Вы уже говорите про морфинг, а морфить можно что угодно, хоть пых, хоть асм, хоть цэпэпэ, хоть вашу джавку. А вот декомпилить сишку не так то и просто, ибо оптимизатор добавляет свои огрехи.
Я и говорю, что тут интересного? Я правда смотрел только третью, ибо как сказали — она самая сложная. Если в первых двух интереснее ( что я сомневаюсь ), то извиняюсь.
Я мало понимаю, как подобные кряк ми связаны с анализом малвари. Точнее, совсем не понимаю. Если расшифровывать пошифрованные строки, то смысла нет, обычно нужно знать только куда стучит — это можно решить сниффером на другой машине, к которой зараженная подключается через проксю.
Декрипторы реверсить тоже не надо, достаточно поставить аппаратный бряк в середине где-нибудь NtProtectVirtualMemory/NtAllocateVirtualMemory, занопив все проверки на виртуалку/отладчик. Вот это было бы интересно реверсить и приближенно к реальности.
Если криптор RunPE, то на всем известные NtCreateThreadEx/NtCreateProcess, а там уже смотреть как инжект кода идет, на момент которого обычно все уже расшифрованно и достаточно тупо сдампить на диск.
А тут как будто им нужны крякеры софта, которые кейгены будут писать. И то кейгены устарели, уже тупо патчат проверку, при помощи чего их крякми будет принимать валид через 2 минуты работы реверсера.
Но могу вас расстроить — большинство «разработчиков» не учатся даже по таким статьям ( если их так можно назвать ). Аудитория хабра ( мы с вами, например ) как не странно — меньшинство. Сейчас очень большое количество вышло со всяких гикбрейнс, джавараш и т.д. Вот это страшно.
Страшно, когда в мобильных пром. роботах это просто дипломат с ноутом и роутером внутри, с подключенными по COM-порту моторами.
Страшно, когда в автомобиле встроенный компьютер — десктопная ОС в режиме киоска.
Страшно, когда преподы в универе допускают ошибки типа переполнения буфера и целого.
Любой интерпретатор написан на компилируемом яп, если получится создать такую ситуацию, что где-то при интерпретации происходит переполнение буфера — <цензура типа> всему интернету.
Взять хотя бы это: CVE-2017-5340 или просто посмотреть статистику.
Насчет защищенного сайта вы правы, да. Это довольно хороший яп, но когда речь идет о стратегически важных объектах он неприемлим. А в статье именно говорится о таких вещах как ракеты, ага, давайте на php devel studio их писать. Чет не очень.
Таки в качестве PoC достаточно вырвать данные из фаззера и запихнуть в отдельный эксплойт, который покрешит приложение. Такие поцы достаточно успешно принимают в довольно групных BugBounty.
Все же если эксплуатирование, то это уже эксплойт, а не PoC и прибыльнее не в багбаунти сдать, а на форумах продать
Не знаю дошли ли вы до практического эксплойтинга, но после этого начинаешь видеть дыры везде, абсолютно, даже не в IT. Меняется образ мышления, что ли. Как по мне умение найти дыры где угодно и есть основное качество безопасника.
браво, взять первый попавшийся банкбот и ворд макрос коих много и написать статью…
Так что все же с джавкой все проще обстоит.
Я мало понимаю, как подобные кряк ми связаны с анализом малвари. Точнее, совсем не понимаю. Если расшифровывать пошифрованные строки, то смысла нет, обычно нужно знать только куда стучит — это можно решить сниффером на другой машине, к которой зараженная подключается через проксю.
Декрипторы реверсить тоже не надо, достаточно поставить аппаратный бряк в середине где-нибудь NtProtectVirtualMemory/NtAllocateVirtualMemory, занопив все проверки на виртуалку/отладчик. Вот это было бы интересно реверсить и приближенно к реальности.
Если криптор RunPE, то на всем известные NtCreateThreadEx/NtCreateProcess, а там уже смотреть как инжект кода идет, на момент которого обычно все уже расшифрованно и достаточно тупо сдампить на диск.
А тут как будто им нужны крякеры софта, которые кейгены будут писать. И то кейгены устарели, уже тупо патчат проверку, при помощи чего их крякми будет принимать валид через 2 минуты работы реверсера.
Мое имхо, крякми не о чем.
Дайте мне малварку пореверсить, ISFB там, GOZI, отчет тестовый запилить ;)
А на деле нужно просто придумать такую строку, которая успешно пройдет по всем параметрам. :(
В прошлый раз помнится со всякими трюками было интереснее, а сейчас даже желания проходить нет, разгребая тонны проверок…
Но могу вас расстроить — большинство «разработчиков» не учатся даже по таким статьям ( если их так можно назвать ). Аудитория хабра ( мы с вами, например ) как не странно — меньшинство. Сейчас очень большое количество вышло со всяких гикбрейнс, джавараш и т.д. Вот это страшно.
Страшно, когда в мобильных пром. роботах это просто дипломат с ноутом и роутером внутри, с подключенными по COM-порту моторами.
Страшно, когда в автомобиле встроенный компьютер — десктопная ОС в режиме киоска.
Страшно, когда преподы в универе допускают ошибки типа переполнения буфера и целого.
Страшно, когда вообще смотришь на индустрию.
Мне — страшно. Лет через 5 будет вочдогс.
Взять хотя бы это: CVE-2017-5340 или просто посмотреть статистику.
Насчет защищенного сайта вы правы, да. Это довольно хороший яп, но когда речь идет о стратегически важных объектах он неприемлим. А в статье именно говорится о таких вещах как ракеты, ага, давайте на php devel studio их писать. Чет не очень.
anykenanyken не слушай, он тролль и наркоша. Хотя читни, пару дельных советов есть от него :D
Все же если эксплуатирование, то это уже эксплойт, а не PoC и
прибыльнее не в багбаунти сдать, а на форумах продатьRequest forbidden by administrative rules.
Даже на индексовой странице