Все же она продержалась уже более 3-х лет эксклюзивом PS4.
Думаю, что в пометке "Console exclusive for limited time" речь идет о временном интервале менее года. Мне кажется, что для большинства игр этот интервал будет даже менее полугода.
Вредоносный процесс запускается под непривилегированным пользователем в той же сессии, что и процесс с целевым описателем. Открывает процесс с целевым описателем (на привилегированный процесс) для дублирования описателей из него к себе. Перебором дублирует описатели, получая описатель на привилегированный процесс. А дальше — миграция кода, например:
пишем вредоносный код в виде DLL (полезная нагрузка в DllMain) во временную директорию
записываем полый путь к DLL в привилегированный процесс (например — WriteProcessMemory)
создаем новую нить (CreateRemoteThread) в привилегированном процессе, точкой входа указывая LoadLibrary, а аргументом для LoadLibrary — записанный полный путь к вредоносной DLL
В результате в привилегированном процессе появляется новая нить, которая выполнит DllMain вредоносной DLL.
Это простейший сценарий, который имеет огромное количество вариаций, из того что прямо сейчас пришло в голову:
WriteProcessMemory может быть заменен на Atom Bombing, Windows Notification Facility (с которым будет взаимодействовать не ваш непосредственный кода, в какой-нибудь kernel32.dll) и т.п.
CreateRemoteThread может быть заменен на APC (Asynchronous Procedure Calls), изменение контекста существующей нити.
А завтра появятся новые трюки миграции кода между процессами. Поэтому стоит давать минимально необходимый набор разрешений.
Локальное повышение привилегий (Local Privilege Escalation), включая возможный выход из песочницы (из песочницы того же хрома, например). Как пример — шифровальщики: получая повышение привилегий могут добраться до данных всех пользователей текущей машины (а не только текущего пользователя). А вообще любая малварь может таскать с собой уязвимые бинари (особенно так любят делать, если уязвимый продукт имеет цифровую подпись), что бы обходить разные защиты (или даже атаковать-отключать работающие защиты). Для производителя продукта это, помимо репутационных потерь, черевато детектами со стороны антивирусов.
Если я ничего не путаю: так как разработка шла с серьезным вливанием денег со стороны государства МЦСТ не может в одностороннем порядке просто взять и открыть систему команд процессора. Поэтому идут какие-то бюрократические согласования (шли? может все уже согласовано) по поводу того как и в каком виде это выложить в "открытый доступ".
Free up to 300,000 DNS queries/month — $1.99/month (or $19.90/year) for unlimited queries.
If you decide to stay on the free plan, NextDNS will simply behave like a classic public resolver after reaching the 300,000 queries limit.
Business and Education plans starting at $19.90/month.
Интересно, сколько на домашнем роутере DNS-запросов в месяц в среднем? Нет у кого-то подобной статистики?
Интересно какая стратегия получения прибыли у компании.
Заявления о том, что логи не ведутся это хорошо, но на сервера и сотрудников нужны средства. Не хотелось бы стать предметом торговли.
Мы делаем с электроникой примерно то же самое, что делают программисты когда спускаются в ассемблер для упрощения кода, делая его фундаментально лучше и проще.
Осмелюсь предположить, что большинство современных программистов спускаются до ассемблера не для упрощения кода. А для того, что бы сделать что-то, что не позволяет высокоуровневый язык программирования: или функционально или по производительности. Я бы не назвал получившиеся куски ассемблера "фундаментально лучше и проще". Мой опыт говорит скорее про "написать, отладить и не трогать", так как поддержка ассемблерных листингов не самое приятное занятие.
фрезерованные детали, которые можно выдавить руками, соединить между собой, припаять к ним электронный компоненты и получить мини-робота, который может светиться и двигаться при помощи небольших электро-моторчиков
Хотели бы вы купить себе такой DIY набор?
Наверное я невнимательно читал публикацию, но я ничего не понял про сами наборы: собери и забудь или можно запрограммировать/модифицировать? Это один набор или линейка продуктов (если линейка, то в чем отличия)? На кого ориентированы наборы: взрослые/дети, обучение/развлечение?
Люди тратят большие деньги на свои хобби, иногда даже не замечая этого. Рыбалка, автомобиль, коллекционироние винила. Чашка кофе в кафе это уже сравнимо (а то и больше), чем доллар.
Игровая консоль последнего покаления и несколько ААА-игр, купленных на старте продаж (а не на распродаже) это тоже сотни долларов.
Первое нагугленное, из того, что пришло в голову — фитнес клуб на год. Тут говорят, что в Мск это стоит вполне сравнимо с 365$.
Я тоже считаю, что это не маленькая сумма, и хотелось бы дешевле. Но на мой взгляд это посильная сумма на год для большой части людей, занимающихся реверсом. Хобби бывают разные, в том числе и очень затратные.
Навскидку: заилайненные функции в декомпиляторе. Ида хорошо детектит всякие заинлайненные memcpy, strlen и тому подобное. В Гидре этого нет из коробки и, как я понял, нет принципиальной возможности реализовать.
Для начала надо узнать будет ли в IDA Home декомпилятор. Если будет, то мне кажется, что многие возьмут и будут пользоваться. Возможно за один год купят и вторую лицензию: в начале купят на семейство x86, а затем докупят arm. Это все равно сильно дешевле, чем Pro:
Но в любом случае ответ будет индивидуальный: зависит от задачи и реверсера. Есть моменты, которые усложняют реверс Гидрой, но делаются в один присест в IDA. Но есть ситуации, когда универсальный декомпилятор Гидры сильно выручает.
