Using native system calls

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Using native system calls отключены

Using native system calls
Подробнее >>

Популярность: 4 463 просмотров

Детектирование «On-Attach» метода отладчика

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Детектирование «On-Attach» метода отладчика отключены

This code presents pretty effective and nasty debugger «on attach»
detection. When debugger (every which uses debug apis) attach to the
target process NtContinue function is executed, this acts BEFORE
debugger stops on DebugBreak, so we have the ability to do some
nasty things while debugger is still loading the process, i think
you know what possibilities it gives.
Подробнее >>

Популярность: 3 349 просмотров

Антиотладочный трюк через trapflag

автор | 21 Декабрь, 2008
рубрики RCE программирование, Антиотладка | Комментарии к записи Антиотладочный трюк через trapflag отключены

Антиотладочный трюк через trapflag
Подробнее >>

Популярность: 3 648 просмотров

Восстанавливаем fixup (relocs)

автор | 21 Декабрь, 2008
рубрики RCE программирование | Комментарии к записи Восстанавливаем fixup (relocs) отключены

Программное восстановление релоков
Подробнее >>

Популярность: 3 465 просмотров
Теги:

Выжимаем из Delphi все возможное

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Выжимаем из Delphi все возможное отключены

В кругах низкоуровневых программистов существует устоявшееся мнение о том, что Delphi полный остой, так как не годится для системного программирования. Обьясняют это обычно тем, что компилятор генерирует медленный и большой код, а средний размер пустой формы с кнопкой — 400 килобайт. Обычно этим аргументация обычно и заканчивается (иногда просто говорят что дельфи дерьмо вообще без всякой аргументации). На форумах существуют «священные» войны между поклонниками С++ и Delphi, где каждый доказывает что его любимый язык лучше. Поклонники С++ обычно кричат про супернавороченный синтаксис и мошьные возможности ООП (при этом утверждая, что в системном программировании все это незаменимо!), а поклонники Delphi опять же кричат про те возможности ООП которых нет в С++ да и еще про то, что на дельфи все пишется куда проще. Мо моему мнению — это просто крики ламеров, так как по их словам можно заключить, что ни та ни другая сторона обычно ни про Delphi ни про C++ ничего толком не знает.
Подробнее >>

Популярность: 29 578 просмотров

Обход аппаратной реализации DEP в Windows

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Обход аппаратной реализации DEP в Windows отключены

Одним из самых значительных изменений, представленных Microsoft в Windows XP Service Pack 2 и Windows 2003 Server Service Pack 1, было поддержка новой возможности, названной Data Execution Prevention (DEP). Этот механизм позволяет делать именно то, что подразумевает его название: предотвращать выполнение кода в областях памяти не предназначенных для выполнения. Такая технология очень важна для предотвращения использования многих уязвимостей в программном обеспечении, так как большинство эксплойтов основано на хранении произвольного кода в областях памяти, не предназначенных для выполнения, например в стеке или куче.
Подробнее >>

Популярность: 5 246 просмотров

Антиотладочные трюки

автор | 21 Декабрь, 2008
рубрики Статьи | Комментарии к записи Антиотладочные трюки отключены

Главная цель этой работы состоит в том, чтобы показать методы защиты от исследования,
используемые упаковщиками/протекторами, а также обсудить методы и доступные инструменты,
которые могут использоваться, чтобы обойти или снять это защиты. Эта информация позволит
исследователям, особенно, malware-аналитикам идентифицировать эти методы используемые в
упакованном вредоносном программном коде, и затем обойти их и приступить к обычному анализу.
Представленная информация может также использоваться разработчиками, которые планируют
усилить защиту в их программном обеспечении и запретить реверсерам анализировать их
защищенный код. Хотя, конечно, квалифицированного, знающего и решительно настроенного
реверсера вряд ли что-то остановит.

В области обратной инженерии упаковщики — одна из самых интересных загадок. В процессе
решения этих головоломок реверсер получает ценные знания о куче разных вещей, таких как
внутренности операционной системы, различные хитрые уловки, инструменты и методы
исследования.

Упаковщики (термин, используемый в этой работе и для упаковщиков и для протекторов),
создаются, чтобы защитить исполняемые файлы от анализа. Они используются законно
коммерческими приложениями, чтобы предотвратить раскрытие кода, его изменение и пиратство. К
сожалению, malware-программы также используют упаковщики по тем же самым причинам, но в
злонамеренных целях.

Из-за большого количества упакованной малвари, исследователи и вирусные аналитики начали
осваивать разные трюки, чтобы распаковывать образцы для анализа. Однако, поскольку время идет,
новые методы защиты от анализа постоянно добавляются в упаковщики, чтобы препятствовать
анализу и распаковке. И этот круг продолжается — придумываются и развиваются новые методы
защиты, в то время как реверсеры с другой стороны баррикад придумывают способы и инструменты,
чтобы обойти их.

Подробнее >>

Популярность: 3 716 просмотров
Теги:

Создание собственного упаковщика исполняемых файлов

автор | 20 Декабрь, 2008
рубрики Статьи | Комментарии к записи Создание собственного упаковщика исполняемых файлов отключены

Незаконченная, но эксклюзивная статья про принципы создания простых пакеров. Основы для начинающего исследователя.
Подробнее >>

Популярность: 6 782 просмотров

Автоматическая распаковка: реальность или фантастика

автор | 20 Декабрь, 2008
рубрики Статьи | Комментарии к записи Автоматическая распаковка: реальность или фантастика отключены

В современном мире программного обеспечения давно сложилась ситуация, когда практически любое приложение, динамическая библиотека, скринсейвер или даже драйвер оказывается сжатым (или упакованным), что накладывает определенные ограничения на использование. Например, если простой пользователь программы захочет ее русифицировать или дизассемблировать, чтобы разобраться в каких-либо отдельных принципах ее функционирования, ему понадобиться в большинстве случаев ее распаковать.
Подробнее >>

Популярность: 9 868 просмотров

Смена движка

автор | 20 Апрель, 2008
рубрики Новости | Комментарии к записи Смена движка отключены

Движок был немного обновлён, различия были слишком большие, посему база данных пользователей потерялась. Приносим всем свои извинения, просьба перерегистрироваться.

Популярность: 2 628 просмотров
Теги: