фактических ошибок и просто вкусовщины.
Почитал. Критикующий ничем не лучше: тоже достаточно неточностей, фактических ошибок и просто вкусовщины.
Реверсач, я заебался. Как все это байтоебство монетизировать? Уже 2 года тут варюсь, да нравится, да интересно, но без денег на энтузиазме сами понимаете... Вакансии искать сложно, их просто нет. Что делать?
>>378927
За читы не бутылят и это достаточно прибыльная ниша. Но судя по ответу у тебя мозго только на байтоебство хватает, так что остается тебе только страдать и тешить себя мыслью о том что не тупой, потому что "уже 2 года тут варюсь".
За читы не бутылят и это достаточно прибыльная ниша. Но судя по ответу у тебя мозго только на байтоебство хватает, так что остается тебе только страдать и тешить себя мыслью о том что не тупой, потому что "уже 2 года тут варюсь".
>>378894
мехатроника нэ?
мехатроника нэ?
>>378896
Двачую малварь.
Двачую малварь.
>>378952
Бутылят, на за сами читы, а за вытекающие проблемы этого бизнеса. Чтобы развернуть проект, нужна команда 3-5 человек минимум, нужно как то согласовывать разработку, распределять средства между незнакомыми друг с другом людьми в интернете и еще овер9999 подводных камней.
>>379217
ДС/ДС2, опыт от 3 лет.. Понятное дело, что у гигантов типа касперского и прочих будут вакансии. С нуля без опыта-то куда вкатываться-то? А если я еще и из мухосрани?
Бутылят, на за сами читы, а за вытекающие проблемы этого бизнеса. Чтобы развернуть проект, нужна команда 3-5 человек минимум, нужно как то согласовывать разработку, распределять средства между незнакомыми друг с другом людьми в интернете и еще овер9999 подводных камней.
>>379217
ДС/ДС2, опыт от 3 лет.. Понятное дело, что у гигантов типа касперского и прочих будут вакансии. С нуля без опыта-то куда вкатываться-то? А если я еще и из мухосрани?
>>379367
Капитан, ты?
Капитан, ты?
Посоветуйте статьи про создание собственного ассемблера и написание простого парсера, лексера и генератора машинного кода. Хочу написать компилятор для своей ВМ.
НАДО АКТИВИРОВАТЬ ФУНКЦИЮ ПЕЧАТИ ДОКУМЕНТА
@
ДЛЯ РЕФЕРЕНСА РЯДОМ ЕСТЬ АКТИВНАЯ ФУНКЦИЯ ПЕЧАТИ ОДНОЙ СТРАНИЦЫ
@
ВЫПОЛНЯЕТСЯ ЗА 150 ИНСТРУКЦИЙ, ВСЁ ПРЕДЕЛЬНО ПРОСТО
@
НАШЁЛ, КАК ВЫЗВАТЬ ПЕЧАТЬ ДОКУМЕНТА
@
В ПРОЦЕССЕ ВЫПОЛНЕНИЯ ДЁРГАЕТ НЕБО И АЛЛАХА, ПРОВОДИТ КАКИЕ-ТО СКРЫТЫЕ ПРОВЕРКИ, КОТОРЫЕ ТОЖЕ НАДО ОБОЙТИ
@
СПУСТЯ 1000 ИНСТРУКЦИЙ И 3 ЧАШКИ КОФЕ МЕЧТАЕШЬ О ТОМ, ЧТО ЛУЧШЕ БЫ ШЛЁПАЛ ФОРМЫ НА ДЖАВАСКРИПТЕ
вкатился
@
ДЛЯ РЕФЕРЕНСА РЯДОМ ЕСТЬ АКТИВНАЯ ФУНКЦИЯ ПЕЧАТИ ОДНОЙ СТРАНИЦЫ
@
ВЫПОЛНЯЕТСЯ ЗА 150 ИНСТРУКЦИЙ, ВСЁ ПРЕДЕЛЬНО ПРОСТО
@
НАШЁЛ, КАК ВЫЗВАТЬ ПЕЧАТЬ ДОКУМЕНТА
@
В ПРОЦЕССЕ ВЫПОЛНЕНИЯ ДЁРГАЕТ НЕБО И АЛЛАХА, ПРОВОДИТ КАКИЕ-ТО СКРЫТЫЕ ПРОВЕРКИ, КОТОРЫЕ ТОЖЕ НАДО ОБОЙТИ
@
СПУСТЯ 1000 ИНСТРУКЦИЙ И 3 ЧАШКИ КОФЕ МЕЧТАЕШЬ О ТОМ, ЧТО ЛУЧШЕ БЫ ШЛЁПАЛ ФОРМЫ НА ДЖАВАСКРИПТЕ
вкатился
60 Кб, 225x225>>377050
Я делал что-то подобное через ft232 - на стороне PC usb + driver, другим концом в микроконтроллер serial RX/TX. Все предельно просто. API на сях, довольно удобный и высокоуровневый.
Код типа такого
FT_SetBaudRate (ftHandle, 9600);
FT_SetDataCharacteristics(ftHandle, FT_BITS_8, FT_STOP_BITS_1, FT_PARITY_NONE);
...
ftStatus = FT_Write(ftHandle, &buf, sizeof buf, &bytesWritten);
и тд. Никаких проблем. Я с армом спаривал, можешь хоть с ардуинкой, с чем угодно. В /ra/ сходи еще.
Я делал что-то подобное через ft232 - на стороне PC usb + driver, другим концом в микроконтроллер serial RX/TX. Все предельно просто. API на сях, довольно удобный и высокоуровневый.
Код типа такого
FT_SetBaudRate (ftHandle, 9600);
FT_SetDataCharacteristics(ftHandle, FT_BITS_8, FT_STOP_BITS_1, FT_PARITY_NONE);
...
ftStatus = FT_Write(ftHandle, &buf, sizeof buf, &bytesWritten);
и тд. Никаких проблем. Я с армом спаривал, можешь хоть с ардуинкой, с чем угодно. В /ra/ сходи еще.
>>379265
Никуда, продолжай ныть и отговорки придумывать.
Никуда, продолжай ныть и отговорки придумывать.
Пишу лабу. Нашел похожую прогу и вычищаю всякое ненужное говно и разбираюсь что здесь что.
Можете пояснить, зачем он закидывает в стек дс и выкидывает ес? В чём суть? (Без этого лаба не работает, поэтому надо рабобраться)
Для чего обычно это используется?
push ds
pop es
Можете пояснить, зачем он закидывает в стек дс и выкидывает ес? В чём суть? (Без этого лаба не работает, поэтому надо рабобраться)
Для чего обычно это используется?
push ds
pop es
>>382376
es=ds
Т.к. прямых команд типа mov es, ds нетути.
>Для чего обычно это используется?
>push ds
>pop es
es=ds
Т.к. прямых команд типа mov es, ds нетути.
>>382394
А что это означает? Нахуя тобишь? Код не сильно большой, надеюсь меня не побьют.
Без него ничего не работает, но я не пойму смысол.
lea SI, StringINP+2 ;взятие адреса входящей строки
lea DI, StringOUT+2 ;взятие адреса исходящей строки
mov CL, StringINP+1
push ds
pop es
Proverka:
lodsb
cmp AL, 20h
je stop
cmp AL, 9
je stop
stosb
stop:
loop Proverka
lea dX,StringOUT
mov AH, 09h
int 21h
quit:
exitcode 0
end
А что это означает? Нахуя тобишь? Код не сильно большой, надеюсь меня не побьют.
Без него ничего не работает, но я не пойму смысол.
lea SI, StringINP+2 ;взятие адреса входящей строки
lea DI, StringOUT+2 ;взятие адреса исходящей строки
mov CL, StringINP+1
push ds
pop es
Proverka:
lodsb
cmp AL, 20h
je stop
cmp AL, 9
je stop
stosb
stop:
loop Proverka
lea dX,StringOUT
mov AH, 09h
int 21h
quit:
exitcode 0
end
>>382398
Пушто lodsb работает с парой DS:SI, а stosb с парой ES:DI.
Если SI и DI в одном сегменте, то надо как-то сделать, чтобы ES=DS.
Т.к. прямого присвоения типа mov ES, DS нету, то костылишь это через pusd DS/pop ES.
>Нахуя тобишь?
Пушто lodsb работает с парой DS:SI, а stosb с парой ES:DI.
Если SI и DI в одном сегменте, то надо как-то сделать, чтобы ES=DS.
Т.к. прямого присвоения типа mov ES, DS нету, то костылишь это через pusd DS/pop ES.
чего в шапке нет ссылки на дизассемблер от большего брата? https://ghidra-sre.org (заходить с впн)
Мимодебилу подскажите.
Проходил туториал от cheat engine и немного разбираюсь в ассемблерах этих. Совсем чуть чуть.
Есть одна игра, и в ней есть кнопка, которая требует 80 левл, чтоб на неё нажать.
Я подумал найти где в ассемблере считается левл и изменить там.
Текущий левл видно в меню персонажа, но я его чит энжином никак не могу найти. Искал уже по типу all, по типу string, ничего нет. Точнее за 2-3 прохода вся таблица исчезает. Будто адрес левла меняется постоянно.
В меню персонажа левл выводится как Level: 4 например.
Нашел эту строку в памяти Level: %d
Сделал Find out what accesses this address
При открытом меню персонажа там есть 2 адреса, которые читают эту строку.
Взял первый, Show disassembler
Если я меняю на nop, то текст пропадает из всего меню персонажа. Все строки. Значит я на верном пути.
Сделал Break and trace instructions и теперь у меня тыща инструкций. Но это не просто printf (string, ADDRESS_OF_LEVEL); а куча хлама, среди котрого хрен найдёшь нужное.
Как мне выследить где хранится ебучий левл?
Проходил туториал от cheat engine и немного разбираюсь в ассемблерах этих. Совсем чуть чуть.
Есть одна игра, и в ней есть кнопка, которая требует 80 левл, чтоб на неё нажать.
Я подумал найти где в ассемблере считается левл и изменить там.
Текущий левл видно в меню персонажа, но я его чит энжином никак не могу найти. Искал уже по типу all, по типу string, ничего нет. Точнее за 2-3 прохода вся таблица исчезает. Будто адрес левла меняется постоянно.
В меню персонажа левл выводится как Level: 4 например.
Нашел эту строку в памяти Level: %d
Сделал Find out what accesses this address
При открытом меню персонажа там есть 2 адреса, которые читают эту строку.
Взял первый, Show disassembler
Если я меняю на nop, то текст пропадает из всего меню персонажа. Все строки. Значит я на верном пути.
Сделал Break and trace instructions и теперь у меня тыща инструкций. Но это не просто printf (string, ADDRESS_OF_LEVEL); а куча хлама, среди котрого хрен найдёшь нужное.
Как мне выследить где хранится ебучий левл?
>>383459
Кстати статы я так же не могу никак отловить, силу, ловкость, вот это всё. После 2-3 изменений в cheat engine пустая таблица.
Кстати статы я так же не могу никак отловить, силу, ловкость, вот это всё. После 2-3 изменений в cheat engine пустая таблица.
>>383459
Добро пожаловать в ассемблер.
>теперь у меня тыща инструкций. Но это не просто printf (string, ADDRESS_OF_LEVEL); а куча хлама, среди котрого хрен найдёшь нужное
Добро пожаловать в ассемблер.
Как мне последовать за call инструкцией? То есть есть функция yoba, которая внутри вызывает функцию makaba, ида пишет мол вот смотри: yoba + 0x2b ; call makaba. Как мне блять адрес то макабы получить чтобы вызвать ее? (fnProt)yoba = get_addr(yoba) + 0x2b же? Но так не работает.
>>383480
Подозреваю, что ты хочешь что-то типа call_target = base + offset + 5 + dword_at(base + offset + 1), где base - это yoba, offset - это смещение инструкции call относительно base, т.е., 0x2b, call_target - вычисляемый адрес makaba, 1 - офсет rel32 внутри инструкции call (всегда 1 в этой форме), 5 - размер инструкции call rel32 (всегда 5 в этой форме), rel32 - это смещение вызываемой фукнции относительно следующей за call инструкции.
Подозреваю, что ты хочешь что-то типа call_target = base + offset + 5 + dword_at(base + offset + 1), где base - это yoba, offset - это смещение инструкции call относительно base, т.е., 0x2b, call_target - вычисляемый адрес makaba, 1 - офсет rel32 внутри инструкции call (всегда 1 в этой форме), 5 - размер инструкции call rel32 (всегда 5 в этой форме), rel32 - это смещение вызываемой фукнции относительно следующей за call инструкции.
>>383141
Потому что никто уже третий тред не может его нормально прикрепить. Вот так:
>>369180 (OP)
ОП, добавь в шапку гидру
Потому что никто уже третий тред не может его нормально прикрепить. Вот так:
>>369180 (OP)
ОП, добавь в шапку гидру
Ассемблер ломает мне мозг. Я думал это машинный язык, а он компилируемый получается.
Вот из примера
Как это будет выглядеть в хексе экзешника? "e" это имя переменной.
Там ведь не будет слова "e" для переменной?
Вот из примера
>e db 'string',0 ; Определяем строку из 7 байт, заканчивающую нулём
Как это будет выглядеть в хексе экзешника? "e" это имя переменной.
Там ведь не будет слова "e" для переменной?
>>383826
Это макаба добавила. Там в оригинале табуляция.
И потом если этот экзешник открыть чем-нибудь, что показывает ассемблерный код, что он покажет?
Я пока ничего не умею, сам проверить не могу.
>\t\t
Это макаба добавила. Там в оригинале табуляция.
И потом если этот экзешник открыть чем-нибудь, что показывает ассемблерный код, что он покажет?
Я пока ничего не умею, сам проверить не могу.
9 Кб, 485x164>>383485
Спасибо конечно, но мне нужно это сделать не в иде, а в рантайме на С.
>>383592
Теперь я еще сильнее запутался... Вот другой пример прикрилейтед. FUNC - экспортируемая функция в дллке, func_internal - нет, но мне нужно получить к ней доступ, чтобы единичку в последнем параметре заменить на нуль при вызове. Как мне вызвать то func_internal? Делаю GetProcAddress(func), получаю адрес func, смещение по которому находится вызов func_internal = func + C. Но все равно вызвать функцию не получается.
Спасибо конечно, но мне нужно это сделать не в иде, а в рантайме на С.
>>383592
Теперь я еще сильнее запутался... Вот другой пример прикрилейтед. FUNC - экспортируемая функция в дллке, func_internal - нет, но мне нужно получить к ней доступ, чтобы единичку в последнем параметре заменить на нуль при вызове. Как мне вызвать то func_internal? Делаю GetProcAddress(func), получаю адрес func, смещение по которому находится вызов func_internal = func + C. Но все равно вызвать функцию не получается.
>>383861
Псевдокод:
typedef int func_internal_type(int a, int b, int c, int d, int e);
uintptr_t funcptr = (uintptr_t) GetProcAddress(lib, "func");
uintptr_t call_insn = funcptr + 0x0c;
assert(∗(uint8_t ∗) call_insn == 0xe8); // Опкод CALL.
uintptr_t rel32 = ∗(uintptr_t ∗) (call_insn + 1);
uintptr_t call_target_addr = (call_insn + 5 + rel32) & 0xffffffff;
func_internal_type ∗func_internal = (func_internal_type ∗) call_target_addr;
func_internal(1, 2, 3, 4, 5);
Пример на пальцах. Допустим, у тебя есть:
0x10000000: e8 20 01 00 00: CALL 0x10000125
0x10000005: c3: RET
Ты читаешь из инструкции rel32 (little endian, выделено жирным): rel32 = 0x00'00'01'20, берешь адрес следующей инструкции после call: 0x10000005, прибавляешь к нему rel32 (считаешь в 32-битной арифметике с переполнением, rel32 со знаком, но на это похуй) и получаешь адрес вызываемой функции: 0x10000005 + 0x00000120 = 0x10000125. То же самое делается для относительного JMP.
> Как мне вызвать то func_internal?
Псевдокод:
typedef int func_internal_type(int a, int b, int c, int d, int e);
uintptr_t funcptr = (uintptr_t) GetProcAddress(lib, "func");
uintptr_t call_insn = funcptr + 0x0c;
assert(∗(uint8_t ∗) call_insn == 0xe8); // Опкод CALL.
uintptr_t rel32 = ∗(uintptr_t ∗) (call_insn + 1);
uintptr_t call_target_addr = (call_insn + 5 + rel32) & 0xffffffff;
func_internal_type ∗func_internal = (func_internal_type ∗) call_target_addr;
func_internal(1, 2, 3, 4, 5);
Пример на пальцах. Допустим, у тебя есть:
0x10000000: e8 20 01 00 00: CALL 0x10000125
0x10000005: c3: RET
Ты читаешь из инструкции rel32 (little endian, выделено жирным): rel32 = 0x00'00'01'20, берешь адрес следующей инструкции после call: 0x10000005, прибавляешь к нему rel32 (считаешь в 32-битной арифметике с переполнением, rel32 со знаком, но на это похуй) и получаешь адрес вызываемой функции: 0x10000005 + 0x00000120 = 0x10000125. То же самое делается для относительного JMP.
>>384303
Благодарю, вроде все понял, буду пробовать. Есть вообще доп. материал по данной тематике? Как гуглить решение аналогичных задач? Или нужно асм активно вкуривать и само все придет?
Еще вычитал способ с поиском адреса функции по сигнатуре, выглядит проще. Какой из этих двух способ более правильный?
Благодарю, вроде все понял, буду пробовать. Есть вообще доп. материал по данной тематике? Как гуглить решение аналогичных задач? Или нужно асм активно вкуривать и само все придет?
Еще вычитал способ с поиском адреса функции по сигнатуре, выглядит проще. Какой из этих двух способ более правильный?
>>384523
Если знаешь название экспортируемой функции, глупо было б искать ее по сигнатуре
Если знаешь название экспортируемой функции, глупо было б искать ее по сигнатуре
>>384525
Возможно, имеет смысл искать сам опкод по сигнатуре, а то мало ли как компилятор в следующий раз наоптимизирует, офсет изменится, и приехали.
>>384523
Да там на самом деле одно-два выражения всего, если лишних переменных не создавать. И да, я только сейчас случайно заметил, что у тебя 64-битный код, а у меня там unsigned читается. Сорян. Надо вот так хотя бы, тогда и в 32- и в 64-битном коде норм будет:
uintptr_t rel32 = (uintptr_t) ∗(int32_t ∗) (call_insn + 1);
uintptr_t call_target_addr = call_insn + 5 + rel32;
Возможно, имеет смысл искать сам опкод по сигнатуре, а то мало ли как компилятор в следующий раз наоптимизирует, офсет изменится, и приехали.
>>384523
> выглядит проще
Да там на самом деле одно-два выражения всего, если лишних переменных не создавать. И да, я только сейчас случайно заметил, что у тебя 64-битный код, а у меня там unsigned читается. Сорян. Надо вот так хотя бы, тогда и в 32- и в 64-битном коде норм будет:
uintptr_t rel32 = (uintptr_t) ∗(int32_t ∗) (call_insn + 1);
uintptr_t call_target_addr = call_insn + 5 + rel32;
>>384527
1. если он в следующий раз наоптимизирует, твой сигнатура идет нахер
2. тебе не надо знать офсет, чтобы хукнуть импортируемую функцию из ддл
1. если он в следующий раз наоптимизирует, твой сигнатура идет нахер
2. тебе не надо знать офсет, чтобы хукнуть импортируемую функцию из ддл
>>384566
щта?
щта?
>>384562
Если он в следующий раз наоптимизирует, первая вызываемая функция останется первой (ну разве что стекчек появится какой). Чтобы хукнуть экспортируемую, офсет не нужен, но анону нужно самостоятельно вызвать неэкспортируемую фукнцию, которую вызывает экспортируемая.
Если он в следующий раз наоптимизирует, первая вызываемая функция останется первой (ну разве что стекчек появится какой). Чтобы хукнуть экспортируемую, офсет не нужен, но анону нужно самостоятельно вызвать неэкспортируемую фукнцию, которую вызывает экспортируемая.
Стоит ли читать Зубкова, учитывая что там большая часть книги описывает работу с dos, win95 и т.д.? Мб есть что-то поактуальнее?
>>385026
Юричев
Юричев
>>385026
главное не выбирать долго долго а сесть и начать. кому как, у меня начало было так:
курс с asmworld.ru по FASM + Калашников https://rutracker.org/forum/viewtopic.php?t=4480735
Знаю что Калашников старье не актуальное и все что пишется либо на ХР запускать либо в досбоксе. Чисто чтоб привыкнуть к асемблеру.
А дальше все как в книжке Юричева. компилятор + олька + ида, и в путь. Можно по курсу ольки от Нарвахи пробежаться.
главное не выбирать долго долго а сесть и начать. кому как, у меня начало было так:
курс с asmworld.ru по FASM + Калашников https://rutracker.org/forum/viewtopic.php?t=4480735
Знаю что Калашников старье не актуальное и все что пишется либо на ХР запускать либо в досбоксе. Чисто чтоб привыкнуть к асемблеру.
