Как стать автором
Обновить
98.63
Рейтинг

Реверс-инжиниринг *

Расковырять и понять как работает

Сначала показывать
Порог рейтинга

Разбор malware document by APT Twisted Panda

Информационная безопасность *Реверс-инжиниринг *
Tutorial

В этой статье мы попробуем подробно разобрать относительно свежий, но интересный вредоносный сэмпл APT группировки TwistedPanda.

Сэмпл от 2022-05-23, файл *.docm формата с Hash: 496b0b7f93a017b3e7931feac5c9ac1741d5081cfabafe19c14593093fd58c19, довольно подробный разбор бэкдора и вредоносных файлов описан в отчёте CheckPoint, но там не разобрано само вредоносное вложение *.docm ,которое использовалось в фишинговой кампании. Давайте это исправим.

Читать далее
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 969
Комментарии 4

Новости

Архитектура PostgreSQL. Часть 0. Старт программы

Open source *PostgreSQL *Анализ и проектирование систем *C *Реверс-инжиниринг *

Postgres - один из крупнейших open source проектов. Он создавался многие года. Кодовая база накопилась огромная. Мне, как программисту, всегда было интересно как он работает под капотом. Но не про SQL пойдет речь, а про язык на котором он написан. Про C. 

С общей архитектурой можно ознакомиться здесь

Для начала поймем, что происходит до входа в главный цикл сервера.

Читать далее
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 3K
Комментарии 0

Как я запустил Doom на дешевом кнопочном телефоне

Open source *Реверс-инжиниринг *Игры и игровые консоли Сотовая связь

Использовал кнопочный телефон, ворующий деньги со счёта, для запуска Doom: краткая история, небольшой обзор компонентов чипа/телефона, жалоба на закладки в прошивке и пожелания к созданию открытого API для создания своих приложений. Также некоторые ссылки (пока опубликована лишь часть кода нужного для запуска игры).

Читать далее
Всего голосов 138: ↑137 и ↓1 +136
Просмотры 23K
Комментарии 48

Процесс рендеринга Vue

Блог компании Норд Клан Реверс-инжиниринг *VueJS *

Добрый день! Меня зовут Александр, я работаю frontend-разработчиком в компании Nord Clan. В прошлой статье мы рассмотрели процесс компиляции Vue, а теперь надо как-то «пристроить» результат этой самой компиляции в процесс рендеринга.

Дизайн лого: Марина Четвертакова

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 2K
Комментарии 0

Исследование формата бинарных файлов на Python

Блог компании РН-БашНИПИнефть Python *Реверс-инжиниринг *

Реверс-инжиниринг неизвестного бинарного формата файла – задачка нечастая, но, на мой взгляд, вкусная. Самое то, чтобы в пятницу с утра отвлечься от организационной текучки, техподдержки, бизнес-планов, заполнения восьмёрок в системах отчётности - и поиграть в Шерлока Холмса. В этой статье я расскажу об опыте изучения бинарного файла с временными данными технологических параметров и о небольшой фишке чтения хитрым способом сохранённых строк из другого формата. Файлы несложные, времени на анализ потребовалось немного, но мне было интересно, и вам, я надеюсь, тоже будет интересно.

Читать далее
Всего голосов 38: ↑38 и ↓0 +38
Просмотры 6.9K
Комментарии 9

Привет Emotet! Заключительная 3-я часть.Продолжаем исследовать дамп оперативной памяти заражённый Emotet

Блог компании R-Vision Информационная безопасность *Реверс-инжиниринг *
✏️ Технотекст 2022
Tutorial

Эта статья - продолжение серии статей "Привет Emotet!", заключительная её часть
Первую и вторую статьи вы можете найти здесь и здесь.

В данной статье, мы решили убрать в сторону плагины volalatility, автоматизирующие нашу работу и прогуляться по узким коридорам памяти, в поисках артефактов. Давайте начнём.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 2.4K
Комментарии 4

Привет Emotet! Исследуем дамп оперативной памяти заражённый Emotet

Блог компании R-Vision Информационная безопасность *Реверс-инжиниринг *
Tutorial

Всем привет, как обещал в первой части статьи «Привет Emotet!», в данной статье мы приступим к расследованию инцидента в дампе оперативной памяти и заодно пройдём задание от cyberdefenders.org ответив на 10 несложных вопросов, а также узнаем как вредонос скрывает свою активность в скрытых процессах и как ему удаётся обходить средства защиты информации. Разберём распространённую атаку Direct Kernel Object Manipulation (DKOM), которая часто используется Rootkit’ами для скрытия своей активности.