Мне, например, интересен обратный момент: не будь бесплатной Гидры увидели ли мы дешевую редакцию IDA?
Все же она продержалась уже более 3-х лет эксклюзивом PS4.
Думаю, что в пометке "Console exclusive for limited time" речь идет о временном интервале менее года. Мне кажется, что для большинства игр этот интервал будет даже менее полугода.
Вредоносный процесс запускается под непривилегированным пользователем в той же сессии, что и процесс с целевым описателем. Открывает процесс с целевым описателем (на привилегированный процесс) для дублирования описателей из него к себе. Перебором дублирует описатели, получая описатель на привилегированный процесс. А дальше — миграция кода, например:
В результате в привилегированном процессе появляется новая нить, которая выполнит DllMain вредоносной DLL.
Это простейший сценарий, который имеет огромное количество вариаций, из того что прямо сейчас пришло в голову:
А завтра появятся новые трюки миграции кода между процессами. Поэтому стоит давать минимально необходимый набор разрешений.
Локальное повышение привилегий (Local Privilege Escalation), включая возможный выход из песочницы (из песочницы того же хрома, например). Как пример — шифровальщики: получая повышение привилегий могут добраться до данных всех пользователей текущей машины (а не только текущего пользователя). А вообще любая малварь может таскать с собой уязвимые бинари (особенно так любят делать, если уязвимый продукт имеет цифровую подпись), что бы обходить разные защиты (или даже атаковать-отключать работающие защиты). Для производителя продукта это, помимо репутационных потерь, черевато детектами со стороны антивирусов.
С WCF не знаком, поэтому тонкостей не знаю.
Но вопрос в том, с какими правами (access mask) получает описатель клиентское приложение.
Если я ничего не путаю: так как разработка шла с серьезным вливанием денег со стороны государства МЦСТ не может в одностороннем порядке просто взять и открыть систему команд процессора. Поэтому идут какие-то бюрократические согласования (шли? может все уже согласовано) по поводу того как и в каком виде это выложить в "открытый доступ".
Спасибо, звучит крайне интересно — попробую при следующей возможности.
Сходу несколько вопросов:
Спасибо за проделанную работу, но жаль, что не захватили C++ часть — декомпилятор (https://github.com/NationalSecurityAgency/ghidra/tree/master/Ghidra/Features/Decompiler/src/decompile/cpp). На мой взгляд это интересный компонент хотя бы потому, что и его же использует radare2 (https://github.com/radareorg/r2ghidra-dec) за неимением собственного декомпилятора.
Спасибо. Тогда 300k запросов для домашнего использования выглядят более чем приемлемо.
https://nextdns.io/pricing
Интересно, сколько на домашнем роутере DNS-запросов в месяц в среднем? Нет у кого-то подобной статистики?
Интересно какая стратегия получения прибыли у компании.
Заявления о том, что логи не ведутся это хорошо, но на сервера и сотрудников нужны средства. Не хотелось бы стать предметом торговли.
Стало намного понятнее про наборы, спасибо.
Дальнейших успехов вам.
Осмелюсь предположить, что большинство современных программистов спускаются до ассемблера не для упрощения кода. А для того, что бы сделать что-то, что не позволяет высокоуровневый язык программирования: или функционально или по производительности. Я бы не назвал получившиеся куски ассемблера "фундаментально лучше и проще". Мой опыт говорит скорее про "написать, отладить и не трогать", так как поддержка ассемблерных листингов не самое приятное занятие.
Наверное я невнимательно читал публикацию, но я ничего не понял про сами наборы: собери и забудь или можно запрограммировать/модифицировать? Это один набор или линейка продуктов (если линейка, то в чем отличия)? На кого ориентированы наборы: взрослые/дети, обучение/развлечение?
Да, кстати, действительно интересно.
FF использует k-anonymity, можно предположить, что MS пошли похожим путем.
Люди тратят большие деньги на свои хобби, иногда даже не замечая этого. Рыбалка, автомобиль, коллекционироние винила. Чашка кофе в кафе это уже сравнимо (а то и больше), чем доллар.
Игровая консоль последнего покаления и несколько ААА-игр, купленных на старте продаж (а не на распродаже) это тоже сотни долларов.
Первое нагугленное, из того, что пришло в голову — фитнес клуб на год. Тут говорят, что в Мск это стоит вполне сравнимо с 365$.
Я тоже считаю, что это не маленькая сумма, и хотелось бы дешевле. Но на мой взгляд это посильная сумма на год для большой части людей, занимающихся реверсом. Хобби бывают разные, в том числе и очень затратные.
Спасибо.
Думаю от небольшой вводной под спойлером ни кому хуже не будет: кто знает, тот просто не раскроет и будет читать только суть.
Я думал, что кто не в теме просто пропустят новость.
Но замечание резонное, спасибо.
Навскидку: заилайненные функции в декомпиляторе. Ида хорошо детектит всякие заинлайненные memcpy, strlen и тому подобное. В Гидре этого нет из коробки и, как я понял, нет принципиальной возможности реализовать.
Для начала надо узнать будет ли в IDA Home декомпилятор. Если будет, то мне кажется, что многие возьмут и будут пользоваться. Возможно за один год купят и вторую лицензию: в начале купят на семейство x86, а затем докупят arm. Это все равно сильно дешевле, чем Pro:
Но в любом случае ответ будет индивидуальный: зависит от задачи и реверсера. Есть моменты, которые усложняют реверс Гидрой, но делаются в один присест в IDA. Но есть ситуации, когда универсальный декомпилятор Гидры сильно выручает.
Мне, например, интересен обратный момент: не будь бесплатной Гидры увидели ли мы дешевую редакцию IDA?