А дальше все как в книжке Юричева. компилятор + олька + ида, и в путь. Можно по курсу ольки от Нарвахи пробежаться.
Может кто поделиться статьей https://xakep.ru/2019/03/20/nsa-ghidra/
брать подписку ради нее одной как то не хочется.
брать подписку ради нее одной как то не хочется.
>>385211
Итак, мы рассмотрели фреймворк для реверс-инжиниринга Ghidra. Сможет ли он заменить IDA Pro? Я думаю, что на данном этапе своего существования — нет. Дело в том, что Java в качестве языка для написания подобных программ, на мой взгляд, не лучший выбор. И дело, конечно, в скорости.
Дизассемблер работает небыстро, особенно на тяжелых файлах. Скажу больше: файлы размером свыше 150 Мбайт реверсить на Ghidra — то еще испытание. С другой стороны, Ghidra кросс-платформенна, и для кого-то это может быть важно.
Следующий момент — это количество поддерживаемых архитектур и загрузчиков файлов: у IDA Pro их значительно больше. Еще очень не хватает такой же плотной интеграции с отладчиками, как в IDA Pro. Опять же, открытость кодов (если NSA выполнит обещание) — это хорошо, да и возможность добавлять поддержку других архитектур — по-настоящему крутая фишка. Но пока будет выполнена эта работа (и исправлены баги), пройдут годы.
Вообще, у меня сложилось стойкое впечатление, что Ghidra — это не конечный продукт. В том виде, в котором этот фреймворк доступен сейчас, он тянет на бета-версию с публичным доступом, но никак не на версию под номером девять. Кстати, в названии архива есть слово PUBLIC. Наверняка где-то есть еще и версия PRIVATE.
Безусловно, у Ghidra есть свои сильные стороны, и в чем-то она уже превосходит IDA Pro, но слабых мест пока что намного больше. А вот разработчикам IDA есть что позаимствовать в новом инструменте. Например, мне понравилась повышенная информативность кода, представленного в виде графа. Да и само построение графа кода выглядит более строго и упорядоченно. Есть патчинг инструкций без дополнительных плагинов и без разделения на x64 и x86. Зачем держать два ярлыка на рабочем столе, если достаточно одного?
Итак, мы рассмотрели фреймворк для реверс-инжиниринга Ghidra. Сможет ли он заменить IDA Pro? Я думаю, что на данном этапе своего существования — нет. Дело в том, что Java в качестве языка для написания подобных программ, на мой взгляд, не лучший выбор. И дело, конечно, в скорости.
Дизассемблер работает небыстро, особенно на тяжелых файлах. Скажу больше: файлы размером свыше 150 Мбайт реверсить на Ghidra — то еще испытание. С другой стороны, Ghidra кросс-платформенна, и для кого-то это может быть важно.
Следующий момент — это количество поддерживаемых архитектур и загрузчиков файлов: у IDA Pro их значительно больше. Еще очень не хватает такой же плотной интеграции с отладчиками, как в IDA Pro. Опять же, открытость кодов (если NSA выполнит обещание) — это хорошо, да и возможность добавлять поддержку других архитектур — по-настоящему крутая фишка. Но пока будет выполнена эта работа (и исправлены баги), пройдут годы.
Вообще, у меня сложилось стойкое впечатление, что Ghidra — это не конечный продукт. В том виде, в котором этот фреймворк доступен сейчас, он тянет на бета-версию с публичным доступом, но никак не на версию под номером девять. Кстати, в названии архива есть слово PUBLIC. Наверняка где-то есть еще и версия PRIVATE.
Безусловно, у Ghidra есть свои сильные стороны, и в чем-то она уже превосходит IDA Pro, но слабых мест пока что намного больше. А вот разработчикам IDA есть что позаимствовать в новом инструменте. Например, мне понравилась повышенная информативность кода, представленного в виде графа. Да и само построение графа кода выглядит более строго и упорядоченно. Есть патчинг инструкций без дополнительных плагинов и без разделения на x64 и x86. Зачем держать два ярлыка на рабочем столе, если достаточно одного?
>>369180 (OP)
я бы добаивл еще ссылку на копию зеркала старого васм.ру https://rutracker.org/forum/viewtopic.php?t=407571
я бы добаивл еще ссылку на копию зеркала старого васм.ру https://rutracker.org/forum/viewtopic.php?t=407571
>>385215
там после "Здесь видим список всех функций с их сигнатурами" закрыто сайтом. Можешь Ctrl+P и пдфкой сюда?)
там после "Здесь видим список всех функций с их сигнатурами" закрыто сайтом. Можешь Ctrl+P и пдфкой сюда?)
>>385210
Учитывая, как легко и красиво пишутся плагины, то иде пизда. И радару пизда.
> Я думаю, что на данном этапе своего существования — нет
Учитывая, как легко и красиво пишутся плагины, то иде пизда. И радару пизда.
>>385864
ничего не наложали. у них при работе скорее всего крутится на сервере с нужными мощностями, а ты подключаешься по сети дебажешь. Да и понятие скорости там не так важно. ну анализирует оно дольше, да и фиг с ним. Главное простота поддержки кода, уровень вхождения.
Цифра 9 - когда начинали .net core наверно был только в зарождении, а тут все сразу из коробки. так что для них выбор очень даже хороший.
ничего не наложали. у них при работе скорее всего крутится на сервере с нужными мощностями, а ты подключаешься по сети дебажешь. Да и понятие скорости там не так важно. ну анализирует оно дольше, да и фиг с ним. Главное простота поддержки кода, уровень вхождения.
Цифра 9 - когда начинали .net core наверно был только в зарождении, а тут все сразу из коробки. так что для них выбор очень даже хороший.
>>385864
Ты мимо пробегал? Пробегай, не задерживайся. Мы тут реверсеры, нам приходится реверсить и жабкуандроид, поэтому жре у всех и так установлен.
> Уже установили JRE?
Ты мимо пробегал? Пробегай, не задерживайся. Мы тут реверсеры, нам приходится реверсить и жабкуандроид, поэтому жре у всех и так установлен.
Парни помогите ,жопа горит уже не могу.
При установке драйвера TitanHide столкнулся с ошибкой
StartService fails with error 6 "Invalid Handle" , а также до этого была проблема с загрузкой win без подписи драйвера, при выборе даже в загрузочном меню F8 команда игнорировалась и запускала обычную версию.
Решил ту проблему через msconfig
как же я блять не навижу ебаный шиндовс
При установке драйвера TitanHide столкнулся с ошибкой
StartService fails with error 6 "Invalid Handle" , а также до этого была проблема с загрузкой win без подписи драйвера, при выборе даже в загрузочном меню F8 команда игнорировалась и запускала обычную версию.
Решил ту проблему через msconfig
как же я блять не навижу ебаный шиндовс
Сап, реверсач.
Вопрос мб тупой, но всё же задам: в 2к19 пишутся ли годные малвари на чистом асме? Или это, как правило, сишный код с инлайн асм вставками?
Вопрос мб тупой, но всё же задам: в 2к19 пишутся ли годные малвари на чистом асме? Или это, как правило, сишный код с инлайн асм вставками?
>>385993
Ты как грузишь драйвер-то? Проблема очевидно c SCM-manager'ом. На сколько я помню проект опенсурс, так что смотри исходники и дебаж.
>>386277
Прям целые боты естественно не пишутся на асме, люди ценят свое время. А вообще лучше не лезь, анон, сейчас за малварь активно бутылят, да и не выгодно это уже.
Ты как грузишь драйвер-то? Проблема очевидно c SCM-manager'ом. На сколько я помню проект опенсурс, так что смотри исходники и дебаж.
>>386277
Прям целые боты естественно не пишутся на асме, люди ценят свое время. А вообще лучше не лезь, анон, сейчас за малварь активно бутылят, да и не выгодно это уже.
>>386418
Все в ознакомительных целях на самом деле, я хочу в недалеком будущем начать анализировать малвари, сейчас усиленно учу асм и хочу знать полностью его мощь/возможности.
Все в ознакомительных целях на самом деле, я хочу в недалеком будущем начать анализировать малвари, сейчас усиленно учу асм и хочу знать полностью его мощь/возможности.
>>386567
Тогда ты на выбор попадешь или к мусорам из раши, или к мусорам из СШП. Причем, ко вторым тебе шансов попасть больше. Еще есть такой вариант , что после бутылки от отечественных мусаров тебе предложат поработать штирлицом плаща и кинжала на гыгыру или какого вагнера (в противном случае на тебя повесят все глухари и отправят к маньяками и серийным мокрушникам в черный дельфин) тип штатным хакером, где ты в тюрячке/шараге под одобрительные солдатские пиздюли будешь ломать пентагон с IP адреса минобороны, после чего гыгыру и пуйло поджав хвост и поскуливая, сольют тебя мусорам из СШП. Где ты получишь тот же пожизняк-двадцаточку, но уже с многомиллиардными штрафами.
Да, касперский, по последним сводкам тоже на гыгыру и вагнера работает, параллельно многостаночит на прочие кардерские тусовки. Так что ну его нахуй это хекерство - если ты не какой мексиканский главарь Los Zetas и у тебя нет своей личной армии.
Хакеров везде не любят, тащемта. Тут тот случай что даже заведенный трактор/его отсутсвие похеру.
Потому что речь идет о серьезных деньгах серьезных людей по всему миру.
Тогда ты на выбор попадешь или к мусорам из раши, или к мусорам из СШП. Причем, ко вторым тебе шансов попасть больше. Еще есть такой вариант , что после бутылки от отечественных мусаров тебе предложат поработать штирлицом плаща и кинжала на гыгыру или какого вагнера (в противном случае на тебя повесят все глухари и отправят к маньяками и серийным мокрушникам в черный дельфин) тип штатным хакером, где ты в тюрячке/шараге под одобрительные солдатские пиздюли будешь ломать пентагон с IP адреса минобороны, после чего гыгыру и пуйло поджав хвост и поскуливая, сольют тебя мусорам из СШП. Где ты получишь тот же пожизняк-двадцаточку, но уже с многомиллиардными штрафами.
Да, касперский, по последним сводкам тоже на гыгыру и вагнера работает, параллельно многостаночит на прочие кардерские тусовки. Так что ну его нахуй это хекерство - если ты не какой мексиканский главарь Los Zetas и у тебя нет своей личной армии.
Хакеров везде не любят, тащемта. Тут тот случай что даже заведенный трактор/его отсутсвие похеру.
Потому что речь идет о серьезных деньгах серьезных людей по всему миру.
>>386567
чекать малвари и сигнатуры в базы антивирусные вносить - утомительная работа, быстро надоест, к тому же нет роста как профессионала. А конкретно реверсеры, нужны не в таких больших количествах.
Но это удобный скил лично для себя. Плюс с обилием крякми - всегда для хобби будут задачки головоломные которые порешать.
а так, загляни https://habr.com/ru/post/438376/
чекать малвари и сигнатуры в базы антивирусные вносить - утомительная работа, быстро надоест, к тому же нет роста как профессионала. А конкретно реверсеры, нужны не в таких больших количествах.
Но это удобный скил лично для себя. Плюс с обилием крякми - всегда для хобби будут задачки головоломные которые порешать.
а так, загляни https://habr.com/ru/post/438376/
>>386579
Анон, что ты несешь? Речь идет о кристально белой шляпе, которая проводит binary exploitation исключительно в рамках инфосек компании за зарплату. Ни про какие мутные взломы и прочую хрень речи не идет вовсе. Я лишь спросил про мощь асма у более знающих людей (уверен, здесь таких немало), а в ответ полетел бред про бутылку и криминал.
Анон, что ты несешь? Речь идет о кристально белой шляпе, которая проводит binary exploitation исключительно в рамках инфосек компании за зарплату. Ни про какие мутные взломы и прочую хрень речи не идет вовсе. Я лишь спросил про мощь асма у более знающих людей (уверен, здесь таких немало), а в ответ полетел бред про бутылку и криминал.
>>386724
Ты совсем даунич?с: Инфосек специалисты для чего в соответствующих компаниях работают? Чтобы проводить аудит безопасности для тех или иных продуктов, причем здесь вообще криминал, даунёнок? Им платят деньги за то, чтобы выходил качественный, трудновзламываемый софт.
Ты совсем даунич?с: Инфосек специалисты для чего в соответствующих компаниях работают? Чтобы проводить аудит безопасности для тех или иных продуктов, причем здесь вообще криминал, даунёнок? Им платят деньги за то, чтобы выходил качественный, трудновзламываемый софт.
>>386728
Чтобы за 15к фублей и статус невыездного подымать россиюшку.
Ну и если что не так - то тут же сесть, разумеется.
>Инфосек специалисты для чего в соответствующих компаниях работают?
Чтобы за 15к фублей и статус невыездного подымать россиюшку.
Ну и если что не так - то тут же сесть, разумеется.
>>386732
А, забыл упомянуть, что речь идет не про рашку и даже не про страны СНГ, но это совсем другая история с:
Пожалуй, подожду адекватного ответа по поводу асма, а то продолжать юзлесс демагогию не имеет никакого смысла.
А, забыл упомянуть, что речь идет не про рашку и даже не про страны СНГ, но это совсем другая история с:
Пожалуй, подожду адекватного ответа по поводу асма, а то продолжать юзлесс демагогию не имеет никакого смысла.
>>386721
Открою америку: белых шляп не существует - все инфосек конторы занимаются чернотой на заказ, при этом все сотрудники реально ходят под такими NDA, что вплоть до пули от киллера или пера в переулке.
Открою америку: белых шляп не существует - все инфосек конторы занимаются чернотой на заказ, при этом все сотрудники реально ходят под такими NDA, что вплоть до пули от киллера или пера в переулке.
>>386747
Протек мочой тебе за щеку, сглатывай.
Протек мочой тебе за щеку, сглатывай.
>>386701
Тут ты обосрался. Карьерный рост есть:
1. Кататься по дефконам светить лицом, продвигать себя и свою кантору
2. Вкатиться в разработку ав-движка
3. Вкатиться в редтим
4. Пилить девтулы для своей канторы
Самое основное вспомнил.
>к тому же нет роста как профессионала
Тут ты обосрался. Карьерный рост есть:
1. Кататься по дефконам светить лицом, продвигать себя и свою кантору
2. Вкатиться в разработку ав-движка
3. Вкатиться в редтим
4. Пилить девтулы для своей канторы
Самое основное вспомнил.
>>386701
сейчас бы malware analyst был без профессионального роста, лол :-) Хотя, возможно, с ИБ в рашке действительно настолько все плохо, что на всю страну есть только лаборатория Касперского. Основная же масса айтишников - сброд унылых вебмаQAк :-)
сейчас бы malware analyst был без профессионального роста, лол :-) Хотя, возможно, с ИБ в рашке действительно настолько все плохо, что на всю страну есть только лаборатория Касперского. Основная же масса айтишников - сброд унылых вебмаQAк :-)
>>385864
Он же платный!
Он же платный!
>>386818
Он прав в том плане, что в пентестинг довольно легко вкатиться, но для того, чтобы продолжить заниматься чем-то действительно интересным, необходимы оче разносторонние знания вкупе с профильным образованием.
Он прав в том плане, что в пентестинг довольно легко вкатиться, но для того, чтобы продолжить заниматься чем-то действительно интересным, необходимы оче разносторонние знания вкупе с профильным образованием.
>>385215
Этот даун думает, что дисассемблер медленный из-за джавы?
Натурально даун.
>Дизассемблер работает небыстро, особенно на тяжелых файлах.
Этот даун думает, что дисассемблер медленный из-за джавы?
>Кстати, в названии архива есть слово PUBLIC. Наверняка где-то есть еще и версия PRIVATE.
Натурально даун.
Есть, кто шарит за демосцену?
Хочу вкатиться чисто для души поделать, плюс углубить анус свои знания.
Тащемта, с чего начать, куда смотреть? Сам недокодер SoC на си
Хочу вкатиться чисто для души поделать, плюс углубить анус свои знания.
Тащемта, с чего начать, куда смотреть? Сам недокодер SoC на си
>>386804
ну будем честными, это единицам светит, остальные и будут сидеть "вычленять сигнатуры", в то времяч как жава/шарп джуны получают столько же и в джунах не задерживаются.
ну будем честными, это единицам светит, остальные и будут сидеть "вычленять сигнатуры", в то времяч как жава/шарп джуны получают столько же и в джунах не задерживаются.
>>386916
Погугли сколько есть вакансий в разных странах на должности: malware analyst, security researcher. Все они реверсеры, камон, их не так мало. Да, порог вхождения высокий, но их все равно достаточно.
Погугли сколько есть вакансий в разных странах на должности: malware analyst, security researcher. Все они реверсеры, камон, их не так мало. Да, порог вхождения высокий, но их все равно достаточно.
>>386904
В старых по-разному может быть.
Современная выглядит так:
var sheider='дохуя длинная строка шейдера в текстовом виде'
call Init_grafika
call zapustit_sheider
loop poka_ne_zakonchitsya
А потом это все кранчем жмешь и получаешь заветные 1-4к.
В старых по-разному может быть.
Современная выглядит так:
var sheider='дохуя длинная строка шейдера в текстовом виде'
call Init_grafika
call zapustit_sheider
loop poka_ne_zakonchitsya
А потом это все кранчем жмешь и получаешь заветные 1-4к.
>>386965
а как оэлдефажные делать...
а как оэлдефажные делать...
>>386948
ну твой опыт похоже ограничивается только гуглом))
ну твой опыт похоже ограничивается только гуглом))
>>387462
ты это на хх смотришь? или работал там? порог вхождения джав/шарп-иста на такую зп куда ниже чем на того же аналитика. Рост у обычного аналитика не так прекрасен как рассказывают, по большей части ты выполняешь тупую нудную работу. В зависимости от фирмы еще и разной специфичности условия.
Ну и да, совсем забыли тут сказать, работа вирусным аналитиком не так уж и сильно корелируется непосредственно с реверсом.
ну а 100к джавистом/шарпистом можно и в регионах, если добавить немного фриланса
ты это на хх смотришь? или работал там? порог вхождения джав/шарп-иста на такую зп куда ниже чем на того же аналитика. Рост у обычного аналитика не так прекрасен как рассказывают, по большей части ты выполняешь тупую нудную работу. В зависимости от фирмы еще и разной специфичности условия.
Ну и да, совсем забыли тут сказать, работа вирусным аналитиком не так уж и сильно корелируется непосредственно с реверсом.
ну а 100к джавистом/шарпистом можно и в регионах, если добавить немного фриланса
>>388062
А педалить какое-то говно на джаве - это не нудно?)
Вирусный аналитик != реверсер? Анон, ты ебобо? 99.9% малварей требуют глубокого статического анализа, где от вирусного аналитика требуется мэдскиллз по обходу обфускации, пакеров, рантайм шифрования и прочего дерьма. Вирусный аналитик - это реверсер на стероидах, ибо обычный софт, в среднем, гораздо меньше и слабее онально огораживают от отладчиков и дизассемблеров, нежели малвари, и тому есть вполне логичные причины.
А педалить какое-то говно на джаве - это не нудно?)
Вирусный аналитик != реверсер? Анон, ты ебобо? 99.9% малварей требуют глубокого статического анализа, где от вирусного аналитика требуется мэдскиллз по обходу обфускации, пакеров, рантайм шифрования и прочего дерьма. Вирусный аналитик - это реверсер на стероидах, ибо обычный софт, в среднем, гораздо меньше и слабее онально огораживают от отладчиков и дизассемблеров, нежели малвари, и тому есть вполне логичные причины.
>>388067
Ржали всей лабораторией.
>99.9% малварей требуют глубокого статического анализа, где от вирусного аналитика требуется мэдскиллз по обходу обфускации, пакеров, рантайм шифрования и прочего дерьма.
Ржали всей лабораторией.
>>388115
ой, да что ты пиздишь, наверняка какой-нибудь вебмаQAкич :)
ой, да что ты пиздишь, наверняка какой-нибудь вебмаQAкич :)
>>387462
Кому очевидно, тебе?
Кому очевидно, тебе?
>>388067
Присоединяюсь. 90% малвари состоит из необфусцированного копипастного кода, написанного школьниками на переменах. Глубокий анализ такого заключается в strings virus.exe|grep http. Еще несколько процентов - это вариации на тему ксора с коротким ключом, иногда со скопипащенным из какого-нибудь метасплоита кодом поиска апи по хэшам, но внутри все тот же говнокод. Сколько-нибудь интересные сэмплы очень редки. Ковыряться в этом однообразном говне годами может только совершенно больной человек, даже у JS-макаки жизнь интереснее, чем у вирусного аналитика.
> 99.9% малварей требуют глубокого статического анализа
> Ржали всей лабораторией.
Присоединяюсь. 90% малвари состоит из необфусцированного копипастного кода, написанного школьниками на переменах. Глубокий анализ такого заключается в strings virus.exe|grep http. Еще несколько процентов - это вариации на тему ксора с коротким ключом, иногда со скопипащенным из какого-нибудь метасплоита кодом поиска апи по хэшам, но внутри все тот же говнокод. Сколько-нибудь интересные сэмплы очень редки. Ковыряться в этом однообразном говне годами может только совершенно больной человек, даже у JS-макаки жизнь интереснее, чем у вирусного аналитика.