Читать далее
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 2.2K
Комментарии 0

Как я случайно обошёл блокировку Google Pixel и получил за это $70 тысяч

Информационная безопасность *Разработка под Android *Реверс-инжиниринг *Сотовая связь
Перевод

Я обнаружил уязвимость, похоже, затронувшую все телефоны Google Pixel: вы можете дать мне любое заблокированное устройство Pixel, и я верну его вам разблокированным. Баг устранили в обновлении безопасности 5 ноября 2022 года.

Проблема позволяла атакующему с физическим доступом к телефону обойти меры защиты экрана блокировки (отпечаток пальца, PIN и так далее), получив полный доступ к устройству пользователя. Уязвимость зафиксирована как CVE-2022-20465; она может затронуть и устройства Android других производителей. Мои рекомендации по патчу и сырой баг-репорт, отправленные Google, можно найти здесь: feed.bugs.xdavidhu.me.
Читать дальше →
Всего голосов 190: ↑187 и ↓3 +184
Просмотры 67K
Комментарии 154

Через две недели: эмулятор Сферы, часть 3

Разработка игр *C# *Реверс-инжиниринг *Godot *

Привет, Хабр!

После долгого перерыва — снова Сфера. Прошлые статьи (раз, два) были про то, как войти в игру и в ней остаться на всю жизнь. Гулять по миру, конечно, интересно, но быстро надоедает: делать в нем нечего, монстров и NPC нет, даже в озере утонуть не выйдет. Начнем нашу дорогу в темное средневековье там же, где начинается сама игра — в стартовом данже.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 2.3K
Комментарии 5

Считыватель показаний цифровых штангенциркулей VINCA

Блог компании RUVDS.com Беспроводные технологии *Реверс-инжиниринг *DIY или Сделай сам
Перевод
Tutorial

Этот проект посвящён замене кабеля передачи данных VINCA DTCR-03 «RS232» для цифрового штангенциркуля на микроконтроллер ESP8266/ESP32 с поддержкой Wi-Fi.

Штангенциркуль VINCA DCLA-0605 поддерживает передачу данных на ПК только через проприетарный кабель. Можно, конечно, купить адаптер, но это не так интересно, поэтому я решил разобраться с принципом работы RS232 и реализовать собственное решение.
Читать дальше →
Всего голосов 34: ↑33 и ↓1 +32
Просмотры 5.3K
Комментарии 17

Пишущая машинка из телетайпа и Arduino

Ненормальное программирование *Реверс-инжиниринг *Разработка под Arduino *Старое железо DIY или Сделай сам

Consul 254 похож на принтер, но это не принтер. Ещё у него есть клавиатура, но при этом печатающая часть никак не связана со вводом, поэтому так просто получить что-то на бумаге не выйдет. Эту проблему мы и будем сегодня решать с помощью Ардуино и цветных проводочков. Конечно всё уже украдено до нас, и такую вещь уже описывали в журнале Моделист-Конструктор в 1989 году. Правда при этом использовался компьютер "Специалист", а не Ардуино.

Читать далее
Всего голосов 57: ↑56 и ↓1 +55
Просмотры 6.2K
Комментарии 14

Необычный случай восстановления данных или немного реверс-инжиниринга PLC Siemens Simatic S7-300

Системное администрирование *Восстановление данных *Реверс-инжиниринг *Программирование микроконтроллеров *Компьютерное железо
Tutorial

На вопрос, какие не самые обычные случаи восстановления данных могут повстречаться в компании, профиль которой – извлекать информацию из поврежденных накопителей, можно привести пример одной из недавних задач с MMC картой из промышленного ПЛК (PLC) Siemens Simatic S7-300, в задачи которого входило управление несколькими десятками электродвигателей и клапанов, а также анализ параметров целой россыпи датчиков некоего конвейера.

