Архив за Декабрь, 2008

Обнаружение VMWare

автор | 21 Декабрь, 2008
рубрики RCE программирование | Комментарии к записи Обнаружение VMWare отключены

Код, позволяет обнаружить, запускается ли программа в виртуальной среде VMWare.

Подробнее >>

Старые трюки обнаружений RCE инструментов

автор | 21 Декабрь, 2008
рубрики RCE программирование, Антиотладка | Комментарии к записи Старые трюки обнаружений RCE инструментов отключены

Старые трюки обнаружений RCE инструментов

Подробнее >>

Что влияет на работоспособность исполняемых файлов Microsoft Windows и хитрые трюки

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Что влияет на работоспособность исполняемых файлов Microsoft Windows и хитрые трюки отключены

Итак, побудило меня на написание этого документа то, что формат PE везде расписан, но что и как влияет на работоспособность программ — нигде и ничего! В результате, приходилось много времени тратить на то, чтобы устранить какую-либо ошибку из-за несовместимости той же защиты ORiEN с различными версиями операционной системы Windows.

Подробнее >>

Using native system calls

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Using native system calls отключены

Using native system calls

Подробнее >>

Детектирование «On-Attach» метода отладчика

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Детектирование «On-Attach» метода отладчика отключены

This code presents pretty effective and nasty debugger «on attach»
detection. When debugger (every which uses debug apis) attach to the
target process NtContinue function is executed, this acts BEFORE
debugger stops on DebugBreak, so we have the ability to do some
nasty things while debugger is still loading the process, i think
you know what possibilities it gives.

Подробнее >>

Антиотладочный трюк через trapflag

автор | 21 Декабрь, 2008
рубрики RCE программирование, Антиотладка | Комментарии к записи Антиотладочный трюк через trapflag отключены

Антиотладочный трюк через trapflag

Подробнее >>

Восстанавливаем fixup (relocs)

автор | 21 Декабрь, 2008
рубрики RCE программирование | Комментарии к записи Восстанавливаем fixup (relocs) отключены

Программное восстановление релоков

Подробнее >>

Теги:

Выжимаем из Delphi все возможное

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Выжимаем из Delphi все возможное отключены

В кругах низкоуровневых программистов существует устоявшееся мнение о том, что Delphi полный остой, так как не годится для системного программирования. Обьясняют это обычно тем, что компилятор генерирует медленный и большой код, а средний размер пустой формы с кнопкой — 400 килобайт. Обычно этим аргументация обычно и заканчивается (иногда просто говорят что дельфи дерьмо вообще без всякой аргументации). На форумах существуют «священные» войны между поклонниками С++ и Delphi, где каждый доказывает что его любимый язык лучше. Поклонники С++ обычно кричат про супернавороченный синтаксис и мошьные возможности ООП (при этом утверждая, что в системном программировании все это незаменимо!), а поклонники Delphi опять же кричат про те возможности ООП которых нет в С++ да и еще про то, что на дельфи все пишется куда проще. Мо моему мнению — это просто крики ламеров, так как по их словам можно заключить, что ни та ни другая сторона обычно ни про Delphi ни про C++ ничего толком не знает.

Подробнее >>

Обход аппаратной реализации DEP в Windows

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Обход аппаратной реализации DEP в Windows отключены

Одним из самых значительных изменений, представленных Microsoft в Windows XP Service Pack 2 и Windows 2003 Server Service Pack 1, было поддержка новой возможности, названной Data Execution Prevention (DEP). Этот механизм позволяет делать именно то, что подразумевает его название: предотвращать выполнение кода в областях памяти не предназначенных для выполнения. Такая технология очень важна для предотвращения использования многих уязвимостей в программном обеспечении, так как большинство эксплойтов основано на хранении произвольного кода в областях памяти, не предназначенных для выполнения, например в стеке или куче.

Подробнее >>

Антиотладочные трюки

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Антиотладочные трюки отключены

Главная цель этой работы состоит в том, чтобы показать методы защиты от исследования,
используемые упаковщиками/протекторами, а также обсудить методы и доступные инструменты,
которые могут использоваться, чтобы обойти или снять это защиты. Эта информация позволит
исследователям, особенно, malware-аналитикам идентифицировать эти методы используемые в
упакованном вредоносном программном коде, и затем обойти их и приступить к обычному анализу.
Представленная информация может также использоваться разработчиками, которые планируют
усилить защиту в их программном обеспечении и запретить реверсерам анализировать их
защищенный код. Хотя, конечно, квалифицированного, знающего и решительно настроенного
реверсера вряд ли что-то остановит.

В области обратной инженерии упаковщики — одна из самых интересных загадок. В процессе
решения этих головоломок реверсер получает ценные знания о куче разных вещей, таких как
внутренности операционной системы, различные хитрые уловки, инструменты и методы
исследования.

Упаковщики (термин, используемый в этой работе и для упаковщиков и для протекторов),
создаются, чтобы защитить исполняемые файлы от анализа. Они используются законно
коммерческими приложениями, чтобы предотвратить раскрытие кода, его изменение и пиратство. К
сожалению, malware-программы также используют упаковщики по тем же самым причинам, но в
злонамеренных целях.

Из-за большого количества упакованной малвари, исследователи и вирусные аналитики начали
осваивать разные трюки, чтобы распаковывать образцы для анализа. Однако, поскольку время идет,
новые методы защиты от анализа постоянно добавляются в упаковщики, чтобы препятствовать
анализу и распаковке. И этот круг продолжается — придумываются и развиваются новые методы
защиты, в то время как реверсеры с другой стороны баррикад придумывают способы и инструменты,
чтобы обойти их.

Подробнее >>

Теги:
Страница 2 из 3123