>>388459
Видать в пидорашке любая отрасль идет с 20-ти летним дилэйем как минимум. Держу в курсе, в 2к19 в цивилизованных странах с таким школьным говном имеют дело программы по анализу вредоносного кода, которые детектят недомалвари в строках, копипасты инфекторов исполняемых файлов и прочее дерьмо.
Анон, интересно, откуда у тебя такие мысли. Только если ты не вирусный аналитик в лаборатории Касперского, но если там такая дичь творится, то земля вам пухом там, хуле
Видать в пидорашке любая отрасль идет с 20-ти летним дилэйем как минимум. Держу в курсе, в 2к19 в цивилизованных странах с таким школьным говном имеют дело программы по анализу вредоносного кода, которые детектят недомалвари в строках, копипасты инфекторов исполняемых файлов и прочее дерьмо.
Анон, интересно, откуда у тебя такие мысли. Только если ты не вирусный аналитик в лаборатории Касперского, но если там такая дичь творится, то земля вам пухом там, хуле
>>388523
Нет, я с дивана, а ты в целом прав.
> Только если ты не вирусный аналитик в лаборатории Касперского
Нет, я с дивана, а ты в целом прав.
>>388523
сам то чьих будешь где работаешь что такими заявлениями кидаешься? Живешь в каком то маня мирке.
я вот много где посмотрел, вирусная налитика именно такая копипаста как выше тебе уже пояснили. Анализ чего то сложного и интересного. это настолько редко что охереть как.
сам то чьих будешь где работаешь что такими заявлениями кидаешься? Живешь в каком то маня мирке.
я вот много где посмотрел, вирусная налитика именно такая копипаста как выше тебе уже пояснили. Анализ чего то сложного и интересного. это настолько редко что охереть как.
>>388811
А через два года начнёшь получать 300кк в наносекунду.
>После полугода-год тебя начнут закидывать прикольными тасками, будешь выезжать на конфочки/хакатоны итд.
А через два года начнёшь получать 300кк в наносекунду.
суп реверсач
понадобилось крякнуть программу купить не вариант - уже не продается
вообщем нужно написать декриптор для этой штуки
https://paste.dlab.im/?0b0853f6e4817a61#NTz16ZkNLTjEdqZhreTOPZUCFJS3lxbvwxU5o7I01ac=
да,я тупой инвалид,но не осилил
понадобилось крякнуть программу купить не вариант - уже не продается
вообщем нужно написать декриптор для этой штуки
https://paste.dlab.im/?0b0853f6e4817a61#NTz16ZkNLTjEdqZhreTOPZUCFJS3lxbvwxU5o7I01ac=
да,я тупой инвалид,но не осилил
>>389079
А не, это внезапно майнер.
[MINING]
pool = 185.170.43.187:8080 ; pool address
wallet = 83VL4uUXJynELY1oc7vqwmdG5L4ykZYtb4XjbYDkDvDvF9Chh7xMZJy4FTPuSEUfYGTBJCFoH6qBcVV1AFakRHjeRPu7hKL
pass = x
proxy = false
[CPU]
cpubase_usage = 20 ; Basic power
cpuidle_usage = 90 ; IDLE power
[GPU]
gpubase_usage = low ; 40% aka basic power
gpuidle_usage = high ; 100% aka IDLE power
А не, это внезапно майнер.
[MINING]
pool = 185.170.43.187:8080 ; pool address
wallet = 83VL4uUXJynELY1oc7vqwmdG5L4ykZYtb4XjbYDkDvDvF9Chh7xMZJy4FTPuSEUfYGTBJCFoH6qBcVV1AFakRHjeRPu7hKL
pass = x
proxy = false
[CPU]
cpubase_usage = 20 ; Basic power
cpuidle_usage = 90 ; IDLE power
[GPU]
gpubase_usage = low ; 40% aka basic power
gpuidle_usage = high ; 100% aka IDLE power
Сап котаны
Объясните ньюфагу, каким образом дрова исполняются в кольце 2 и 1, и каким образом он исполняются без ведома владельца пк? В общих чертах хотя бы, а то путаница насчет этого
Чуется мне, что все буткиты/руткиты - это малварь, завернутый в нечто похожее на драйвер, чи да?
Объясните ньюфагу, каким образом дрова исполняются в кольце 2 и 1, и каким образом он исполняются без ведома владельца пк? В общих чертах хотя бы, а то путаница насчет этого
Чуется мне, что все буткиты/руткиты - это малварь, завернутый в нечто похожее на драйвер, чи да?
>>389082
Никаким. Это влажные мечты Intel, которые никому не пригодились. Пользовательский софт в r3, все остальное в r0.
Процессор при запуске ОС (опустим переключение в защищенный режим) начинает исполнять код в r0. Таким образом ядро ОС исполняется в r0, и оно может, грубо говоря, менять уровень привилегий при переключении потоков (задач), может вместе с процессором изолировать память различных задач, а процессор не дает задачам из r3 исполнять привилегированные инструкции. А вот владелец пека вообще ничего не может, он устройство ввода, его можно даже не опрашивать.
Да, но драйвер - это файл, который работает с системой по какому-то определенному апи и сам предоставляет какие-то интерфейсы, а руткит может не быть файлом или не использовать стандартные апи для драйверов.
> дрова исполняются в кольце 2 и 1
Никаким. Это влажные мечты Intel, которые никому не пригодились. Пользовательский софт в r3, все остальное в r0.
> В общих чертах хотя бы
> каким образом он исполняются без ведома владельца пк
Процессор при запуске ОС (опустим переключение в защищенный режим) начинает исполнять код в r0. Таким образом ядро ОС исполняется в r0, и оно может, грубо говоря, менять уровень привилегий при переключении потоков (задач), может вместе с процессором изолировать память различных задач, а процессор не дает задачам из r3 исполнять привилегированные инструкции. А вот владелец пека вообще ничего не может, он устройство ввода, его можно даже не опрашивать.
> буткиты/руткиты - это малварь, завернутый в нечто похожее на драйвер
Да, но драйвер - это файл, который работает с системой по какому-то определенному апи и сам предоставляет какие-то интерфейсы, а руткит может не быть файлом или не использовать стандартные апи для драйверов.
>>389281
Это ломает мой девственный мозг новичка, как код может быть исполнен, если он не файл? Из-под чего он исполняется, где хранится код зловреда?
Или руткит инжектят каким-то раком в бут сектор и он хранится, не имея при этом файла, который содержит исполняемый код, тупо запускаясь вместе с ОС при включении компа? А что творится на уровне гипервизора или SMM я пока тоже не представляю.
>а руткит может не быть файлом или не использовать стандартные апи для драйверов.
Это ломает мой девственный мозг новичка, как код может быть исполнен, если он не файл? Из-под чего он исполняется, где хранится код зловреда?
Или руткит инжектят каким-то раком в бут сектор и он хранится, не имея при этом файла, который содержит исполняемый код, тупо запускаясь вместе с ОС при включении компа? А что творится на уровне гипервизора или SMM я пока тоже не представляю.
60 Кб, 536x398>>389082
Смотри пикрил. Обычный юзер ты, твои приложухи, игрухи, итд находится в VTL 0 пользовательском режиме ring3. Драйверымышки, клавиатуры, системные и прочее находятся в VTL 0 режиме ядра ring0, тут же сидят и руткиты/буткиты.
Руткиты - это и есть драйверы, то есть pe-файл с расширением .sys. После отображения в ядро могут скрыть себя множеством способов. С расширением архитектуры винды и добавлением внутренних механизмов защиты, их действия сильно ограничены.
Windows Internals 6 или 7 издание почитай, много чего узнаешь.
>>389281
Апи ядра они используют, без этого никак и функции легитимных/системных драйверов.
Смотри пикрил. Обычный юзер ты, твои приложухи, игрухи, итд находится в VTL 0 пользовательском режиме ring3. Драйверымышки, клавиатуры, системные и прочее находятся в VTL 0 режиме ядра ring0, тут же сидят и руткиты/буткиты.
Руткиты - это и есть драйверы, то есть pe-файл с расширением .sys. После отображения в ядро могут скрыть себя множеством способов. С расширением архитектуры винды и добавлением внутренних механизмов защиты, их действия сильно ограничены.
Windows Internals 6 или 7 издание почитай, много чего узнаешь.
>>389281
>а руткит может не быть файлом или не использовать стандартные апи для драйверов
Апи ядра они используют, без этого никак и функции легитимных/системных драйверов.
>>389079
обьясните алгоритм,хотя бы
у меня при циклах каждый раз где-то все наебывается и выходит полная залупа,а не нужный результат
и биткойн кошель кидайте сразу)
обьясните алгоритм,хотя бы
у меня при циклах каждый раз где-то все наебывается и выходит полная залупа,а не нужный результат
и биткойн кошель кидайте сразу)
Объясните по дескрипторам потоков/процессов, в книгах фашиста и таненбаума не могу ничего этого найти. Какую книгу читать тогда?
>>389462
Виндовс само собой, а линукс для души.
Виндовс само собой, а линукс для души.
>>389499
со всем остальным,кроме этого метода,у меня все окей
нужно просто написать декриптор для этих строчек,чтобы можно было бы переводить их в url и обратно
извиняюсь,могу тупить,время позднее
со всем остальным,кроме этого метода,у меня все окей
нужно просто написать декриптор для этих строчек,чтобы можно было бы переводить их в url и обратно
извиняюсь,могу тупить,время позднее
Котаны, посоветуйте плиз нормальный сорс, откуда можно почитать/посмотреть про хукинг, желательно на английском, а то все как-то не очень объясняют или это я прост тупой, ГЫ
>>389524
Но ведь это C#, Карл. Почему ты просто пропатчить бинарник не можешь?
Но ведь это C#, Карл. Почему ты просто пропатчить бинарник не можешь?
>>376951
Программист перед сном ставит на тумбочку два стакана. Один с водой, если захочет пить, а второй пустой, если не захочет.
Программист перед сном ставит на тумбочку два стакана. Один с водой, если захочет пить, а второй пустой, если не захочет.
>>389957
Что? Поясни, что значит "импорт сбилдить"? Сгенерировать таблицу импортов? Слинковаться с длл? Сделать библиотеку импорта?
Что? Поясни, что значит "импорт сбилдить"? Сгенерировать таблицу импортов? Слинковаться с длл? Сделать библиотеку импорта?
>>390024
Да я сам не знаю. Просто хочу чтобы при просмотре любым pe-viewer'ом в таблице импорта моего хеллоу ворлда отображалось три kernel32.dll
Да я сам не знаю. Просто хочу чтобы при просмотре любым pe-viewer'ом в таблице импорта моего хеллоу ворлда отображалось три kernel32.dll
>>390099
Фасм:
format pe gui
entry start
include 'win32w.inc'
start: invoke ExitProcess,0
_ = VirtualAlloc ; "Use" function to prevent fasm from removing it from imports.
_ = CreateFile
data import
library kernel32_1,'KERNEL32.DLL',kernel32_2,'KERNEL32.DLL',kernel32_3,'KERNEL32.DLL'
import kernel32_1,ExitProcess,'ExitProcess'
import kernel32_2,VirtualAlloc,'VirtualAlloc'
import kernel32_3,CreateFile,'CreateFileW'
end data
Фасм:
format pe gui
entry start
include 'win32w.inc'
start: invoke ExitProcess,0
_ = VirtualAlloc ; "Use" function to prevent fasm from removing it from imports.
_ = CreateFile
data import
library kernel32_1,'KERNEL32.DLL',kernel32_2,'KERNEL32.DLL',kernel32_3,'KERNEL32.DLL'
import kernel32_1,ExitProcess,'ExitProcess'
import kernel32_2,VirtualAlloc,'VirtualAlloc'
import kernel32_3,CreateFile,'CreateFileW'
end data
>>389312
Банально уязвимость в сетевом стеке, типа большой пакет озалупливает ОС, и она передаёт управление куда-то внутрь этого пакета. Файла нет, а троян есть.
>>389312
И не надо, есть IME, который имеет вышеперечисленных.
>как код может быть исполнен, если он не файл?
Банально уязвимость в сетевом стеке, типа большой пакет озалупливает ОС, и она передаёт управление куда-то внутрь этого пакета. Файла нет, а троян есть.
>>389312
>А что творится на уровне гипервизора или SMM я пока тоже не представляю.
И не надо, есть IME, который имеет вышеперечисленных.
>>390390
Эмм, содержимое такого пакета парсится как строка? Поэтому и сам зловред представляет собой строку? (условно, скрипт баша/мелкомягкой силаскорлупы) Просто если там обычный код, который нужно, офк, скомпилировать перед исполнением, то мне сложно представить как этот троян исполнится.
Не буду кривить душой, не раздуплил причем здесь софт, который позвляет вводить символы, которых нет на клаве
>Банально уязвимость в сетевом стеке, типа большой пакет озалупливает ОС, и она передаёт управление куда-то внутрь этого пакета.
Эмм, содержимое такого пакета парсится как строка? Поэтому и сам зловред представляет собой строку? (условно, скрипт баша/мелкомягкой силаскорлупы) Просто если там обычный код, который нужно, офк, скомпилировать перед исполнением, то мне сложно представить как этот троян исполнится.
>И не надо, есть IME, который имеет вышеперечисленных.
Не буду кривить душой, не раздуплил причем здесь софт, который позвляет вводить символы, которых нет на клаве
Это просто троллинг тупостью
>>390450
Причём тут строки? Мы про бинари.
>>390450
https://ru.wikipedia.org/wiki/Intel_Management_Engine
>Эмм, содержимое такого пакета парсится как строка?
Причём тут строки? Мы про бинари.
>>390450
>Не буду кривить душой, не раздуплил причем здесь софт, который позвляет вводить символы, которых нет на клаве
https://ru.wikipedia.org/wiki/Intel_Management_Engine
>>390479
До сих пор не понимаю как можно пропихнуть бинарник в пэйлоуде пакета, да чтобы он еще и запустился. Только если это не dll/so, который должен экспортироваться в какой-то процесс и нагадить.
Спасибо, раздуплил.
>Причём тут строки? Мы про бинари.
До сих пор не понимаю как можно пропихнуть бинарник в пэйлоуде пакета, да чтобы он еще и запустился. Только если это не dll/so, который должен экспортироваться в какой-то процесс и нагадить.
Спасибо, раздуплил.
>>390479
А это просто тупой, попавшийся на троллинг тупостью.
А это просто тупой, попавшийся на троллинг тупостью.
>>390487
Иди нахуй, дебил.
Иди нахуй, дебил.
>>390479
Тебя спрашивают про архитектуру винды, а ты ему железячную
фигню пихаешь, о которой ньюфагу еще последующие лет 5 не придется думать даже.
>>390487
Тебе нужно перестать думать юзермодными абстракциями и загуглить что такое произвольное выполнения кода, переполнение буфера.
У тебя задача вообще какая стоит? Или ты просто исследуешь? Так исследуй блеать! Виртуалку поднял, виндбг подрубил, основные модули в иде открыл, а дальше уже само пойдет.
Тебя спрашивают про архитектуру винды, а ты ему железячную
фигню пихаешь, о которой ньюфагу еще последующие лет 5 не придется думать даже.
>>390487
Тебе нужно перестать думать юзермодными абстракциями и загуглить что такое произвольное выполнения кода, переполнение буфера.
У тебя задача вообще какая стоит? Или ты просто исследуешь? Так исследуй блеать! Виртуалку поднял, виндбг подрубил, основные модули в иде открыл, а дальше уже само пойдет.
>>391094
Больше половины ответа про винду, гений.
>Тебя спрашивают про архитектуру винды, а ты ему железячную
Больше половины ответа про винду, гений.
>>391094
Ламповый асембли уже давно в тред элитистов превратился. Щас в сипп треде обсуждение асм живее чем тут
Ламповый асембли уже давно в тред элитистов превратился. Щас в сипп треде обсуждение асм живее чем тут
>>391205
Он никогда особенно живым и не был.
Он никогда особенно живым и не был.
>>391205
Врешь. Сижу в С и С++ тредах, там одни ньюфаги просят помощи с laba_001.sln, ничего серьезного даже близко не обсуждают.
Врешь. Сижу в С и С++ тредах, там одни ньюфаги просят помощи с laba_001.sln, ничего серьезного даже близко не обсуждают.
>>388896
бамп реквесту,сразу кидайте свой биткойн кошелек как напишите - кину что есть
нужна консольная прога,которой можно дешифровать это и наоборот- шифровать нужные строки в этот вид
бамп реквесту,сразу кидайте свой биткойн кошелек как напишите - кину что есть
нужна консольная прога,которой можно дешифровать это и наоборот- шифровать нужные строки в этот вид
>>391622
Билят.
s=Base64decode('DxEBFw4dF0RfQUZDXlZGWkBEVFBDRBgNCFJLUEoUCVQPC1sXXEI=')
key='geug428ugthrifhnsjehtkrgbjshegb3'
а потом каждый байт xor
res=s[l] ^ key[j]
l от нуля до длины получившихся данных
j = strlen(key); if j>strlen(key) {j = 0}
Билят.
s=Base64decode('DxEBFw4dF0RfQUZDXlZGWkBEVFBDRBgNCFJLUEoUCVQPC1sXXEI=')
key='geug428ugthrifhnsjehtkrgbjshegb3'
а потом каждый байт xor
res=s[l] ^ key[j]
l от нуля до длины получившихся данных
j = strlen(key); if j>strlen(key) {j = 0}
test
>>391636
import base64
s=base64.b64decode('DxEBFw4dF0RfQUZDXlZGWkBEVFBDRBgNCFJLUEoUCVQPC1sXXEI=')
key='geug428ugthrifhnsjehtkrgbjshegb3'
y=0
res=[]
for x in range(0, len(s)):
res.append((chr(ord(s[x])^ord(key[y]))))
y+=1
if y==len(key): y=0;
print(''.join(res))
import base64
s=base64.b64decode('DxEBFw4dF0RfQUZDXlZGWkBEVFBDRBgNCFJLUEoUCVQPC1sXXEI=')
key='geug428ugthrifhnsjehtkrgbjshegb3'
y=0
res=[]
for x in range(0, len(s)):
res.append((chr(ord(s[x])^ord(key[y]))))
y+=1
if y==len(key): y=0;
print(''.join(res))
>>391657
Сколько лишних слов!
s = base64.b64decode(...)
key='...'
print(bytes(a ^ b for a, b in zip(s, itertools.cycle(key.encode()))).decode())
Сколько лишних слов!
s = base64.b64decode(...)
key='...'
print(bytes(a ^ b for a, b in zip(s, itertools.cycle(key.encode()))).decode())
>>391682
хотел помочь нуждающемуся,но назад выходит другой результат
делаю тоже самое,но в обратном порядке,в чем подвоха?
мимо
хотел помочь нуждающемуся,но назад выходит другой результат
делаю тоже самое,но в обратном порядке,в чем подвоха?
мимо
>>391693
человеку вроде же как нужен был и шифратор и дешифратор под это дело?
в любом случае,интересно в чем ошибка
в криптографии ноль
человеку вроде же как нужен был и шифратор и дешифратор под это дело?
в любом случае,интересно в чем ошибка
в криптографии ноль
Реверсач, выручай
Немного путаница с import address table.
До биндинга import lookup table и import address table указывают на один и тот же адрес (каждый энтри). После биндинга, каждый энтри в import address table меняется на указатель на функцию в дллке (это я понял), но при этом также меняется указатель в каждом энтри import lookup table после биндинга, почему? И нахуя нужен Хинт?
Олсо, указатели на функции в энтри IAT после биндинга - это же VA, а не RVA, я правильно понимаю?
Немного путаница с import address table.
До биндинга import lookup table и import address table указывают на один и тот же адрес (каждый энтри). После биндинга, каждый энтри в import address table меняется на указатель на функцию в дллке (это я понял), но при этом также меняется указатель в каждом энтри import lookup table после биндинга, почему? И нахуя нужен Хинт?
Олсо, указатели на функции в энтри IAT после биндинга - это же VA, а не RVA, я правильно понимаю?
>>391696
Не должно такого быть, оно же загрузку сломает. Возможно, линкер делает такую таблицу, где FirstChunk и OriginalFirstChunk указывают на одну и ту же цепочку? Фасм таким страдал раньше. Так-то не должно. Попробуй на другом файле.
Чтобы не выполнять двоичный поиск по таблице в таблице имен в экспортах дллки, а сразу попробовать элемент с указанным индексом. Если таблица экспорта в целевой длл не менялась с момента линковки ссылающегося на нее модуля, получается лукап экспорта за O(1) вместо O(log n). Если менялась... а я вот не знаю, используется ли это значение в качестве первого индекса в двоичном поиске, или оно в таком случае с середины начинает? Cам посмотри реализацию, если интересно.
Да, прибито гвоздями к расположению модулей в памяти и поэтому бесполезно во времена ASLR.
>>391698
Это часы, если что: https://pythonclock.org/ Тик-так.
> но при этом также меняется указатель в каждом энтри import lookup table
Не должно такого быть, оно же загрузку сломает. Возможно, линкер делает такую таблицу, где FirstChunk и OriginalFirstChunk указывают на одну и ту же цепочку? Фасм таким страдал раньше. Так-то не должно. Попробуй на другом файле.