Для решения этой задачи перечень услуг специалиста по работе с поврежденными накопителями оказался недостаточным. Кроме этого потребовался опыт реверс-инженера, опыт аналитика повреждений в данных, не имеющих избыточности, а также опыт программиста.

Читать далее
Всего голосов 36: ↑36 и ↓0 +36
Просмотры 5.8K
Комментарии 35

Rust'ерзание краба. Пробуем реверсить Rust удобно

Блог компании Digital Security Информационная безопасность *Rust *Реверс-инжиниринг *

Rust как язык программирования только набирает обороты и находит своих почитателей. Он не только предлагает множество надстроек для безопасности кода, но с недавнего времени еще и появился в ядре Linux.

В этой статье мы посмотрим на него с "обратной" стороны, а именно попробуем пореверсить программу, написанную на Rust, и выяснить, что можно сделать, чтобы сделать ее анализ проще. Рассмотрим утилиты, приложения и плагины, а также напишем свой плагин для IDA Pro, Cutter и rizin, чтобы автоматически создать сигнатуры для исполняемого файла без отладочных символов. Поговорим о FLIRT-сигнатурах, их преимуществах и недостатках и о том, можно ли автоматизировать их создание.

Читать далее
Всего голосов 30: ↑30 и ↓0 +30
Просмотры 3.6K
Комментарии 2

Портируем Maniac Mansion (1987) на ZX Spectrum Next (2017)

Разработка игр *Реверс-инжиниринг *Демосцена Старое железо Игры и игровые консоли

Maniac Mansion - это классическая приключенческая игра с интерфейсом point and click. Она вышла в конце 80х годов для платформ Commodore 64, Apple II, Atari ST, Amiga, IBM PC и NES. Популярный в наших краях ZX Spectrum этой игры не увидел.

Может быть дело в том, что графический режим ZX Spectrum поддерживает только два цвета на знакоместо. А может, потому что аппаратных спрайтов там не было (хотя в Apple II их не было тоже).

Пришло время исправить эту несправедливость и портировать Maniac Mansion на улучшенный ZX Spectrum - ZX Spectrum Next.

Читать далее
Всего голосов 50: ↑50 и ↓0 +50
Просмотры 4K
Комментарии 3

Истории

RE Crypto Part#2

Блог компании OTUS Информационная безопасность *Криптография *Реверс-инжиниринг *
Recovery mode

Наверное самое популярное действие, которое приходится выполнять для исследования криптографии сегодня это процедура анализа зловредного кода, который блокирует чьи-то данные с использованием кастомного или общепринятого алгоритма. Попробуем в этой статье рассмотреть зловред и понять какие криптографические алгоритмы он использует.

ВНИМАНИЕ: Вся информация представленная в статье предоставляется исключительно в образовательных целях. Все файлы, которые будут рассматриваться в качестве примеров ни в коем случае нельзя запускать или исследовать вне тестовой виртуальной среды!

Читать далее
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 1.2K
Комментарии 1

Из-за чего весь сыр-бор: про уязвимость Text4Shell

Блог компании Positive Technologies Информационная безопасность *Open source *Совершенный код *Реверс-инжиниринг *

За последнюю неделю в сфере инфобеза стали появляться новости о втором пришествии уязвимости Log4Shell, получившей название Text4Shell. Первым об уязвимости сообщил Alvaro Muñoz, который рассказал о возможности удаленного выполнения произвольных скриптов в продуктах, использующих библиотеку Apache Commons Text.

Сама уязвимость была обнаружена еще в марте 2022 года, но команде Apache Commons потребовалось время на ее исправление и выпуск обновлений библиотеки. Уязвимости был присвоен идентификатор CVE-2022-42889 (CWE-94 — Code Injection) и достаточно высокий уровень риска CVSS 9.8.

Когда уязвимость была обнаружена, некоторые эксперты выразили сомнения в том, что она представляет серьезную опасность. Они ссылаются на то, что уязвимость невозможно эксплуатировать в версиях JDK 15+, а также на то, что попадание пользовательских данных в функцию интерполяции переменной маловероятно. Однако при дальнейшем изучении уязвимости были выявлены и другие векторы ее эксплуатации.