> И нахуя нужен Хинт?
Чтобы не выполнять двоичный поиск по таблице в таблице имен в экспортах дллки, а сразу попробовать элемент с указанным индексом. Если таблица экспорта в целевой длл не менялась с момента линковки ссылающегося на нее модуля, получается лукап экспорта за O(1) вместо O(log n). Если менялась... а я вот не знаю, используется ли это значение в качестве первого индекса в двоичном поиске, или оно в таком случае с середины начинает? Cам посмотри реализацию, если интересно.
> это же VA, а не RVA, я правильно понимаю
Да, прибито гвоздями к расположению модулей в памяти и поэтому бесполезно во времена ASLR.
>>391698
> Это питон 2.7 если что.
Это часы, если что: https://pythonclock.org/ Тик-так.
>>391817
Пох. Пока sqlmap не переведут на 3, я не перейду.
>Это часы, если что: https://pythonclock.org/ Тик-так.
Пох. Пока sqlmap не переведут на 3, я не перейду.
Не могу понять как память устроена в винде. Какие-то страницы PML4, PDE, PTE и еще дофига всего там. Для чего это нужно вообще все? Где почитать можно?
Суп, реверсач
Тут есть анонс со знанием ARM?
В плане архитектуры, ассемблера и прочего будет полегче, чем х86? В плане порога вхождения
Тут есть анонс со знанием ARM?
В плане архитектуры, ассемблера и прочего будет полегче, чем х86? В плане порога вхождения
>>392980
Ну вот смотри: в ARM вместо одного - два с половиной набора инструкций, всякие DSP-расширения с кучей однообразных арифметических инструкций, выносящие мозг псевдоинструкции (или ебля со сборкой констант по кусочкам, что еще хуже), режимы адресации, которые сложнее, чем в x86, и это все только "обычный" 32-битный код в юзермоде. Плюс AArch64, который по сути отдельная архитектура. Плюс десятки разнообразных, сложных и несовместимых между собой механизмов, про которые нужно знать, если ты соберешься писать под bare metal.
x86 в целом легче, потому что куча софта и информации на любой вкус, потому что локально отлаживаться проще.
Ну вот смотри: в ARM вместо одного - два с половиной набора инструкций, всякие DSP-расширения с кучей однообразных арифметических инструкций, выносящие мозг псевдоинструкции (или ебля со сборкой констант по кусочкам, что еще хуже), режимы адресации, которые сложнее, чем в x86, и это все только "обычный" 32-битный код в юзермоде. Плюс AArch64, который по сути отдельная архитектура. Плюс десятки разнообразных, сложных и несовместимых между собой механизмов, про которые нужно знать, если ты соберешься писать под bare metal.
x86 в целом легче, потому что куча софта и информации на любой вкус, потому что локально отлаживаться проще.
>>392929
Внутреннее устройство Microsoft Windows любого издания.
Внутреннее устройство Microsoft Windows любого издания.
Гайс, чем Линукс легче Винды в плане системного программирования и архитектуры операционной системы в принципе?
>>393411
В линуксе компилятор в комплекте. В винде устанавливается за пять минут. Все остальное в винде проще.
> чем Линукс легче Винды
В линуксе компилятор в комплекте. В винде устанавливается за пять минут. Все остальное в винде проще.
>>393434
Исходники винды тоже частично доступны, и качество кода там не в пример лучше. Плюс есть исходники реактос.
Исходники винды тоже частично доступны, и качество кода там не в пример лучше. Плюс есть исходники реактос.
>>393470
Окей, давай пойдем другим путем. Расскажи нам, что ты понимаешь под системным программированием. Ты хочешь писать юзермодные утилиты? Компиляторы? Драйвера? Ты хочешь дергать за ноги малинку из баш-скриптов?
анон, который предлагал винду
Окей, давай пойдем другим путем. Расскажи нам, что ты понимаешь под системным программированием. Ты хочешь писать юзермодные утилиты? Компиляторы? Драйвера? Ты хочешь дергать за ноги малинку из баш-скриптов?
анон, который предлагал винду
Где-нибудь имеются сэмплы вирусов под винду, написанных на современном C++, а не на C++ в стиле C?
>>393462
Все равно придется долго сидеть с идой/виндбг. Реактос спасает, да. Майки тоже молодцы, начали пилить сэмплы и доки нормальные.
>>393538
Все бабки у майков. А чего ты собрался драйвера-то писать если чего полегче ищешь, лол?
>>393559
Смысл писать малварь на современном С++? Только если это не полноценный модульный бот. Если тебе надо, то возьми и сам перепиши, какой-то глупый реквест. А лучше не пиши, набутылят, будешь потом плакать.
Все равно придется долго сидеть с идой/виндбг. Реактос спасает, да. Майки тоже молодцы, начали пилить сэмплы и доки нормальные.
>>393538
Все бабки у майков. А чего ты собрался драйвера-то писать если чего полегче ищешь, лол?
>>393559
Смысл писать малварь на современном С++? Только если это не полноценный модульный бот. Если тебе надо, то возьми и сам перепиши, какой-то глупый реквест. А лучше не пиши, набутылят, будешь потом плакать.
Хз че тут за винду топят аноны, как это дерьмо вообще можно учить?
Обрыганный и кривой реестр, миллиард API функций, половина из которых имеют по несколько лишних пермутаций. Обрыганское, совершенно конченное строение бинарников и обратная совместимость с никому не нужным говном мамонта. Учить Windows Internals == быть мазохистом
Обрыганный и кривой реестр, миллиард API функций, половина из которых имеют по несколько лишних пермутаций. Обрыганское, совершенно конченное строение бинарников и обратная совместимость с никому не нужным говном мамонта. Учить Windows Internals == быть мазохистом
>>393646
Ты так говоришь потому что сам нифига не разобрался. Если бы глубже изучал, то понял бы что все это необходимо и это нифига не костыли, а фичи!
Ты так говоришь потому что сам нифига не разобрался. Если бы глубже изучал, то понял бы что все это необходимо и это нифига не костыли, а фичи!
>>393646
Вот в линуксе другое дело - чтобы получить карту памяти процесса, нужно всего лишь написать парсер текстового файла. Это гораздо удобнее, чем запоминать всякие там VirtualQuery!
Вот в линуксе другое дело - в эльфах есть сегменты и секции, на секции лоадеру насрать, но тем не менее большинство файлов их с собой таскают. Эльфы грузит как бы ядро, но это пока эльфы не с динамической линковкой. В этом случае эльфы грузит (и заново парсит, блять) как бы ld, но как бы не всегда. А формат как бы ОТКРЫТЫЙ и документированный, но сплошь и рядом objdump -d показывает хуй, а readelf так и вообще сегфолт.
Вот в линуксе другое дело - чтобы скопировать с машины на машину программу, нужно просто взять исходники и скомпилировать программу на целевой машине. Ой, попутно еще поставить перл для мэйка, графические либы для перла, ффмпег для графических либ, иксы для ффмпега... ой, вот уже и гном на машине завелся. А по-другому никак, совместимость ведь не нужна, в глибц опять поправили оформление кода и бампнули версию - пересобирай свои хелловорлды, тебе заняться нечем. А хочешь ебаться по-особому - попробуй линковаться статически, тебе обязательно понравится!
> миллиард API функций
Вот в линуксе другое дело - чтобы получить карту памяти процесса, нужно всего лишь написать парсер текстового файла. Это гораздо удобнее, чем запоминать всякие там VirtualQuery!
> Обрыганское, совершенно конченное строение бинарников
Вот в линуксе другое дело - в эльфах есть сегменты и секции, на секции лоадеру насрать, но тем не менее большинство файлов их с собой таскают. Эльфы грузит как бы ядро, но это пока эльфы не с динамической линковкой. В этом случае эльфы грузит (и заново парсит, блять) как бы ld, но как бы не всегда. А формат как бы ОТКРЫТЫЙ и документированный, но сплошь и рядом objdump -d показывает хуй, а readelf так и вообще сегфолт.
> обратная совместимость с никому не нужным говном мамонта
Вот в линуксе другое дело - чтобы скопировать с машины на машину программу, нужно просто взять исходники и скомпилировать программу на целевой машине. Ой, попутно еще поставить перл для мэйка, графические либы для перла, ффмпег для графических либ, иксы для ффмпега... ой, вот уже и гном на машине завелся. А по-другому никак, совместимость ведь не нужна, в глибц опять поправили оформление кода и бампнули версию - пересобирай свои хелловорлды, тебе заняться нечем. А хочешь ебаться по-особому - попробуй линковаться статически, тебе обязательно понравится!
Я иногда в ахуе. Как люди, пишущие про "МИЛЛИАРД ФУНКЦИЙ" смогли хотя бы основные функции/методы стдлибы своего ЯП запомнить?
>>393686
Ну вот, например, я пишу на сишке больше 15 лет, но до сих пор не помню порядок количеств и размеров в calloc() и fread(). И ведь это всего лишь сишка, где в стандартной либе полторы функции.
Ну вот, например, я пишу на сишке больше 15 лет, но до сих пор не помню порядок количеств и размеров в calloc() и fread(). И ведь это всего лишь сишка, где в стандартной либе полторы функции.
>>393686
А зачем? IDE подскажет. Они без неё даже Hello World без ошибок не напишут.
А зачем? IDE подскажет. Они без неё даже Hello World без ошибок не напишут.
Щас бы быдлоспоры по поводу ОС начинать :-)
Хочешь заниматься вирусной аналитикой - грызи винду и желательно х86 архитектуру.
Хочешь заниматься встроенными системами, мобайл, интернетом вещей - грызи Линукс и желательно ARM архитектуру вдовесок.
Для каждой ОС есть своя область применения. Винда вечно будет популярна среди обычных юзеров, ибо это GUI oriented ОС, и 90% вирусов будет писаться именно под винду. Линукс же всегда будет доминировать на серверах и в мобилах+имбэддэд.
Точно также и со срачем х86 и ARM. Будем откровенными, ARM никогда не догонит х86 по производительности, а х86 не станет никогда такой же энергоэффективной, как ARM.
Два абсолютно разных, несовместимых друг с другом рынка.
Хочешь заниматься вирусной аналитикой - грызи винду и желательно х86 архитектуру.
Хочешь заниматься встроенными системами, мобайл, интернетом вещей - грызи Линукс и желательно ARM архитектуру вдовесок.
Для каждой ОС есть своя область применения. Винда вечно будет популярна среди обычных юзеров, ибо это GUI oriented ОС, и 90% вирусов будет писаться именно под винду. Линукс же всегда будет доминировать на серверах и в мобилах+имбэддэд.
Точно также и со срачем х86 и ARM. Будем откровенными, ARM никогда не догонит х86 по производительности, а х86 не станет никогда такой же энергоэффективной, как ARM.
Два абсолютно разных, несовместимых друг с другом рынка.
>>393694
По-моему базовая либа си последнего стандарта, независимо от компилятора в себе только хедеров штук 20 несёт. А в GCC так вообще сразу ставится glibc с тысячами функций не считая алиасов
По-моему базовая либа си последнего стандарта, независимо от компилятора в себе только хедеров штук 20 несёт. А в GCC так вообще сразу ставится glibc с тысячами функций не считая алиасов
>>393820
Ну я преувеличил, конечно, но в стандартной либе математика в основном, и еще wide-функции. А "обычных" часто используемых функций не так уж и много. И все это меркнет в сравнении с крестами или какой-нибудь джавой, которую, кажется, никто полностью не знает.
Ну я преувеличил, конечно, но в стандартной либе математика в основном, и еще wide-функции. А "обычных" часто используемых функций не так уж и много. И все это меркнет в сравнении с крестами или какой-нибудь джавой, которую, кажется, никто полностью не знает.
>>393686
А ты сидел и ботал все это? Ну и лох, иде и гугл все подскажет если надо будет. Гораздо важнее запоминать технологии, как писать код можно, а как нельзя и другие фундаментальные вещи.
А ты сидел и ботал все это? Ну и лох, иде и гугл все подскажет если надо будет. Гораздо важнее запоминать технологии, как писать код можно, а как нельзя и другие фундаментальные вещи.
>>393752
Вирусный аналитик должен знать и то и другое. Сидя на одной ОС далеко не уедешь.
Вирусный аналитик должен знать и то и другое. Сидя на одной ОС далеко не уедешь.
Кто-нибудь пытался написать свой протектор? Или все вмпротекту доверяют? Начал писать пакер и понял, что все это бесполезно без нормального антидампа. Но как вообще можно предотвратить дамп? Scylla легко дампит и фиксит дамп на раз два.
А где вообще можно почитать о том, как с нуля написать простую навесную защиту с виртуализацией?
https://www.oreans.com/codevirtualizer.php
https://www.oreans.com/codevirtualizer.php
>>394002
Где почитать не знаю, погугли llvm.
Где почитать не знаю, погугли llvm.
>>393908
Разве что если ты джун-макака в ООО "Вазгенян Мессенджер" и не хочешь получить пизды от амбициозного тимлидера Заура Камазовича.
Только, в таком случае непонятно что ты забыл а этом треде
>гораздо важнее
Разве что если ты джун-макака в ООО "Вазгенян Мессенджер" и не хочешь получить пизды от амбициозного тимлидера Заура Камазовича.
Только, в таком случае непонятно что ты забыл а этом треде
>>394020
С++ уже наизусть весь выучил? Несешь хуйню. Я никогда в жизни не учил питон, яву и шарп, но если что-то нужно написать на этих яп, то беру и пишу без задней мысли с помощью доков. Зачем мне учить все это объясни пожалуйста. Еще раз повторяю, гораздо важнее ботать технологии, а не сам яп.
С++ уже наизусть весь выучил? Несешь хуйню. Я никогда в жизни не учил питон, яву и шарп, но если что-то нужно написать на этих яп, то беру и пишу без задней мысли с помощью доков. Зачем мне учить все это объясни пожалуйста. Еще раз повторяю, гораздо важнее ботать технологии, а не сам яп.
>>394024
А потом
А потом
>Сап двач чё за хуйня с этой виндой тупой блин нихуя не понимаю почему мой 2 мегабайтный софт крашит систему
269 Кб, 1009x1200Сап, низкоуровневые. Есть ли какая-то разница в int 20h и 4Ch функции int 21h? По описанию они одинаковые, вроде, есть причины использовать какой-то определенный выход из программы?
>>394036
Сам себе противоречишь.
Сам себе противоречишь.
Знающие, подскажите. Хочу что бы при запуске мой комп начал выполнять инструкции с флешки и нарисовал что то на экране. Все что я нахожу под древние архитектуры, а хочется по x64
>>393989
Какой толк с дампа, если код виртуализован? Да хотя бы если он просто расшифровывается перед выполнением и шифруется после? Ты должен предполагать, что виртуальное адресное пространство и системные вызовы полностью под контролем реверсера, а всякую антиотладку прикручивать лишь для того, чтобы киддисам не скучно было.
>>394066
Да, есть разница. Для int 20h CS должен указывать на PSP, а еще ты не можешь вернуть статус в ОС.
>>394211
LMGTFY: https://wiki.osdev.org/Entering_Long_Mode_Directly
Удачи с рисованием на экране без прерываний, в защищенном режиме и без малейшего понимания основ.
Какой толк с дампа, если код виртуализован? Да хотя бы если он просто расшифровывается перед выполнением и шифруется после? Ты должен предполагать, что виртуальное адресное пространство и системные вызовы полностью под контролем реверсера, а всякую антиотладку прикручивать лишь для того, чтобы киддисам не скучно было.
>>394066
Да, есть разница. Для int 20h CS должен указывать на PSP, а еще ты не можешь вернуть статус в ОС.
>>394211
> хочется по x64
LMGTFY: https://wiki.osdev.org/Entering_Long_Mode_Directly
Удачи с рисованием на экране без прерываний, в защищенном режиме и без малейшего понимания основ.
>>390255
Спасибо. В визуал студио по аналогии можно такое линкером наколдовать наверное. Есть умельцы итт?
Еще интересует сборка TLS без использования CRT, такое возможно вообще?
Спасибо. В визуал студио по аналогии можно такое линкером наколдовать наверное. Есть умельцы итт?
Еще интересует сборка TLS без использования CRT, такое возможно вообще?
>>394307
Думаю ты прав. Можешь посоветовать что в приоритете, на что в первую очередь стоит обратить внимание? Виртуализация? На данный момент имею:
Обычный pe-лодырь, как вот тут: https://kaimi.io/2012/09/pe-packer-step-by-step-1/
Антиотладочные трюки из книги The_Ultimate_Anti-Reversing_Reference 2011 года. Не знаю зачем тратил на это время, абсолютно все обходится плагином Scylla Hide. И парочку трюков с гитхабов/блогов.
Убрал все лишние зависимости, все возможные вызовы апи заменил сискалами. Что дальше делать не знаю.
Думаю ты прав. Можешь посоветовать что в приоритете, на что в первую очередь стоит обратить внимание? Виртуализация? На данный момент имею:
Обычный pe-лодырь, как вот тут: https://kaimi.io/2012/09/pe-packer-step-by-step-1/
Антиотладочные трюки из книги The_Ultimate_Anti-Reversing_Reference 2011 года. Не знаю зачем тратил на это время, абсолютно все обходится плагином Scylla Hide. И парочку трюков с гитхабов/блогов.
Убрал все лишние зависимости, все возможные вызовы апи заменил сискалами. Что дальше делать не знаю.
>>394315
Накидайте мануалов по виртуализации кода. Я написал простую VM и ассемблер нескольких инструкций для нее, но дальше не знаю, что делать. Хочу запилить йоба-криптор.
>Думаю ты прав. Можешь посоветовать что в приоритете, на что в первую очередь стоит обратить внимание? Виртуализация?
Накидайте мануалов по виртуализации кода. Я написал простую VM и ассемблер нескольких инструкций для нее, но дальше не знаю, что делать. Хочу запилить йоба-криптор.
>>393989
Рискну предположить, что нужно пидорасить хэдеры и код распаковщика/декриптора перез передачей управления защищаемой программе. Естессно, это можно зареверсить и дампнуть в момент, когда образ загружен, но хэдеры еще не пидорнуты. Тут в бой вступает антиотладка, обфускация и тд
>Но как вообще можно предотвратить дамп?
Рискну предположить, что нужно пидорасить хэдеры и код распаковщика/декриптора перез передачей управления защищаемой программе. Естессно, это можно зареверсить и дампнуть в момент, когда образ загружен, но хэдеры еще не пидорнуты. Тут в бой вступает антиотладка, обфускация и тд
может кто дать пару подсказок как лучше написать задачу?прога стирающая экран при появлении сочетания латинской буквы "r" после любой цифры
Как во встроенном ассемблере вижуал студии зарезервировать байты более коротким способом, чем __emit, и чтобы инструкции резервирования можно было размещать по нескольку штук на одной строке?
__declspec(naked) void Shellcode()
{
__asm
{
pushad
call DeltaOffset
DeltaOffset:
pop ebp
sub ebp, offset DeltaOffset
lea eax, [ebp + dllPath]
push eax
mov eax, 0xEEEEEEEE
call eax
popad
push 0xEEEEEEEE
retn
dllPath:
__emit('C')
__emit(':')
__emit('\\')
__emit('\\')
}
}
__declspec(naked) void Shellcode()
{
__asm
{
pushad
call DeltaOffset
DeltaOffset:
pop ebp
sub ebp, offset DeltaOffset
lea eax, [ebp + dllPath]
push eax
mov eax, 0xEEEEEEEE
call eax
popad
push 0xEEEEEEEE
retn
dllPath:
__emit('C')
__emit(':')
__emit('\\')
__emit('\\')
}
}
Как во встроенном ассемблере вижуал студии зарезервировать байты более коротким способом, чем __emit, и чтобы инструкции резервирования можно было размещать по нескольку штук на одной строке?
__declspec(naked) void Shellcode()
{
__asm
{
pushad
call DeltaOffset
DeltaOffset:
pop ebp
sub ebp, offset DeltaOffset
lea eax, [ebp + dllPath]
push eax
mov eax, 0xEEEEEEEE
call eax
popad
push 0xEEEEEEEE
retn
dllPath:
__emit('C')
__emit(':')
__emit('\\')
__emit('\\')
}
}
__declspec(naked) void Shellcode()
{
__asm
{
pushad
call DeltaOffset
DeltaOffset:
pop ebp
sub ebp, offset DeltaOffset
lea eax, [ebp + dllPath]
push eax
mov eax, 0xEEEEEEEE
call eax
popad
push 0xEEEEEEEE
retn
dllPath:
__emit('C')
__emit(':')
__emit('\\')
__emit('\\')
}
}
>>394577
Попробую сделать макрос #define b(byte) __asm __emit
Не знаю, будет ли работать вложенная инструкция __asm внутри другого блока __asm
Попробую сделать макрос #define b(byte) __asm __emit
Не знаю, будет ли работать вложенная инструкция __asm внутри другого блока __asm
Как обрабатывать ошибки при заражении файла? В своем инфекторе для удобства я создал структуру:
struct FileInfo
{
....HANDLE hFile;
....HANDLE hMapping;
....LPBYTE hView;
....DWORD dwFileSize;
};
Функция открытия файла возвращает эту структуру. Если hFile == INVALID_HANDLE_VALUE, бросать исключение или возвращать пустую структуру?
struct FileInfo
{
....HANDLE hFile;
....HANDLE hMapping;
....LPBYTE hView;
....DWORD dwFileSize;
};
Функция открытия файла возвращает эту структуру. Если hFile == INVALID_HANDLE_VALUE, бросать исключение или возвращать пустую структуру?
>>394602
Поделитесь своими вкусами и мнениями об исключениях в лоу-лвл коденке. Нужны ли они или лучше писать goto cleanup как писали деды?
Поделитесь своими вкусами и мнениями об исключениях в лоу-лвл коденке. Нужны ли они или лучше писать goto cleanup как писали деды?
23,4 Мб, mp4,1280x720, 1:18
Я пока тут самый крутой
https://www.youtube.com/watch?v=tGFOvuOxwuU
Написал крутую прогу, которая сишнику даже не приснится.
https://www.youtube.com/watch?v=tGFOvuOxwuU
Написал крутую прогу, которая сишнику даже не приснится.
>>394675
Подтерся твоей прогой и пошел спать, завтра продолжать строить реальные решения для бизнеса, чем заниматься ассемблированием своего очка.
Подтерся твоей прогой и пошел спать, завтра продолжать строить реальные решения для бизнеса, чем заниматься ассемблированием своего очка.
>>394311
Сложно. Вероятно, нужно слинковаться с old-style импорт-либой или с либой, включающей в себя old-style импорт. Других идей у меня нет.
Да, гугли магический символ __tls_used.
>>394315
>>394445
Никогда не писал протекторы, но как бы бери llvm ir, или бери capstone и дизассемблируй, превращай инструкции в инструкции своей вм, все в твоих руках. Алсо, погугли мануалы и сдк коммерческих протекторов. Например, как там вызовами функций протектора "размечается" защищаемая функция.
>>394509
Любые хедеры можно пересоздать с нуля. Например, распакованный регион адресного пространства сдампить одним куском и сделать одной секцией. Да и много ты не напортишь. Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.
>>394577
Нинужно, ниподдерживается, делай отдельный асм-файл.
>>394602
Нинужно. Можно закрывать оба сразу же, как только создал вью.
Репорт за малварь.
>>394623
Да, ничего плохого в goto в данном случае нет.
>>394653
Как это никак? setjmp лол.
> В визуал студио по аналогии можно такое линкером наколдовать наверное
Сложно. Вероятно, нужно слинковаться с old-style импорт-либой или с либой, включающей в себя old-style импорт. Других идей у меня нет.
> TLS без использования CRT, такое возможно вообще?
Да, гугли магический символ __tls_used.
>>394315
>>394445
Никогда не писал протекторы, но как бы бери llvm ir, или бери capstone и дизассемблируй, превращай инструкции в инструкции своей вм, все в твоих руках. Алсо, погугли мануалы и сдк коммерческих протекторов. Например, как там вызовами функций протектора "размечается" защищаемая функция.
>>394509
> пидорасить хэдеры
Любые хедеры можно пересоздать с нуля. Например, распакованный регион адресного пространства сдампить одним куском и сделать одной секцией. Да и много ты не напортишь. Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.
>>394577
> во встроенном ассемблере
Нинужно, ниподдерживается, делай отдельный асм-файл.
>>394602
> ....HANDLE hFile;
> ....HANDLE hMapping;
Нинужно. Можно закрывать оба сразу же, как только создал вью.
> заражении файла
Репорт за малварь.
>>394623
Да, ничего плохого в goto в данном случае нет.
>>394653
> Исключения нужны, без них никак
Как это никак? setjmp лол.
>>394311
Сложно. Вероятно, нужно слинковаться с old-style импорт-либой или с либой, включающей в себя old-style импорт. Других идей у меня нет.
Да, гугли магический символ __tls_used.
>>394315
>>394445
Никогда не писал протекторы, но как бы бери llvm ir, или бери capstone и дизассемблируй, превращай инструкции в инструкции своей вм, все в твоих руках. Алсо, погугли мануалы и сдк коммерческих протекторов. Например, как там вызовами функций протектора "размечается" защищаемая функция.
>>394509
Любые хедеры можно пересоздать с нуля. Например, распакованный регион адресного пространства сдампить одним куском и сделать одной секцией. Да и много ты не напортишь. Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.
>>394577
Нинужно, ниподдерживается, делай отдельный асм-файл.
>>394602
Нинужно. Можно закрывать оба сразу же, как только создал вью.
Репорт за малварь.
>>394623
Да, ничего плохого в goto в данном случае нет.
>>394653
Как это никак? setjmp лол.
> В визуал студио по аналогии можно такое линкером наколдовать наверное
Сложно. Вероятно, нужно слинковаться с old-style импорт-либой или с либой, включающей в себя old-style импорт. Других идей у меня нет.
> TLS без использования CRT, такое возможно вообще?
Да, гугли магический символ __tls_used.
>>394315
>>394445
Никогда не писал протекторы, но как бы бери llvm ir, или бери capstone и дизассемблируй, превращай инструкции в инструкции своей вм, все в твоих руках. Алсо, погугли мануалы и сдк коммерческих протекторов. Например, как там вызовами функций протектора "размечается" защищаемая функция.
>>394509
> пидорасить хэдеры
Любые хедеры можно пересоздать с нуля. Например, распакованный регион адресного пространства сдампить одним куском и сделать одной секцией. Да и много ты не напортишь. Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.
>>394577
> во встроенном ассемблере
Нинужно, ниподдерживается, делай отдельный асм-файл.
>>394602
> ....HANDLE hFile;
> ....HANDLE hMapping;
Нинужно. Можно закрывать оба сразу же, как только создал вью.
> заражении файла
Репорт за малварь.
>>394623
Да, ничего плохого в goto в данном случае нет.
>>394653
> Исключения нужны, без них никак
Как это никак? setjmp лол.
>>394696
А если пидорасить ОЕР еще при упаковке и восстанавливать в TLS коллбэке и потом еще пидорасить CRT startup в отдельном треде после запуска?
Так речь же идет об упаковщике, как я понял. Распаковщик берет на себя задачи системного лоадера же. Он же может и пидорасить что нибудь после того, как отработает, не?
>Любые хедеры можно пересоздать с нуля.
А если пидорасить ОЕР еще при упаковке и восстанавливать в TLS коллбэке и потом еще пидорасить CRT startup в отдельном треде после запуска?
>Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.
Так речь же идет об упаковщике, как я понял. Распаковщик берет на себя задачи системного лоадера же. Он же может и пидорасить что нибудь после того, как отработает, не?
>>394830
Ну речь же о протекторе, в продакшне то софтина может и подписываться будет.
Ну речь же о протекторе, в продакшне то софтина может и подписываться будет.
>>394828
Разве что импорты, но (в простом варианте) IAT все равно останется, и останется одним куском, любой дампер импорты восстановит. Экспорты окончательно ломать нельзя: другая длл сделает GetProcAddress(GetModuleHandle("твоя_dll_или_exe"), "func"), а экспорты распидорашены. Ресурсы ломать нельзя: ты сам делаешь DialogBoxParam, а ресурсы распидорашены. Это все решаемо, конечно.
По-моему, Themida раньше так делала. Да и вообще, можно просто взять у нее чеклист: https://www.oreans.com/winlicense_features.php
> Он же может и пидорасить что нибудь после того, как отработает, не?
Разве что импорты, но (в простом варианте) IAT все равно останется, и останется одним куском, любой дампер импорты восстановит. Экспорты окончательно ломать нельзя: другая длл сделает GetProcAddress(GetModuleHandle("твоя_dll_или_exe"), "func"), а экспорты распидорашены. Ресурсы ломать нельзя: ты сам делаешь DialogBoxParam, а ресурсы распидорашены. Это все решаемо, конечно.
> CRT startup
По-моему, Themida раньше так делала. Да и вообще, можно просто взять у нее чеклист: https://www.oreans.com/winlicense_features.php
>>394847
Можно хоть весь хэдер затереть, если он не будет использоваться, сохранять его в каком-нибудь месте и восстанавливать по-надобности.
>>394830
Что за бред? Секция TLS ни о чем не говорит, это стандартная фича винды, ею пользуются почти все продвинутые десктоп приложения.
Вообщем анон выше прав, трюки все эти хорошо, но если вместо кода будет мусор, на разбор которого уйдет месяцок другой, вот это будет действительно неприятно ковырять крэкеру.
Можно хоть весь хэдер затереть, если он не будет использоваться, сохранять его в каком-нибудь месте и восстанавливать по-надобности.
>>394830
Что за бред? Секция TLS ни о чем не говорит, это стандартная фича винды, ею пользуются почти все продвинутые десктоп приложения.
Вообщем анон выше прав, трюки все эти хорошо, но если вместо кода будет мусор, на разбор которого уйдет месяцок другой, вот это будет действительно неприятно ковырять крэкеру.
574 Кб, 477x630Аноны, книга вышла пикрилейтед. Кто-нибудь знаком с творчеством сей авторов? Стоит брать, как считаете?
>>394681
Ой блять, реальное решение для бизнеса у него, у меня вот сейчас реально реальное решение для бизнеса. Высокоуровневые просто обосрутся от такой задачи, она простая но они обосрутся. А если не обосрутся, то всё будет дико тормозить.
Но мой пост был не о этом. А о том что ассемблер нужно !обуздать!. Ассемблер не хочет чтобы его изучали, он хочет работать.
Ой блять, реальное решение для бизнеса у него, у меня вот сейчас реально реальное решение для бизнеса. Высокоуровневые просто обосрутся от такой задачи, она простая но они обосрутся. А если не обосрутся, то всё будет дико тормозить.
Но мой пост был не о этом. А о том что ассемблер нужно !обуздать!. Ассемблер не хочет чтобы его изучали, он хочет работать.
>>394957
В результате моих действий, в конце-концов, пострадают плохие люди, плохие иженеры(и не иженеры вовсе). Которые сейчас потирают свои грязные ручёнки в ожидании большого(огромного) куша от моей конторы, но скоро им прийдёт сообщение: в ваших услугах не нуждаемся. Ниже я опишу что такое плохой инженер.
Плохой инженер не делает технику, не ремонтирует технику. Плохой инженер занижает цену на ремонт, потому что он, сука хитрая, просчитал что ему выгоднее из 10 аппаратов сделать 3 с очень лёгкой поломкой, а к остальным найти отмазку вроде Ремонту не подлежит.
СУКА, КАКЖЕ Я НЕНАВИЖУ ЭТИХ ПИДАРЮГ.
И сейчас эти пидары потюрают свои ручёнки, ага блять.. нашли спасательную ниточку в период кризиса, который они же и создали. Соснут хуйца, нехуй было меня злить.
В результате моих действий, в конце-концов, пострадают плохие люди, плохие иженеры(и не иженеры вовсе). Которые сейчас потирают свои грязные ручёнки в ожидании большого(огромного) куша от моей конторы, но скоро им прийдёт сообщение: в ваших услугах не нуждаемся. Ниже я опишу что такое плохой инженер.
Плохой инженер не делает технику, не ремонтирует технику. Плохой инженер занижает цену на ремонт, потому что он, сука хитрая, просчитал что ему выгоднее из 10 аппаратов сделать 3 с очень лёгкой поломкой, а к остальным найти отмазку вроде Ремонту не подлежит.
СУКА, КАКЖЕ Я НЕНАВИЖУ ЭТИХ ПИДАРЮГ.
И сейчас эти пидары потюрают свои ручёнки, ага блять.. нашли спасательную ниточку в период кризиса, который они же и создали. Соснут хуйца, нехуй было меня злить.
>>394982
Ахаха, всегда знал что реверсачеры поехавшие.
Но вот тут согласен.
Ахаха, всегда знал что реверсачеры поехавшие.
>Плохой инженер занижает цену на ремонт
Но вот тут согласен.
>>395332
Знание PE формата. Читай "Записки исследователя компьютерных вирусов" Криса
Знание PE формата. Читай "Записки исследователя компьютерных вирусов" Криса
>>395351
Спасибо аноныч
Спасибо аноныч
>>395421
Найди что-нибудь посовременнее. Книги Криса - классика, но только потому что в те времена другого не было. Эти книги состоят из ошибок, петросянства и базовой информации, в которой автор сам поверхностно разобрался во время написания книги. Читать Криса стоит, надеяться что-то понять, читая только лишь Криса - глупо.
Найди что-нибудь посовременнее. Книги Криса - классика, но только потому что в те времена другого не было. Эти книги состоят из ошибок, петросянства и базовой информации, в которой автор сам поверхностно разобрался во время написания книги. Читать Криса стоит, надеяться что-то понять, читая только лишь Криса - глупо.
Аноны, а почему в треде нет движухи по поводу ARM и реверсинга мобильных приложух/мобильных малварей и встраиваемых систем с выходом в тырнет? Годная тема же.
>>395483
В общем, недавно понял, что я не люблю винду, а люблю линукс, плюс узрел ARM асм краем глаза и он мне понравился. Подумываю вкатиться в это дело как следует.
Хотел спросить знает ли кто-то какие-то хорошие источники почитать/посмотреть. На инглише или русском, желательно офк на инглише. Кроме Linux internals, это и ежу понятно.
В общем, знатоки мобайл секьюрити и имбэдэда, если таковые имеются, закидайте меня годнотой плиз.
В общем, недавно понял, что я не люблю винду, а люблю линукс, плюс узрел ARM асм краем глаза и он мне понравился. Подумываю вкатиться в это дело как следует.
Хотел спросить знает ли кто-то какие-то хорошие источники почитать/посмотреть. На инглише или русском, желательно офк на инглише. Кроме Linux internals, это и ежу понятно.
В общем, знатоки мобайл секьюрити и имбэдэда, если таковые имеются, закидайте меня годнотой плиз.
>>395421
Устарели уже как лет 5 если не больше. Но все о чем он писал, знать необходимо.
Устарели уже как лет 5 если не больше. Но все о чем он писал, знать необходимо.
>>395494
Проблема арма в том что он наглухо проприетарно огорожен и в большинстве своих реализаций, из исключений разве что школомалина да микроконтроллеры на Cortex M. Кроме того арм очень многое не прощает в многопоточности что прокатывает на шинтеле по причине отсутсвия инвалидации кеша по умолчанию. SIMD там по прежнему с заебами "перед использованием включить те и те флаги и не забыть сохранить" аля MMX/3DNow.
>В общем, недавно понял, что я не люблю винду, а люблю линукс, плюс узрел ARM асм краем глаза и он мне понравился. Подумываю вкатиться в это дело как следует.
>Хотел спросить знает ли кто-то какие-то хорошие источники почитать/посмотреть. На инглише или русском, желательно офк на инглише. Кроме Linux internals, это и ежу понятно.
>В общем, знатоки мобайл секьюрити и имбэдэда, если таковые имеются, закидайте меня годнотой плиз.
Проблема арма в том что он наглухо проприетарно огорожен и в большинстве своих реализаций, из исключений разве что школомалина да микроконтроллеры на Cortex M. Кроме того арм очень многое не прощает в многопоточности что прокатывает на шинтеле по причине отсутсвия инвалидации кеша по умолчанию. SIMD там по прежнему с заебами "перед использованием включить те и те флаги и не забыть сохранить" аля MMX/3DNow.
>>395588
https://developer.arm.com/tools-and-software/open-source-software/developer-tools/gnu-toolchain/gnu-rm/downloads
> Как пользоваться сэмплами на арм асме из книги Юричева? Чем компилить сорцы под виндой?
https://developer.arm.com/tools-and-software/open-source-software/developer-tools/gnu-toolchain/gnu-rm/downloads
>>395589
Это не более-менее решаемая проблема. Чаще всего можно нарыть мануалы, а то и целые сдк у китайцев. Часто производители SoC закупают IP у одного и того же разработчика (тот же Synopsys DesignWare например), и поэтому можно использовать чужие мануалы, ну и в крайнем случае, можно худо-бедно отреверсить интересующие вещи.
> Проблема арма в том что он наглухо проприетарно огорожен
Это не более-менее решаемая проблема. Чаще всего можно нарыть мануалы, а то и целые сдк у китайцев. Часто производители SoC закупают IP у одного и того же разработчика (тот же Synopsys DesignWare например), и поэтому можно использовать чужие мануалы, ну и в крайнем случае, можно худо-бедно отреверсить интересующие вещи.
Поясните пж, как вычисляется псевдокодом иды глобальная переменная класса относительно GOT (Global Offset Table). Xrefs не видит, а в псевдокоде есть. В процесс включены операции со Stack Pointer'ом вида: LDR R12, [SP, #0x1A4+var_190]. Научите считать эту дичь.
>>396674
Ну вот смотри. Вся адресация очень простая: в GOT при загрузке кладутся правильные (абсолютные) адреса всякой хуйни, ты знаешь офсет GOT относительно своего кода (при линковке впатчивается линкером), но ты не знаешь, куда именно загрузили твой код. И ты идешь с конца: читаешь из PC адрес кода, вычисляешь относительно этого адреса адрес GOT, читаешь из нужного элемента GOT абсолютный адрес данных, работаешь с этими данными по этому адресу.
По 004D9E14 вычисляется абсолютный адрес GOT: PC + офсет. Не забывай, что инструкции, читающие PC, получают не адрес текущей инструкции, а адрес текущей инструкции + 8, потому что конвейер, потому что ARM. Т.е., чтобы посчитать адрес GOT относительно PC, наш офсет должен быть равен $_GLOBAL_OFFSET_TABLE_ - (0x4D9E14 + 8), мы его берем из R8, а положили его туда по по 004D9E04 (сравни - офсет правильный). В результате после выполнения R8 = PC + R8, в R8 у тебя адрес GOT.
Дальше по 004D9E10 в R3 грузится смещение нужного элемента относительно начала GOT, в котором IDA облажалась (как обычно). Тыкни H по этому литералу, чтобы увидеть просто число, потом тыкни Ctrl+R по нему же (если ничего не произойдет - сходи в конец функции и поищи этот литерал там). В диалоге Reference information пересчитай адрес относительно GOT: type=32-bit full offset, base address = $_GLOBAL_OFFSET_TABLE_ (или адрес GOT числом напиши), галки снять, target address = 0xFFFFFFFF. После этого во втором операнде LDR ты должен заметить правильное имя переменной (имя_ptr). Если видишь что-то типа "dword_abcd - $_GLOBAL_OFFSET_TABLE_" или "off_abcd - $_GLOBAL_OFFSET_TABLE_ " - Enter по имени, и переименовываешь вот это говно_abcd в имя_ptr, т.е., чтобы оно выглядело как имя_ptr dcd имя.
Ну и дальше. По 004D9E28 R3 (офсет в GOT) сохраняется на стеке (компилятор - говно). Дальше по 004D9E7C он обратно читается в R12. Т.е., в R8 GOT, в R12 офсет внутрь GOT, значит по 004D9E90 в R10 из GOT (R8 + R12) читается адрес переменной. Ну а следующие две инструкции пишут по этому адресу и еще рядом. Ну и раз это называется screen size, то очевидно это структура из width и height, тыкаешь Enter на k_screenSize, Alt+Q, все дела.
Ну вот смотри. Вся адресация очень простая: в GOT при загрузке кладутся правильные (абсолютные) адреса всякой хуйни, ты знаешь офсет GOT относительно своего кода (при линковке впатчивается линкером), но ты не знаешь, куда именно загрузили твой код. И ты идешь с конца: читаешь из PC адрес кода, вычисляешь относительно этого адреса адрес GOT, читаешь из нужного элемента GOT абсолютный адрес данных, работаешь с этими данными по этому адресу.
По 004D9E14 вычисляется абсолютный адрес GOT: PC + офсет. Не забывай, что инструкции, читающие PC, получают не адрес текущей инструкции, а адрес текущей инструкции + 8, потому что конвейер, потому что ARM. Т.е., чтобы посчитать адрес GOT относительно PC, наш офсет должен быть равен $_GLOBAL_OFFSET_TABLE_ - (0x4D9E14 + 8), мы его берем из R8, а положили его туда по по 004D9E04 (сравни - офсет правильный). В результате после выполнения R8 = PC + R8, в R8 у тебя адрес GOT.
Дальше по 004D9E10 в R3 грузится смещение нужного элемента относительно начала GOT, в котором IDA облажалась (как обычно). Тыкни H по этому литералу, чтобы увидеть просто число, потом тыкни Ctrl+R по нему же (если ничего не произойдет - сходи в конец функции и поищи этот литерал там). В диалоге Reference information пересчитай адрес относительно GOT: type=32-bit full offset, base address = $_GLOBAL_OFFSET_TABLE_ (или адрес GOT числом напиши), галки снять, target address = 0xFFFFFFFF. После этого во втором операнде LDR ты должен заметить правильное имя переменной (имя_ptr). Если видишь что-то типа "dword_abcd - $_GLOBAL_OFFSET_TABLE_" или "off_abcd - $_GLOBAL_OFFSET_TABLE_ " - Enter по имени, и переименовываешь вот это говно_abcd в имя_ptr, т.е., чтобы оно выглядело как имя_ptr dcd имя.