Наша команда PT Application Inspector решила определить уязвимые места в исходном тексте, оценить выпущенный патч от команды разработки и посоветовать шаги, которые помогут защититься от возможных атак.

Читать далее
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 5.2K
Комментарии 4

Прячем функцию от глаз исследователей

Информационная безопасность *Assembler *Реверс-инжиниринг *
Tutorial

На днях у меня спросили, как можно спрятать строку в исполняемом файле, чтобы "обратный инженер" не смог ее найти? Вопрос дилетантский, но так совпало, что в тот день я решал очередной челлендж на Hack The Box. Задание называется Bombs Landed и основная его изюминка в функции, которая динамически подгружалась в память. Из-за этого Ghidra не может найти и декомпилировать код.

Читать далее
Всего голосов 28: ↑21 и ↓7 +14
Просмотры 9K
Комментарии 21

Почему современное ПО такое медленное — разбираемся на примере диктофона Windows

Программирование *Отладка *Реверс-инжиниринг *
Перевод
Я прошу прощения за такой заголовок, потому что современное ПО может быть медленным по множеству разных причин. Слепое использование одного объяснения без малейшего расследования — это программный аналог карго-культа. В этом посте рассматривается один пример того, почему современное ПО может быть мучительно медленным.


Я всего лишь хотел записать сорокасекундную озвучку простенького видео, поэтому запустил стандартное приложение Запись голоса (Voice Recorder) операционной системы Windows и нажал на кнопку записи. Казалось, что ничего не произошло.

Позже я проверил и оказалось, что программа выполняет запись. Я немного поэкспериментировал и выяснил, что в первый раз, когда я начинал запись после запуска Записи голоса, её реакции иногда предшествовала долгая задержка. Двадцатисекундная задержка при записи сорокасекундного клипа — довольно низкий КПД. Это расстроило меня настолько, что я захотел разобраться, почему так получается, и запустил трассировку ETW.
Читать дальше →
Всего голосов 127: ↑125 и ↓2 +123
Просмотры 40K
Комментарии 341

Российский серверный процессор Baikal S

Реверс-инжиниринг *Производство и разработка электроники *Компьютерное железо Процессоры IT-компании
✏️ Технотекст 2022

Прошедшие десятилетия отразились на российской микроэлектронике сразу в двух диаметрально противоположных аспектах. С положительной стороны можно отметить период процветания нулевых годов (фундамент которого было заложен в 90-х) до мирового экономического кризиса 2008-го, и период с 2009 по 2013 годы. Именно тогда на территории России началось первое серьёзное финансирование отрасли: появились новые и получили поддержку уже существующие дизайн-центры, способные разрабатывать (пусть и при помощи государственных субсидий) микропроцессоры мирового уровня. Были предприняты попытки локализации производства на территории страны – купленная производственная линия у STMicroelectronics для «Микрона», организованное предприятие министром связи Леонидом Рейманом Ангстрем-Т со списанным AMD оборудованием – всё это могло быть отличным фундаментом для старта отечественной полупроводниковой промышленности, покрывающим часть потребностей внутреннего рынка. Однако события 2014-го года и дальнейший спад экономики в совокупности со странной внешней политикой правительства, в связи с чем Россия попала в санкционные списки развитых стран, а также событиями 2022-го года фактически задушили всю отрасль, оставив тысячи инженеров дизайн-центров у разбитого корыта с абсолютным непониманием дальнейшей судьбы их разработок.

Читать далее
Всего голосов 155: ↑131 и ↓24 +107
Просмотры 44K
Комментарии 390

Изучаем троянскую повестку с мимикрией под XDSpy

Блог компании Positive Technologies Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *Исследования и прогнозы в IT *

В ходе постоянного отслеживания угроз ИБ утром 3 октября в одном из Telegram-чатов мы заметили промелькнувший файл со злободневным названием Povestka_26-09-2022.wsf. Беглый осмотр содержимого привлек наше внимание, и мы решили разобрать его подробней. И, как оказалось, не зря.

Подробности под катом
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 6.4K
Комментарии 7

Вклад авторов