Ну и дальше. По 004D9E28 R3 (офсет в GOT) сохраняется на стеке (компилятор - говно). Дальше по 004D9E7C он обратно читается в R12. Т.е., в R8 GOT, в R12 офсет внутрь GOT, значит по 004D9E90 в R10 из GOT (R8 + R12) читается адрес переменной. Ну а следующие две инструкции пишут по этому адресу и еще рядом. Ну и раз это называется screen size, то очевидно это структура из width и height, тыкаешь Enter на k_screenSize, Alt+Q, все дела.
>>396674
Ну вот смотри. Вся адресация очень простая: в GOT при загрузке кладутся правильные (абсолютные) адреса всякой хуйни, ты знаешь офсет GOT относительно своего кода (при линковке впатчивается линкером), но ты не знаешь, куда именно загрузили твой код. И ты идешь с конца: читаешь из PC адрес кода, вычисляешь относительно этого адреса адрес GOT, читаешь из нужного элемента GOT абсолютный адрес данных, работаешь с этими данными по этому адресу.
По 004D9E14 вычисляется абсолютный адрес GOT: PC + офсет. Не забывай, что инструкции, читающие PC, получают не адрес текущей инструкции, а адрес текущей инструкции + 8, потому что конвейер, потому что ARM. Т.е., чтобы посчитать адрес GOT относительно PC, наш офсет должен быть равен $_GLOBAL_OFFSET_TABLE_ - (0x4D9E14 + 8), мы его берем из R8, а положили его туда по по 004D9E04 (сравни - офсет правильный). В результате после выполнения R8 = PC + R8, в R8 у тебя адрес GOT.
Дальше по 004D9E10 в R3 грузится смещение нужного элемента относительно начала GOT, в котором IDA облажалась (как обычно). Тыкни H по этому литералу, чтобы увидеть просто число, потом тыкни Ctrl+R по нему же (если ничего не произойдет - сходи в конец функции и поищи этот литерал там). В диалоге Reference information пересчитай адрес относительно GOT: type=32-bit full offset, base address = $_GLOBAL_OFFSET_TABLE_ (или адрес GOT числом напиши), галки снять, target address = 0xFFFFFFFF. После этого во втором операнде LDR ты должен заметить правильное имя переменной (имя_ptr). Если видишь что-то типа "dword_abcd - $_GLOBAL_OFFSET_TABLE_" или "off_abcd - $_GLOBAL_OFFSET_TABLE_ " - Enter по имени, и переименовываешь вот это говно_abcd в имя_ptr, т.е., чтобы оно выглядело как имя_ptr dcd имя.
Ну и дальше. По 004D9E28 R3 (офсет в GOT) сохраняется на стеке (компилятор - говно). Дальше по 004D9E7C он обратно читается в R12. Т.е., в R8 GOT, в R12 офсет внутрь GOT, значит по 004D9E90 в R10 из GOT (R8 + R12) читается адрес переменной. Ну а следующие две инструкции пишут по этому адресу и еще рядом. Ну и раз это называется screen size, то очевидно это структура из width и height, тыкаешь Enter на k_screenSize, Alt+Q, все дела.
Ну вот смотри. Вся адресация очень простая: в GOT при загрузке кладутся правильные (абсолютные) адреса всякой хуйни, ты знаешь офсет GOT относительно своего кода (при линковке впатчивается линкером), но ты не знаешь, куда именно загрузили твой код. И ты идешь с конца: читаешь из PC адрес кода, вычисляешь относительно этого адреса адрес GOT, читаешь из нужного элемента GOT абсолютный адрес данных, работаешь с этими данными по этому адресу.
По 004D9E14 вычисляется абсолютный адрес GOT: PC + офсет. Не забывай, что инструкции, читающие PC, получают не адрес текущей инструкции, а адрес текущей инструкции + 8, потому что конвейер, потому что ARM. Т.е., чтобы посчитать адрес GOT относительно PC, наш офсет должен быть равен $_GLOBAL_OFFSET_TABLE_ - (0x4D9E14 + 8), мы его берем из R8, а положили его туда по по 004D9E04 (сравни - офсет правильный). В результате после выполнения R8 = PC + R8, в R8 у тебя адрес GOT.
Дальше по 004D9E10 в R3 грузится смещение нужного элемента относительно начала GOT, в котором IDA облажалась (как обычно). Тыкни H по этому литералу, чтобы увидеть просто число, потом тыкни Ctrl+R по нему же (если ничего не произойдет - сходи в конец функции и поищи этот литерал там). В диалоге Reference information пересчитай адрес относительно GOT: type=32-bit full offset, base address = $_GLOBAL_OFFSET_TABLE_ (или адрес GOT числом напиши), галки снять, target address = 0xFFFFFFFF. После этого во втором операнде LDR ты должен заметить правильное имя переменной (имя_ptr). Если видишь что-то типа "dword_abcd - $_GLOBAL_OFFSET_TABLE_" или "off_abcd - $_GLOBAL_OFFSET_TABLE_ " - Enter по имени, и переименовываешь вот это говно_abcd в имя_ptr, т.е., чтобы оно выглядело как имя_ptr dcd имя.
Ну и дальше. По 004D9E28 R3 (офсет в GOT) сохраняется на стеке (компилятор - говно). Дальше по 004D9E7C он обратно читается в R12. Т.е., в R8 GOT, в R12 офсет внутрь GOT, значит по 004D9E90 в R10 из GOT (R8 + R12) читается адрес переменной. Ну а следующие две инструкции пишут по этому адресу и еще рядом. Ну и раз это называется screen size, то очевидно это структура из width и height, тыкаешь Enter на k_screenSize, Alt+Q, все дела.
Хочу написать свой дизассемблер по статье https://habr.com/ru/post/128042/ и интел мануалу. Посоветуйте простые реализации дизасма, чтобы можно было изучать теорию и смотреть, как дизассемблирование реализуется на практике. Я нашел крутые вещи типа VirXdasm (дизассемблер, который весит 333 байта), но там очень хардкорные алгосы.
>>396787
Крис Касперски тоже дает много теории, а практики у него нет. Он не показывает, как строятся таблицы, как происходит поиск в них и как обрабатываются составляющие части инструкции. Но излагает он более понятно.
Крис Касперски тоже дает много теории, а практики у него нет. Он не показывает, как строятся таблицы, как происходит поиск в них и как обрабатываются составляющие части инструкции. Но излагает он более понятно.
>>396683
Черт, гениально. После настройки в Reference information пойнтер сам обозначился именем, гайд однозначно золотой. А про width и height мне известно. Спасибо за столь развернутый ответ, однозначно сохраню его.
Черт, гениально. После настройки в Reference information пойнтер сам обозначился именем, гайд однозначно золотой. А про width и height мне известно. Спасибо за столь развернутый ответ, однозначно сохраню его.
>>396787
Ну короч берешь Intel SDM, там в конце 2 тома таблицы есть. Ты их копипастишь, разбираешь условные обозначения, разбираешь формат инструкций (в начале 2 тома) - получаешь дизассемблер. На недовасме поищи "Заклинание кода".
Ну короч берешь Intel SDM, там в конце 2 тома таблицы есть. Ты их копипастишь, разбираешь условные обозначения, разбираешь формат инструкций (в начале 2 тома) - получаешь дизассемблер. На недовасме поищи "Заклинание кода".
>>396917
Я хочу научиться писать оптимизированные алгоритмы, а не те, которые писал Зомби при помощи огромного switch case http://www.rohitab.com/discuss/topic/36031-defs-lde/
Я хочу научиться писать оптимизированные алгоритмы, а не те, которые писал Зомби при помощи огромного switch case http://www.rohitab.com/discuss/topic/36031-defs-lde/
>>396946
"У буквы "заин" долгая и богатая история. Многие поколения магов пытались определить, в чем заключается ее сокровенный смысл. Некоторые утвеждали, что она несет врагам смерть и страдания от разящего клинка, иные указывали на ее форму и говорили, что этот разящий клинок применим далеко не всегда и не везде, а только в некоторых, хотя и весьма ответственных операциях. "
Хорошее начало дизассемблирования, лол
>Заклинание кода
"У буквы "заин" долгая и богатая история. Многие поколения магов пытались определить, в чем заключается ее сокровенный смысл. Некоторые утвеждали, что она несет врагам смерть и страдания от разящего клинка, иные указывали на ее форму и говорили, что этот разящий клинок применим далеко не всегда и не везде, а только в некоторых, хотя и весьма ответственных операциях. "
Хорошее начало дизассемблирования, лол
>>396976
Нормально. Я прям чувствую его фанатизм. Не в пример двачерам.
Нормально. Я прям чувствую его фанатизм. Не в пример двачерам.
>>396946
Краткий гайд.
1. Делаешь запрос в гугле а не на дваче
fastest disassembler library
2. git clone...
3. Копаешься в тысячах строк кода сколько тебе угодно
4. Понимаешь, что лучше ничего придумать нельзя, одному уж точно
5. Пользуешься готовыми решениями и не выебываешься.
Краткий гайд.
1. Делаешь запрос в гугле а не на дваче
fastest disassembler library
2. git clone...
3. Копаешься в тысячах строк кода сколько тебе угодно
4. Понимаешь, что лучше ничего придумать нельзя, одному уж точно
5. Пользуешься готовыми решениями и не выебываешься.
>>397277
Капстоун нельзя назвать быстрым и тем более компактным решением. Медиана не поддерживается. Что-то другое подскажешь?
Расскажи это авторам вирусов из 90х, у которых дизассемблер длин с таблицами занимал полкило.
> Пользуешься готовыми решениями
Капстоун нельзя назвать быстрым и тем более компактным решением. Медиана не поддерживается. Что-то другое подскажешь?
> лучше ничего придумать нельзя
Расскажи это авторам вирусов из 90х, у которых дизассемблер длин с таблицами занимал полкило.
>>396787
загляни в гит эмулятора https://github.com/Ryujinx/Ryujinx красиво и просто написан на шарпе. сделаны таблицы для опкодов и т.д.
загляни в гит эмулятора https://github.com/Ryujinx/Ryujinx красиво и просто написан на шарпе. сделаны таблицы для опкодов и т.д.
>>378386
Истории уровня /b какие-то..
Хотя я конечно могу и ошибаться.
>Крис дважды по заданию шерифа участвовал в платных боевых операциях по задержанию бандитских группировок. В первой операции четверо ребят вместе с ним, не служивших в армии, брали банду из шести вооруженных человек. Крису пришлось первый раз в жизни, по необходимости, стрелять в человека. Все шестеро были задержаны.
Истории уровня /b какие-то..
Хотя я конечно могу и ошибаться.
Меня одного пугает Китай? Китайцы спокойно постят в своих блогах о том как пилят малварь, обходят разные продукты безопасности, буткиты, руткиты, анальные зонды. И их даже никто за это не бутылит! Информация размещена в свободном доступе, на всяких
новостных порталах аля наш XAKEP. Что за пиздец? У них такое законом не запрещено?
новостных порталах аля наш XAKEP. Что за пиздец? У них такое законом не запрещено?
>>399038
разрабатывать малварь не запрещено законом, запрещено распространять с целью порчи/кражи данных.
разрабатывать малварь не запрещено законом, запрещено распространять с целью порчи/кражи данных.
>>399038
можно линки на блоги?
можно линки на блоги?
>>399038
Так они же буржуйские программы вскрывают. За вскрытие программы из КНР их будет ждать что похуже побольше, чем бутылка.
>У них такое законом не запрещено?
Так они же буржуйские программы вскрывают. За вскрытие программы из КНР их будет ждать что похуже побольше, чем бутылка.
Сап,реверсач
есть сэмл app. any.run/tasks/d55 93b4d -1911- 4d4f-b60d-6eff182efd9b уберите пробелы
Накрыт KoiVM+confuser
Чем вскрывать и как?никаких идей
На tuts4you 1.5 упоминания и то вскользь
есть сэмл app. any.run/tasks/d55 93b4d -1911- 4d4f-b60d-6eff182efd9b уберите пробелы
Накрыт KoiVM+confuser
Чем вскрывать и как?никаких идей
На tuts4you 1.5 упоминания и то вскользь
>>399497
dnspy, ded4dot, любой анпакер для кофусера с гитхаба.
В чем проблема-то? Ты дебагером пользоваться умеешь?
dnspy, ded4dot, любой анпакер для кофусера с гитхаба.
В чем проблема-то? Ты дебагером пользоваться умеешь?
>>399663
де4дот вообще говно ебанное и виртуализацию не осилит
в днспае его нормально не выходит продебажить
де4дот вообще говно ебанное и виртуализацию не осилит
в днспае его нормально не выходит продебажить
>>399732
Если ты не можешь .net-помойку дебажить, то у меня для тебя плохие новости. Кроме того, зачем тебе девиртуализировать приложение? У тебя задача какая?
Если ты не можешь .net-помойку дебажить, то у меня для тебя плохие новости. Кроме того, зачем тебе девиртуализировать приложение? У тебя задача какая?
Чуваки, начал читать книгу Ирвина, в ней используют masm, а у меня линукс. Как быть, что посоветуете? Может выкрутиться как то можно, чтобы запустить masm на линуксе?
Книга нравится, кроме ассемблера рассказывает подробно про процессор. Поэтому другую читать нехочется. Остальные мне показались слабенькими. Может я не прав и есть крутые книги?
Книга нравится, кроме ассемблера рассказывает подробно про процессор. Поэтому другую читать нехочется. Остальные мне показались слабенькими. Может я не прав и есть крутые книги?
>>399853
Спасибо, но это виндовая утилита, а у меня линукс. Там сплошные батники и экзешники.
Спасибо, но это виндовая утилита, а у меня линукс. Там сплошные батники и экзешники.
Реверсач, а нахой юзать бесплатную кастрированную айду, если есть гуй Каттер от радар2 с таким же функционалом, только бесплатный и поддерживающий очень много архитектур?
>>399874
Действительно, нахой? Есть же торрент.
Кстати, пароль от архива с 7.2 ещё не слили?
В голосину.
>нахой юзать бесплатную кастрированную айду
Действительно, нахой? Есть же торрент.
Кстати, пароль от архива с 7.2 ещё не слили?
>с таким же функционалом
В голосину.
>>399964
fasm мощнее, nasm больше подходит для линукса, поддерживает привычную отладочную информацию без костылей.
fasm мощнее, nasm больше подходит для линукса, поддерживает привычную отладочную информацию без костылей.
>>399980
спасибо
спасибо
Вечер в хату!
Прохожу тут курсик по radare2 (да, я вижу по шапке, что он тут не в почёте, но мой вопрос не совсем по нему) - https://github.com/s4n7h0/Practical-Reverse-Engineering-using-Radare2
Там всё на элементарном уровне освоения команд, но вот с пятой лабой янихуянепонел. Задание "найти шелкод и понять что он делает". Ну символ obj.shellcode я вижу. Опкоды по нему парсятся в какое-то говно непонятное - https://pastebin.com/cZxZtJUt
ЧЯДНТ?
Прохожу тут курсик по radare2 (да, я вижу по шапке, что он тут не в почёте, но мой вопрос не совсем по нему) - https://github.com/s4n7h0/Practical-Reverse-Engineering-using-Radare2
Там всё на элементарном уровне освоения команд, но вот с пятой лабой янихуянепонел. Задание "найти шелкод и понять что он делает". Ну символ obj.shellcode я вижу. Опкоды по нему парсятся в какое-то говно непонятное - https://pastebin.com/cZxZtJUt
ЧЯДНТ?
>>400603
Спасибо!
сссука всё-таки дело в радаре оказалось...
"e bin.strings=false" сделал, конечно строковые константы при этом отвалились. Как реинтерпретировать конкретные байты так и не ясно.
Спасибо!
сссука всё-таки дело в радаре оказалось...
"e bin.strings=false" сделал, конечно строковые константы при этом отвалились. Как реинтерпретировать конкретные байты так и не ясно.
>>400589
Мне на С/C++ либа нужна. Есть годные?
Мне на С/C++ либа нужна. Есть годные?
>>400627
Берешь иду, видишь свою "строку", выбираешь ее мышью или стрелками, нажимаешь на клавиатуре C, профит. Берешь r2, нажимаешь кучу кнопочек, чтобы попасть в visual mode, куда-то все же попадаешь, теряешься в набегающих домиках и гей-параде из разноцветного ASCII-арта и цифр, но героически нажимаешь D C, тоже профит (или нет?).
Берешь иду, видишь свою "строку", выбираешь ее мышью или стрелками, нажимаешь на клавиатуре C, профит. Берешь r2, нажимаешь кучу кнопочек, чтобы попасть в visual mode, куда-то все же попадаешь, теряешься в набегающих домиках и гей-параде из разноцветного ASCII-арта и цифр, но героически нажимаешь D C, тоже профит (или нет?).
>>400829
Да, действительно. Хотя ни в одном cheat-sheet или quick start это не упоминалось, да и не трогал я этот visual mode.
За пол дня конечно хер столько команд и опций запомнить.
Да, действительно. Хотя ни в одном cheat-sheet или quick start это не упоминалось, да и не трогал я этот visual mode.
За пол дня конечно хер столько команд и опций запомнить.
В Си треде не отвечают. Продублирую сюда.
Аноны, пишу драйвер, использую стороннюю либу при инициализации, далее ею не пользуюсь, а весит она знатно, аж целый метр. В обычном приложении подгружаю длл по-надобности, потом выгружаю. В ядре как эти дела делаются? Неужели придется отдельный драйвер пилить, его дергать и потом выгружать?
Аноны, пишу драйвер, использую стороннюю либу при инициализации, далее ею не пользуюсь, а весит она знатно, аж целый метр. В обычном приложении подгружаю длл по-надобности, потом выгружаю. В ядре как эти дела делаются? Неужели придется отдельный драйвер пилить, его дергать и потом выгружать?
>>394956
Матросов годно шарит, он Intel BootGuard сломал пару лет назад. За остальных не скажу.
Матросов годно шарит, он Intel BootGuard сломал пару лет назад. За остальных не скажу.
>>402896
Эсдек плз.
Эсдек плз.
Аноны, приветствую.
Хочу научиться писать скрипты в айде для автоматизации статического анализа, слышал годная тема, особенно, если прога обфусцирована или же просто слишком грузная для ручной суходрочки.
Посоветуете что почитать или посмотреть. До этого писал скрипты только на баше, но всё же более или менее базовые.
Хочу научиться писать скрипты в айде для автоматизации статического анализа, слышал годная тема, особенно, если прога обфусцирована или же просто слишком грузная для ручной суходрочки.
Посоветуете что почитать или посмотреть. До этого писал скрипты только на баше, но всё же более или менее базовые.
>>403341
1) Любую книгу по питону.
2) idaapi.py/idc.py/idautils.py
3) Исходники проектов типа flare.
Это просто чтобы научиться писать скрипты хоть как-нибудь. Плюс теория. По теории не подскажу.
> что почитать
1) Любую книгу по питону.
2) idaapi.py/idc.py/idautils.py
3) Исходники проектов типа flare.
Это просто чтобы научиться писать скрипты хоть как-нибудь. Плюс теория. По теории не подскажу.
Сап, Антош. Хочу инжектить свою DLL во все виндовые процессы уровня пользователя в т.ч. svchost на постоянной основе на этапе их создания. Предусловия - полный физический и административный доступ к машине. ОС - шиндошс 10 х64. Я попробовал appinit_dlls, но оно работает только для того, что грузит user32.dll (очевидно). Как я понял, SSDT и вообще все фишки связанные с ядром соснулей, ибо требуют включения testsign для дров. Вроде есть варианты через колбэки и APC - это то, что мне надо? Где почитать?
>>403502
А тебе не кажется нелогичным, что под все остальные архитектуры, кроме интел, у gas сразу же, по умолчанию нормальный порядок операндов?
> AT&T кажется логичней
А тебе не кажется нелогичным, что под все остальные архитектуры, кроме интел, у gas сразу же, по умолчанию нормальный порядок операндов?
>>403497
Судя по твоему набору слов, ты понятия не имеешь что делаешь. Учи архитектуру ОС. Где ты вообще этот баянистый способ реализации руткита вычитал? Ему больше 20 лет.
Судя по твоему набору слов, ты понятия не имеешь что делаешь. Учи архитектуру ОС. Где ты вообще этот баянистый способ реализации руткита вычитал? Ему больше 20 лет.
>>403608
Как минимум общее представление имею, просто с конкретно такой задачей впервые столкнулся.
Пустые понты кидать не хочу, поэтому скажу, что в целом в курсе, могу не знать каких-то тонких деталей, необходимых для данного случая.
Который именно? В интернете, само собой. Если кинешь ссылку на что-то более актуальное - буду благодарен.
> Судя по твоему набору слов, ты понятия не имеешь что делаешь.
Как минимум общее представление имею, просто с конкретно такой задачей впервые столкнулся.
> Учи архитектуру ОС.
Пустые понты кидать не хочу, поэтому скажу, что в целом в курсе, могу не знать каких-то тонких деталей, необходимых для данного случая.
> Где ты вообще этот баянистый способ реализации руткита вычитал? Ему больше 20 лет.
Который именно? В интернете, само собой. Если кинешь ссылку на что-то более актуальное - буду благодарен.
Как ОС работает с dll/so в винде/линуксе при загрузке в процесс в случае системных либ типа kernel32.dll и пользовательских типа libmylib.so? Она создает копию либы в виртуальном пространстве процесса или создает отдельный процесс под эту либу (какой нибудь dllhost.exe/svchost.exe) и пользовательские процессы просто напрямую смотрят туда? Если два процесса импортируют одну и ту же либу, если один процесс в ней сделает детур на свой код, то повлияет ли это на второй процесс?
>>403748
Первое, только не копию, а отображение с коровой (COW). Это если очень по-простому. В линуксе нет "системных" либ, в винде это только ntdll.dll (kernel32.dll нужна только Win32 процессам).
Опять же COW, иначе каждый мамкин хакер загружал бы в память OpenSSL и отключал бы шифрование во всей системе.
> Как ОС работает с dll/so в винде/линуксе при загрузке в процесс в случае системных либ типа kernel32.dll и пользовательских типа libmylib.so? Она создает копию либы в виртуальном пространстве процесса или создает отдельный процесс под эту либу (какой нибудь dllhost.exe/svchost.exe) и пользовательские процессы просто напрямую смотрят туда?
Первое, только не копию, а отображение с коровой (COW). Это если очень по-простому. В линуксе нет "системных" либ, в винде это только ntdll.dll (kernel32.dll нужна только Win32 процессам).
> Если два процесса импортируют одну и ту же либу, если один процесс в ней сделает детур на свой код, то повлияет ли это на второй процесс?
Опять же COW, иначе каждый мамкин хакер загружал бы в память OpenSSL и отключал бы шифрование во всей системе.
>>403765
Прочитал про copy on write. А если у либы есть состояние и она сама в себя пишет при вызове определенной функции, чтобы его изменить. Что произойдет, если процесс А вызовет эту функцию? Изменение состояния либы будет заметно в процессе Б, использующем эту же либу? И еще, если ОС копирует в VM процесса либу во время первой записи, то эта либа как то хостится ОСью? Для этого есть какие нибудь системные процессы, или это где то в кишках ОС зарыто и из пользовательского пространства до туда не добраться?
Прочитал про copy on write. А если у либы есть состояние и она сама в себя пишет при вызове определенной функции, чтобы его изменить. Что произойдет, если процесс А вызовет эту функцию? Изменение состояния либы будет заметно в процессе Б, использующем эту же либу? И еще, если ОС копирует в VM процесса либу во время первой записи, то эта либа как то хостится ОСью? Для этого есть какие нибудь системные процессы, или это где то в кишках ОС зарыто и из пользовательского пространства до туда не добраться?
>>403771
С линуксами вроде понял. При загрузке процесса делается мемори мап на исполняемую и readonly секции shared object'а с дальнейшим копированием в VM space процесса при записи благодаря CoW, а writable-секции так и вовсе при запуске копируются в адресное пространство запускаемого процесса если верить гуру с stackoverflow. А что с видновсами? Я в эльфе не шарю, но вот в РЕ знаю, что file alignment и virtual alignment могут быть (и КМК, почти всегда) разные, там так просто файл не замапишь. Что в винде то происходит?
С линуксами вроде понял. При загрузке процесса делается мемори мап на исполняемую и readonly секции shared object'а с дальнейшим копированием в VM space процесса при записи благодаря CoW, а writable-секции так и вовсе при запуске копируются в адресное пространство запускаемого процесса если верить гуру с stackoverflow. А что с видновсами? Я в эльфе не шарю, но вот в РЕ знаю, что file alignment и virtual alignment могут быть (и КМК, почти всегда) разные, там так просто файл не замапишь. Что в винде то происходит?
>>403784
Да плюс на минус то же самое, с другими названиями и реализациями. В теории и архитектуре ОСей последние лет так 30 если не 50 никаких существенных изменений не происходило, и старый добрый Таненбаум до сих пор прекрасно все описывает. Совершенствуются конкретные механизмы, да - за ними тебе к Руссиновичу и в исходники ReactOS.
> Что в винде то происходит?
Да плюс на минус то же самое, с другими названиями и реализациями. В теории и архитектуре ОСей последние лет так 30 если не 50 никаких существенных изменений не происходило, и старый добрый Таненбаум до сих пор прекрасно все описывает. Совершенствуются конкретные механизмы, да - за ними тебе к Руссиновичу и в исходники ReactOS.
7 Кб, 365x147сап,реверсач
что за протектор для дотнета?NB2.Properties(особо в них не шарю,извините)
в гугле пусто
что за протектор для дотнета?NB2.Properties(особо в них не шарю,извините)
в гугле пусто
>>403765
Кстати ntdll.dll не грузится в пико процессы.
> в винде это только ntdll.dll (kernel32.dll нужна только Win32 процессам).
Кстати ntdll.dll не грузится в пико процессы.
>>403700
Гугли cплайсинг.
>>403748
У тебя задача какая? Ты хочешь узнать можно ли похукать все глобально? Можно, но без танцев с бубнами не обойтись.
>>403765
Если процесс wow64, то еще 4 либы сверху, насколько я помню.
>>403928
IDA Skins гугли.
>>403916
Выглядит как обычный конфусер. Гугли de4dot.
Гугли cплайсинг.
>>403748
У тебя задача какая? Ты хочешь узнать можно ли похукать все глобально? Можно, но без танцев с бубнами не обойтись.
>>403765
>только ntdll.dll
Если процесс wow64, то еще 4 либы сверху, насколько я помню.
>>403928
IDA Skins гугли.
>>403916
Выглядит как обычный конфусер. Гугли de4dot.
>>404251
А ты думал тебе чистенький сурс вытащат? Нет таких инструментов. Вообще пиздуйте в C# тред со своими кофусерами, заебали срать здесь высокоуровневой парашей.
А ты думал тебе чистенький сурс вытащат? Нет таких инструментов. Вообще пиздуйте в C# тред со своими кофусерами, заебали срать здесь высокоуровневой парашей.
>>404292
Ну тогда в PHP-тред, там даже кнопку ответа не найдут.
Ну тогда в PHP-тред, там даже кнопку ответа не найдут.
Объясните, пожалуйста, начнающему ассемблерщику мне. Я не понимаю. В Long mode (x86-64) опреранды могут задаваться их линейными адресами (в качестве immediate-аргументов в командах). Но ведь при загрузке требуемые данных (которые мы хотим адресовать) могут быть размещены достаточно произвольно - страница с данными может быть в разных местах памяти. И адрес данных будет меняться от загрузки к загрузке. А значение immediate-аргумента не изменяется. Как же инструкция доберётся до нужных данных? Видимо, я что-то упускаю. Извините, за корявую формулировку.
>>405062
Не совсем понял, о чем ты конкретно. Нарисовал бы пример что ли.
Таблица страниц.
Вместе с адресом кода. RIP-relative адресация, редко (гораздо реже, чем в 32-битном режиме) таблица поправок.
Не совсем понял, о чем ты конкретно. Нарисовал бы пример что ли.
> страница с данными может быть в разных местах памяти
Таблица страниц.
> адрес данных будет меняться от загрузки к загрузке
Вместе с адресом кода. RIP-relative адресация, редко (гораздо реже, чем в 32-битном режиме) таблица поправок.
>>405083
Ну вот например.
data: dd 123456789h
...
mov rax , [data]
Место данных data в памяти определяется во время загрузки, а immediate-аргумент команды mov ([data] - некоторый адрес) фиксирован (при трансляции, видимо).
Ну вот например.
data: dd 123456789h
...
mov rax , [data]
Место данных data в памяти определяется во время загрузки, а immediate-аргумент команды mov ([data] - некоторый адрес) фиксирован (при трансляции, видимо).
>>405174
Какая оптимизация? Ты уверен, что хорошо понимаешь, как действуеет ассемблер, и для чего он применяется?
Какая оптимизация? Ты уверен, что хорошо понимаешь, как действуеет ассемблер, и для чего он применяется?
>>405146
Сосут по сравнению с чем? И что в них такого нового появилось за последние 30 лет?
>>405152
Ну вот, оно сассемблируется с ошибками, потому что ты кладешь дворд в rax, а еще потому что 123456789h не влезает в dd с вычислением адреса относительно адреса следующей инструкции, т.е. будет:
mov rax,[rip+(data-next_instruction)]
next_instruction:
...
data dq 123456789h
Вот если бы у тебя положение секции данных менялось относительно кода, то при загрузке пришлось бы патчить адреса.
>>405177
У асмов есть оптимизация. Например, можно воткнуть длинный jmp, а можно короткий. Это работает. Остальную оптимизацию делает приставка к клавиатуре.
Сосут по сравнению с чем? И что в них такого нового появилось за последние 30 лет?
>>405152
Ну вот, оно сассемблируется с ошибками, потому что ты кладешь дворд в rax, а еще потому что 123456789h не влезает в dd с вычислением адреса относительно адреса следующей инструкции, т.е. будет:
mov rax,[rip+(data-next_instruction)]
next_instruction:
...
data dq 123456789h
Вот если бы у тебя положение секции данных менялось относительно кода, то при загрузке пришлось бы патчить адреса.
>>405177
У асмов есть оптимизация. Например, можно воткнуть длинный jmp, а можно короткий. Это работает. Остальную оптимизацию делает приставка к клавиатуре.
>>405177
Ну говорят, что компиляторы С/С++ сейчас оптимизированы гораздо лучше АСМовских.
Ну говорят, что компиляторы С/С++ сейчас оптимизированы гораздо лучше АСМовских.
>>405179
А есть какой-нибудь кроссплатформенный ассемблер и бесплатный, но чтобы быстро было?
А есть какой-нибудь кроссплатформенный ассемблер и бесплатный, но чтобы быстро было?
>>405182
А есть какой-нибудь кроссплатформенный машинный код?
Или кроссплатформенность начинается только с АСМа?
А есть какой-нибудь кроссплатформенный машинный код?
Или кроссплатформенность начинается только с АСМа?
>>405179
То есть абсолютных адресов в immediate-аргументах не бывает?
А что если они загружаются (или даже транслируются) по отдельности? Что, вообще с раздельной сборкой?
Как это делается?
>относительно адреса следующей инструкции
То есть абсолютных адресов в immediate-аргументах не бывает?
>Вот если бы у тебя положение секции данных менялось относительно кода
А что если они загружаются (или даже транслируются) по отдельности? Что, вообще с раздельной сборкой?
>патчить адреса
Как это делается?
>>405179
Кстати адресация в immediate-аргументах в виде (сегментный регистр + immediate-смещение) имеет смысл в Long mode?
Кстати адресация в immediate-аргументах в виде (сегментный регистр + immediate-смещение) имеет смысл в Long mode?
>>405200
Сухая вода? Выбери одно или машинно-специфичный язык (машинный код) или код не зависящий от платформы ('машины').
>кроссплатформенный машинный код
Сухая вода? Выбери одно или машинно-специфичный язык (машинный код) или код не зависящий от платформы ('машины').
>>405205
Ну хватит уже это immediate называть. immediate - это значение, которое ты непосредственно используешь для чего-то, константа, число (в mov eax,1 единица - просто число), поэтому оно immediate и называется. А ты говоришь про офсеты.
Бывают абсолютные адреса. Эффективная адресация осталась, ты можешь не использовать в ней scale/index/base, оставив только 32-битное смещение, тем самым получив абсолютный адрес в пределах первых 4 гб. Алсо, есть mov rax с 64-битным офсетом (да, только для rax).
Линкер, когда занимается связаванием (link) символов, как раз патчит все ссылки на символ так, как будет в памяти.
Ну формируется список адресов (у линкера или если мы про рантайм - то в исполняемый файл кладется) и типов поправок (ну где относительный адрес, где абсолютный, где только кусок какой-нибудь, там дохуя вариантов, особенно для некоторых особо хитровыебанных процессоров). Ну и код (линкер или загрузчик) идет по списку и что-то делает в зависимости от типа. Например, в 32-битном коде для mov eax,[data] линкер положит в инструкцию правильный адрес data, а если у нас дллка виндовая, которая загружена не по своему предпочтительному адресу, то загрузчик прибавит к адресу data внутри инструкции разницу между предпочтительным адресом загрузки дллки и фактическим. Ну это самые простые примеры.
>>405209
Для fs/gs сохранилась более-менее, для остальных сегментных регистров база из дескриптора не учитывается и считается равной нулю.
>>405232
Считать ли x86-код кроссплатформенным, если его раньше всякие трансметы микрокодом выполняли?
> То есть абсолютных адресов в immediate-аргументах не бывает?
Ну хватит уже это immediate называть. immediate - это значение, которое ты непосредственно используешь для чего-то, константа, число (в mov eax,1 единица - просто число), поэтому оно immediate и называется. А ты говоришь про офсеты.
Бывают абсолютные адреса. Эффективная адресация осталась, ты можешь не использовать в ней scale/index/base, оставив только 32-битное смещение, тем самым получив абсолютный адрес в пределах первых 4 гб. Алсо, есть mov rax с 64-битным офсетом (да, только для rax).
> А что если они загружаются (или даже транслируются) по отдельности?
Линкер, когда занимается связаванием (link) символов, как раз патчит все ссылки на символ так, как будет в памяти.
> Как это делается?
Ну формируется список адресов (у линкера или если мы про рантайм - то в исполняемый файл кладется) и типов поправок (ну где относительный адрес, где абсолютный, где только кусок какой-нибудь, там дохуя вариантов, особенно для некоторых особо хитровыебанных процессоров). Ну и код (линкер или загрузчик) идет по списку и что-то делает в зависимости от типа. Например, в 32-битном коде для mov eax,[data] линкер положит в инструкцию правильный адрес data, а если у нас дллка виндовая, которая загружена не по своему предпочтительному адресу, то загрузчик прибавит к адресу data внутри инструкции разницу между предпочтительным адресом загрузки дллки и фактическим. Ну это самые простые примеры.
>>405209
> сегментный регистр +
Для fs/gs сохранилась более-менее, для остальных сегментных регистров база из дескриптора не учитывается и считается равной нулю.
>>405232
Считать ли x86-код кроссплатформенным, если его раньше всякие трансметы микрокодом выполняли?
>>405248
В смысле, для al/ax/eax/rax, и, конечно же, не только в регистр, но и обратно, из регистра в память.
> есть mov rax с 64-битным офсетом (да, только для rax)
В смысле, для al/ax/eax/rax, и, конечно же, не только в регистр, но и обратно, из регистра в память.
>>404267
И ведь никто не помог! Решение: поместить либу в отдельную секцию и пометить ее как сбрасываемую. После инициализации драйвера, загрузчик винды сам её выгрузит.
И ведь никто не помог! Решение: поместить либу в отдельную секцию и пометить ее как сбрасываемую. После инициализации драйвера, загрузчик винды сам её выгрузит.
>>405248
Извините ещё раз за корявость формулировок. Ты прав. Это называется "смещение в команде".
А если без линкера? Что в случае сборки в бинарный файл?
Думаю, сейчас нет. Машинные инструкции и сейчас в микрокод транслируется процессором. Но ведь программисту микрокоды недоступны. И машинный язык однозначно определён архитектурой ЦП. Нет тут кросплатформенности (в нынешних x86 процессорах).
>Ну хватит уже это immediate называть.
Извините ещё раз за корявость формулировок. Ты прав. Это называется "смещение в команде".
>Линкер, когда занимается связаванием (link) символов, как раз патчит все ссылки на символ так, как будет в памяти.
А если без линкера? Что в случае сборки в бинарный файл?
>Считать ли x86-код кроссплатформенным, если его раньше всякие трансметы микрокодом выполняли?
Думаю, сейчас нет. Машинные инструкции и сейчас в микрокод транслируется процессором. Но ведь программисту микрокоды недоступны. И машинный язык однозначно определён архитектурой ЦП. Нет тут кросплатформенности (в нынешних x86 процессорах).
>>405263
Не понял вопроса. Если у тебя ассемблер, нет секций и бинарник на выходе (допустим, fasm и format binary), то ассемблер все равно делает то же самое, что и линкер внутри себя, когда назначает адреса меткам и впатчивает эти адреса в инструкции.
Это пока процессор не твой собственный. Берешь, значит, много-много баксов и подходящую по размеру FPGA... Хотя вообще-то я пошутил.
Набор команд в x86 уже давно имеет мало отношения к архитектуре, это просто абстрактная хрень, которая живет лишь из-за необходимости поддерживать совместимость.
> А если без линкера? Что в случае сборки в бинарный файл?
Не понял вопроса. Если у тебя ассемблер, нет секций и бинарник на выходе (допустим, fasm и format binary), то ассемблер все равно делает то же самое, что и линкер внутри себя, когда назначает адреса меткам и впатчивает эти адреса в инструкции.
> Но ведь программисту микрокоды недоступны
Это пока процессор не твой собственный. Берешь, значит, много-много баксов и подходящую по размеру FPGA... Хотя вообще-то я пошутил.
> И машинный язык однозначно определён архитектурой ЦП
Набор команд в x86 уже давно имеет мало отношения к архитектуре, это просто абстрактная хрень, которая живет лишь из-за необходимости поддерживать совместимость.
>>405232
https://ru.wikipedia.org/wiki/Novec_1230
Я всё понимаю, но разве нельзя сделать такую штуку, которая будет некоторые кроссплатформенные команды перефигачивать под конкретное железо и ОС?
Полно их.
Только тут разница в низкоуровневом программировании, ниже, чем у АСМа.
>Сухая вода?
https://ru.wikipedia.org/wiki/Novec_1230
Я всё понимаю, но разве нельзя сделать такую штуку, которая будет некоторые кроссплатформенные команды перефигачивать под конкретное железо и ОС?
Полно их.
Только тут разница в низкоуровневом программировании, ниже, чем у АСМа.
Buf1 db 11
Len1 db ?
Opnd1 db 12 dup( ? )
Buf2 db 11
Len2 db ?
Opnd2 db 12 dup( ? )
Res db 12 dup(' '),'$'
codeseg
startupcode
push DS
pop ES
BEGIN:
;Ввод первого слагаемого
B1:
lea DX, Buf1
mov AH, 0Ah
int 21h
cmp Len1, 0
je B1
Помохите пожалуйста.
Переписываю потихонечку чужой код и не могу понять для чего тут Len1. Точнее я знаю, он туда засунет в последствии кол-во символов в строке.
Но что означает это?
cmp Len1, 0
je B1
Зачем сравнивать Len1 с нулём, и в случае равенства или нуля переходить обратно на начало?
Что это за колдунство?
В лен1 же нихуя нет.
Зачем он сравнивает?
Len1 db ?
Opnd1 db 12 dup( ? )
Buf2 db 11
Len2 db ?
Opnd2 db 12 dup( ? )
Res db 12 dup(' '),'$'
codeseg
startupcode
push DS
pop ES
BEGIN:
;Ввод первого слагаемого
B1:
lea DX, Buf1
mov AH, 0Ah
int 21h
cmp Len1, 0
je B1
Помохите пожалуйста.
Переписываю потихонечку чужой код и не могу понять для чего тут Len1. Точнее я знаю, он туда засунет в последствии кол-во символов в строке.
Но что означает это?
cmp Len1, 0
je B1
Зачем сравнивать Len1 с нулём, и в случае равенства или нуля переходить обратно на начало?
Что это за колдунство?
В лен1 же нихуя нет.
Зачем он сравнивает?
Buf1 db 11
Len1 db ?
Opnd1 db 12 dup( ? )
Buf2 db 11
Len2 db ?
Opnd2 db 12 dup( ? )
Res db 12 dup(' '),'$'
codeseg
startupcode
push DS
pop ES
BEGIN:
;Ввод первого слагаемого
B1:
lea DX, Buf1
mov AH, 0Ah
int 21h
cmp Len1, 0
je B1
Помохите пожалуйста.
Переписываю потихонечку чужой код и не могу понять для чего тут Len1. Точнее я знаю, он туда засунет в последствии кол-во символов в строке.
Но что означает это?
cmp Len1, 0
je B1
Зачем сравнивать Len1 с нулём, и в случае равенства или нуля переходить обратно на начало?
Что это за колдунство?
В лен1 же нихуя нет.
Зачем он сравнивает?
Len1 db ?
Opnd1 db 12 dup( ? )
Buf2 db 11
Len2 db ?
Opnd2 db 12 dup( ? )
Res db 12 dup(' '),'$'
codeseg
startupcode
push DS
pop ES
BEGIN:
;Ввод первого слагаемого
B1:
lea DX, Buf1
mov AH, 0Ah
int 21h
cmp Len1, 0
je B1
Помохите пожалуйста.
Переписываю потихонечку чужой код и не могу понять для чего тут Len1. Точнее я знаю, он туда засунет в последствии кол-во символов в строке.
Но что означает это?
cmp Len1, 0
je B1
Зачем сравнивать Len1 с нулём, и в случае равенства или нуля переходить обратно на начало?
Что это за колдунство?
В лен1 же нихуя нет.
Зачем он сравнивает?
>>405295
Ну видимо чтобы запросить ввод повторно, если юзер просто нажал Enter.
>>405296
У интела микрокод не документирован, обновления зашифрованы. Максимум, что есть - это статьи про какой-то очень древний AMD, у которого микрокод еще шел без шифрования.
>>405302
mov ah,09h
imov dx,_text
int 21h
int 20h
_text db 'Content-Type: text/plain',13,10,13,10,'Hello, world!$'
> Зачем он сравнивает?
Ну видимо чтобы запросить ввод повторно, если юзер просто нажал Enter.
>>405296
> А сейчас на микрокоде писать нельзя проги?
У интела микрокод не документирован, обновления зашифрованы. Максимум, что есть - это статьи про какой-то очень древний AMD, у которого микрокод еще шел без шифрования.
>>405302
> Так покажи примерчик хоть.
mov ah,09h
imov dx,_text
int 21h
int 20h
_text db 'Content-Type: text/plain',13,10,13,10,'Hello, world!$'
А что на видеокарты до сих пор не завезли кроссплатформенный Ассемблер?
У Нвидиа свои языки, у АМД свои.
Модели видях ещё новые нужны для новых языков.
Херня какая-то.
У Нвидиа свои языки, у АМД свои.
Модели видях ещё новые нужны для новых языков.
Херня какая-то.
>>405304
Пасиба. Понял. А если буковку ввести? Он сожрёт и пропустит дальше по коду?
> Ну видимо чтобы запросить ввод повторно, если юзер просто нажал Enter.
Пасиба. Понял. А если буковку ввести? Он сожрёт и пропустит дальше по коду?
>>405312
А если буковку ввести, то во втором байте буфера, т.е., в Len1 уже не будет 0 (а будет 1, например), сравнение не выставит ZF, je не сработает.
А если буковку ввести, то во втором байте буфера, т.е., в Len1 уже не будет 0 (а будет 1, например), сравнение не выставит ZF, je не сработает.
>>405310
ты глупый?
ты глупый?
>>405309
Речь идёт о программировании на машкоде, а не о перегоне в него из других языков, улавливаешь?
Так что твой АСМовский сервак ничем не особо не отличается от сервака на Раби. Только побыстрее работает в десятки раз и всё.
Речь идёт о программировании на машкоде, а не о перегоне в него из других языков, улавливаешь?
Так что твой АСМовский сервак ничем не особо не отличается от сервака на Раби. Только побыстрее работает в десятки раз и всё.
БАМП!
Для GPU ASM какой есть универсальный?
Для GPU ASM какой есть универсальный?
1,3 Мб, 1920x1036Бля, не вижу смысла учить ASM из-за такой хуеты с GPU.
Лучше тогда C/C++ взять, а GPU хуярить на универсальном OpenCL.
Лучше тогда C/C++ взять, а GPU хуярить на универсальном OpenCL.
>>405146
Современные писатели на АСМ сосут, это правда.
Современные писатели на АСМ сосут, это правда.
>>405335
Нет, не улавливаю. Хочешь - бери таблицу опкодов и пиши, только кроме кучи дополнительной ебли это ничем не будет отличаться от использования ассемблера. Никаких дополнительных преимуществ, ничего такого, что нельзя с точностью до бита воспроизвести из ассемблера.
>>405350
Не учи, разрешаю.
Нет, не улавливаю. Хочешь - бери таблицу опкодов и пиши, только кроме кучи дополнительной ебли это ничем не будет отличаться от использования ассемблера. Никаких дополнительных преимуществ, ничего такого, что нельзя с точностью до бита воспроизвести из ассемблера.
>>405350
> не вижу смысла учить ASM
Не учи, разрешаю.
>>405294
Стандартная библиотека называется. Ты из какого века вылез-то? У асма никогда не было кроссплатформенности.
Стандартная библиотека называется. Ты из какого века вылез-то? У асма никогда не было кроссплатформенности.
>>405429
Да это не троллинг. Сюда действительно иногда дебилы первокурсники из C/C++ тредов закатываются и начинают тупить. Тут только ОП-хуй который с сагой пишет всегда адекватный.
Да это не троллинг. Сюда действительно иногда дебилы первокурсники из C/C++ тредов закатываются и начинают тупить. Тут только ОП-хуй который с сагой пишет всегда адекватный.
>>405423
Тогда почему сразу С/С++ не взять?
Ебли же меньше, а скорость работы сложных программ уже выше, потому что не будешь вручную оптимизировать каждую строчку на АСМе.
Тогда почему сразу С/С++ не взять?
Ебли же меньше, а скорость работы сложных программ уже выше, потому что не будешь вручную оптимизировать каждую строчку на АСМе.
>>405451
Ты кроссассемблирование/кросскомпилляцию с кросплатформенностью (языка машинного) не путаешь?
Ты кроссассемблирование/кросскомпилляцию с кросплатформенностью (языка машинного) не путаешь?
>>405450
Я для тебя специально пояснил: между машинным кодом и ассемблером разница - только ебля. Между ассемблером и более высокоуровенвым языком разница в огромном количестве возможностей и полным контролем над кодом. Ну почти. В ассемблерах обычно ты не можешь выбирать из разных вариантов кодирования одной и той же инструкции, но ты всегда можешь написать под это макрос, если это почему-то важно.
Зависит только от тебя. Не от компилятора, а от тебя. И нет, причина использования высокоуровневых языков - скорость разработки, а не работы. Модификация оптимизированного ассемблерного кода может закончиться переписыванием с нуля.
Если ты не пишешь какую-нибудь жестокую математику для SIMD, хитровыебанный JIT, низкоуровневые процедуры для своей ОС типа сохранения/восстановления контектста или обработчика прерывания который все равно выполняет только самую грязную работу, а потом вызывает код на Си - без вариантов стоит брать нормальный высокоуровневый язык, а ассемблер использовать там, где он действительно необходим.
>>405438
Я не оп.
> Тогда почему сразу С/С++ не взять?
Я для тебя специально пояснил: между машинным кодом и ассемблером разница - только ебля. Между ассемблером и более высокоуровенвым языком разница в огромном количестве возможностей и полным контролем над кодом. Ну почти. В ассемблерах обычно ты не можешь выбирать из разных вариантов кодирования одной и той же инструкции, но ты всегда можешь написать под это макрос, если это почему-то важно.
> скорость работы сложных программ уже выше
Зависит только от тебя. Не от компилятора, а от тебя. И нет, причина использования высокоуровневых языков - скорость разработки, а не работы. Модификация оптимизированного ассемблерного кода может закончиться переписыванием с нуля.
> почему сразу С/С++ не взять?
Если ты не пишешь какую-нибудь жестокую математику для SIMD, хитровыебанный JIT, низкоуровневые процедуры для своей ОС типа сохранения/восстановления контектста или обработчика прерывания который все равно выполняет только самую грязную работу, а потом вызывает код на Си - без вариантов стоит брать нормальный высокоуровневый язык, а ассемблер использовать там, где он действительно необходим.
>>405438
> ОП-хуй который с сагой
Я не оп.
Хочу заняться фазингом. Сейчас у каждой второй десктоп приложухи драйвер под копотом, никто писать их толком не умеет, багоров куча. Подводные?
>>405304
Зашифрованы чем, универсальным интеловским ключом? Почему тогда до сих пор никто не вытащил из кремния этот ключ электронным микроскопом и не выложил в паблик? Я не верю, что там в каждом камне физическая защита уровня смарткарт на всем УУ.
>У интела микрокод не документирован, обновления зашифрованы
Зашифрованы чем, универсальным интеловским ключом? Почему тогда до сих пор никто не вытащил из кремния этот ключ электронным микроскопом и не выложил в паблик? Я не верю, что там в каждом камне физическая защита уровня смарткарт на всем УУ.
>>405481
Да, там предполагался 2048-битный RSA. И там несколько блоков под разные семейства с разными ключами:
https://www.dcddcc.com/docs/2014_paper_microcode.pdf
https://www.emsec.ruhr-uni-bochum.de/media/emma/veroeffentlichungen/2017/08/16/usenix17-microcode.pdf
Размер кристалла, техпроцесс. Это тебе не R3051 реверсить.
> Зашифрованы чем, универсальным интеловским ключом
Да, там предполагался 2048-битный RSA. И там несколько блоков под разные семейства с разными ключами:
https://www.dcddcc.com/docs/2014_paper_microcode.pdf
https://www.emsec.ruhr-uni-bochum.de/media/emma/veroeffentlichungen/2017/08/16/usenix17-microcode.pdf
> не вытащил из кремния этот ключ электронным микроскопом и не выложил в паблик
Размер кристалла, техпроцесс. Это тебе не R3051 реверсить.
>>405485
Ну у того же AMD есть такие возможности точно. Могли бы отреверсить и выложить, чтобы мимокрокодилы там регулярно находили всякие непотребства и опускали Intel. Гораздо дешевле, чем вкладываться в рекламу и всякое такое.
Ну у того же AMD есть такие возможности точно. Могли бы отреверсить и выложить, чтобы мимокрокодилы там регулярно находили всякие непотребства и опускали Intel. Гораздо дешевле, чем вкладываться в рекламу и всякое такое.
>>405472
Я так нихуя и не понял.
АСМ зачем нужен, если скорость почти та, что на С, но писать дольше и сложнее?
Если сравнить Питоноговно с этими языками, так он в десятки раз медленней работает, тут всё предельно ясно.
Но вот с выбором АСМ вместо С или плюсов не ясно.
Я так нихуя и не понял.
АСМ зачем нужен, если скорость почти та, что на С, но писать дольше и сложнее?
Если сравнить Питоноговно с этими языками, так он в десятки раз медленней работает, тут всё предельно ясно.
Но вот с выбором АСМ вместо С или плюсов не ясно.
>>405465
нет.
нет.
>>405663
На АСМе пишут куски кода в системах реального времени и ОС, в кодах вирусов, в софте встроенных систем. На чистом АСМе уже давно не программируют, уже как лет 40 точно.
Уметь читать чистый АСМ нужно реверсерам. Статический анализ = чтение чистого ассемблерного листинга с целью восстановить исходный алгоритм функции/блока кода/всей программы, нужное подчеркнуть. Для чего? Чтобы написать похожую программу, написать кряк для нее, найти дыру в безопасности для тех или иных целей и т.п. Нужное подчеркнуть, как говорится.
На АСМе пишут куски кода в системах реального времени и ОС, в кодах вирусов, в софте встроенных систем. На чистом АСМе уже давно не программируют, уже как лет 40 точно.
Уметь читать чистый АСМ нужно реверсерам. Статический анализ = чтение чистого ассемблерного листинга с целью восстановить исходный алгоритм функции/блока кода/всей программы, нужное подчеркнуть. Для чего? Чтобы написать похожую программу, написать кряк для нее, найти дыру в безопасности для тех или иных целей и т.п. Нужное подчеркнуть, как говорится.
Можете обьяснить BCD-числа и их умножение.
Такая ебанина пиздец. Мама я у них поел просто.
Точнее алгоритм перевода в неупакованный bcd у меня есть, вот он. https://pastebin.com/t4Kgs8hY
Но алгоритм не мой, я черт его знает что там происходит.
И умножение я хуй знает как сделать. Умножение через мул как то ниполучаицца.
Там сначала результат залетает в АХ, потом надо аам делать ради (исправления чего-то?), и результаты раскидываются по двум регистрам.
Теперь сразу два регистра выводить?
Йа тупой, арррр.
Такая ебанина пиздец. Мама я у них поел просто.
Точнее алгоритм перевода в неупакованный bcd у меня есть, вот он. https://pastebin.com/t4Kgs8hY
Но алгоритм не мой, я черт его знает что там происходит.
И умножение я хуй знает как сделать. Умножение через мул как то ниполучаицца.
Там сначала результат залетает в АХ, потом надо аам делать ради (исправления чего-то?), и результаты раскидываются по двум регистрам.
Теперь сразу два регистра выводить?
Йа тупой, арррр.
>>405663
Он нужен для выполнения специфических задач, где нужен прямой доступ к регистрам, например. Короче с асмом дела обстоят, как в том самом анекдоте: Ньюфаги не знают, олдфаги не помнят.
Он нужен для выполнения специфических задач, где нужен прямой доступ к регистрам, например. Короче с асмом дела обстоят, как в том самом анекдоте: Ньюфаги не знают, олдфаги не помнят.
>>405659
БАМП!
БАМП!
160 Кб, 640x468Народ, на каком АСМе можно написать программу, которая будет работать на 32 и 64 архитектуре, Intel, AMD, ARM, а также Винде, Линуксе, Маке и желательно Андроид с Айфоном?
>>405861
Он, конечно, троллит, но здравое зерно в этом есть. https://www.slideshare.net/ShaneWilton/one-shellcode-to-rule-them-all Подобные вещи сделать можно, но вот сделать именно программу будут мешать отличия файловых форматов.
Он, конечно, троллит, но здравое зерно в этом есть. https://www.slideshare.net/ShaneWilton/one-shellcode-to-rule-them-all Подобные вещи сделать можно, но вот сделать именно программу будут мешать отличия файловых форматов.
>>405743
Размечтался. Сейчас вирусы пишут на Node.js и тянут за собой хром с драйвером контроллера xBox.
> в кодах вирусов
Размечтался. Сейчас вирусы пишут на Node.js и тянут за собой хром с драйвером контроллера xBox.
>>405871
Ну, если он работает в реальном режиме и загружается с дискеты - нет. А иначе дергать ось тебе таки придется.
Ну, если он работает в реальном режиме и загружается с дискеты - нет. А иначе дергать ось тебе таки придется.
>>405879
А что компилятор не может на себя взять работу с АПИ, чтобы можно было сразу для любой оси писать?
А что компилятор не может на себя взять работу с АПИ, чтобы можно было сразу для любой оси писать?
>>405881
А компиляторов-то и нет. Можешь хоть в хекс-редакторе писать на асме, хотя это и несколько сложновато. Ну, com уж точно можно.
А компиляторов-то и нет. Можешь хоть в хекс-редакторе писать на асме, хотя это и несколько сложновато. Ну, com уж точно можно.
>>405886
А универсального апи вообще нет. Оно либо не универсальное, либо ограниченное и не позволяет пользоваться всеми возможностями ОС.
А универсального апи вообще нет. Оно либо не универсальное, либо ограниченное и не позволяет пользоваться всеми возможностями ОС.
>>405890
Аналогично. Стандартная библиотека не покрывает всего. Хотя странновато, что потоки в нее включили, а получение листинга директории - нет.
Аналогично. Стандартная библиотека не покрывает всего. Хотя странновато, что потоки в нее включили, а получение листинга директории - нет.
>>405895
тебе оставить?
тебе оставить?
71 Кб, 700x488Какой АСМ выбрать и как вкатиться побыстряку за пару дней?
Не смог найти книги "АСМ для чяйников", она есть?
Легко ли будет вкатиться после Пайтона?
Не смог найти книги "АСМ для чяйников", она есть?
Легко ли будет вкатиться после Пайтона?
46 Кб, 1366x728>>405916
Это ты тупая. Вот он, ассемблер. Деньги можно зарабатывать.
Это ты тупая. Вот он, ассемблер. Деньги можно зарабатывать.
>>405922
Что за допотопный шлак?
Что за допотопный шлак?
569 Кб, 430x615>>405940
У нас тут
У нас тут
>>405750
А в чем вопрос-то? У тебя есть два числа, состоящие из BCD-цифр. Берешь и умножаешь цифры в столбик, как в школе. Самый простой метод.
Ну берутся цифры одну за другой из ввода, приводится ASCII-код к 0..9 (используя тот факт, что '0'...'9' - это 0x30...0x39, поэтому можно просто взять младшие 4 бита), потом это все зачем-то двигается (хотя удобнее и логичнее хранить числа в little-endian, начиная с младшего разряда).
Ну потому что 09h умножить на 02h = 12h не будет валидным неупакованным BCD. И надо отнять и поделить получить две правильные цифры. Можешь это сделать медленнее вручную, через деление на 10, но это займет несколько инструкций, а тебе дали одну удобную, которая сама сделает из 12h = 18 = (18 / 10, 18 % 10) = (ah = 01h, al = 08h).
А в чем вопрос-то? У тебя есть два числа, состоящие из BCD-цифр. Берешь и умножаешь цифры в столбик, как в школе. Самый простой метод.
> я черт его знает что там происходит
Ну берутся цифры одну за другой из ввода, приводится ASCII-код к 0..9 (используя тот факт, что '0'...'9' - это 0x30...0x39, поэтому можно просто взять младшие 4 бита), потом это все зачем-то двигается (хотя удобнее и логичнее хранить числа в little-endian, начиная с младшего разряда).
> аам делать ради (исправления чего-то?)
Ну потому что 09h умножить на 02h = 12h не будет валидным неупакованным BCD. И надо отнять и поделить получить две правильные цифры. Можешь это сделать медленнее вручную, через деление на 10, но это займет несколько инструкций, а тебе дали одну удобную, которая сама сделает из 12h = 18 = (18 / 10, 18 % 10) = (ah = 01h, al = 08h).
Асмач, что за йоба-функции по типу: _enable(), _disable(), _writecr(), _mm_... итп? Очень часто их вижу в хэдерах, но не понимаю что они делают и для чего вообще нужны? Да, визуал студио.
>>405970
Так для чего в целом эти команды нужны? Какой спектр задач решать? Там хэдеры сотнями таких команд засраны.
Так для чего в целом эти команды нужны? Какой спектр задач решать? Там хэдеры сотнями таких команд засраны.
>>405978
Компутером управлять.
Компутером управлять.
>>405979
Ну например:
or ax,3030h
mov [output+0],ah
mov [output+1],al
mov dx,mesg
mov ah,09h
int 21h
...
mesg db 'Result is '
output db 'XX'
mesg2 db '.', 13, 10, '$'
Или:
or ax,3030h
push ax
mov dl,ah
mov ah,02h
int 21h
pop ax
mov dl,al
mov ah,02h
int 21h
Ну например:
or ax,3030h
mov [output+0],ah
mov [output+1],al
mov dx,mesg
mov ah,09h
int 21h
...
mesg db 'Result is '
output db 'XX'
mesg2 db '.', 13, 10, '$'
Или:
or ax,3030h
push ax
mov dl,ah
mov ah,02h
int 21h
pop ax
mov dl,al
mov ah,02h
int 21h
>>405989
это на каком асме?
это на каком асме?
>>405922
Atmel Studio (ранее AVR Studio) — основанная на Visual Studio бесплатная проприетарная интегрированная среда разработки (IDE) для разработки приложений для 8- и 32-битных микроконтроллеров семейства AVR и 32-битных микроконтроллеров семейства ARM от компании Atmel, работающая в операционных системах Windows NT/2000/XP/Vista/7/8/10.
Чо за лажа?
Atmel Studio (ранее AVR Studio) — основанная на Visual Studio бесплатная проприетарная интегрированная среда разработки (IDE) для разработки приложений для 8- и 32-битных микроконтроллеров семейства AVR и 32-битных микроконтроллеров семейства ARM от компании Atmel, работающая в операционных системах Windows NT/2000/XP/Vista/7/8/10.
Чо за лажа?
512x512>>406217
А если серьезно, то такие только на бумаге в теории есть. В реале запилить рабочий прототип практически невозможно, разве что в лабораторных условиях и то будет работать все через раз.
> на уровне гипервизора
> и ниже
А если серьезно, то такие только на бумаге в теории есть. В реале запилить рабочий прототип практически невозможно, разве что в лабораторных условиях и то будет работать все через раз.
>>406257
Ты серьезно думаешь, что такие руткиты выкладывают в паблик? Почитай слитые каталоги АНБ, охуеешь, какие вещи успешно реализуют.
Ты серьезно думаешь, что такие руткиты выкладывают в паблик? Почитай слитые каталоги АНБ, охуеешь, какие вещи успешно реализуют.
>>406505
Хуйню там слили у анб, никакими гипервизорами, фирмваре даже и не пахнет, сам модуль у них тоже тухлый. В паблике как раз есть вещи по-круче, особенно у китайцев.
Хуйню там слили у анб, никакими гипервизорами, фирмваре даже и не пахнет, сам модуль у них тоже тухлый. В паблике как раз есть вещи по-круче, особенно у китайцев.
Сап, аноны
Расскажите нубу кто шарит
Есть ли какая-то сила за разработкой драйверов? Ведь код драйвера имеет больше привелегий, нежели рядова прога (кольца 2 и 1, если не ошибаюсь)
Значит ли это, что существуют малвари, написанные в стиле драйверов? Или завернутые в драйвер?
Расскажите нубу кто шарит
Есть ли какая-то сила за разработкой драйверов? Ведь код драйвера имеет больше привелегий, нежели рядова прога (кольца 2 и 1, если не ошибаюсь)
Значит ли это, что существуют малвари, написанные в стиле драйверов? Или завернутые в драйвер?
Ну что у вас тут? Код то мало-мальский написали хоть, или может реверснули чёнить?
>>413049
Мать умрет
Мать умрет
Тред утонул или удален.
Это копия, сохраненная 29 июня 2019 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Это копия, сохраненная 29 июня 2019 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.