• XSS.stack #1 – первый литературный журнал от юзеров форума

Обзор или реверс? :)

Отслеживать
Не-не-не, что там ТС писал.. он точно понятия имеет, о чем пишет
А вот как воспримет инфу читающий, может иметь большое значение! только от самого читающего зависит
Вот к примеру он пишет
«Очень часто нам требуется восстановить файл, который был ранее криптован.Требуется узнать логику работы или же просто вытащить линк на гейт.»
я бы здесь даже на его месте выделил бы кавычками или жирным текстом
«Требуется узнать логику работы»
Порой для начинающих писать крипторы, это единственный шанс (отреверсив криптор) узнать приватные финчи
На форумах обычно о таких вещах под хайдами пишут или в привате куда новичок доступ не имеет

или его пост можно усилить линками
К примеру, он пишет
«1) Бессмысленные\мусорные операции, их цель - обфускация и осложнение анализа криптованной программы
Тут могут быть многочисленные вызовы процедур, условные и безусловные прыжки и т д. Наша задача минимизировать время для анализа этого участка, а в идеале "проскочить его".» (Кстати очень красиво написано)
Как вариант борьбы против обфускации, можно предложить вот это :) (если асилите дочитать до конца %))))
http://cracklab.ru/f/index.php?action=vthr...=12&topic=13678
Или вот еще
«Всю работу выполнять будем в olly debugger»
И тут можно дописать, что есть также плагины для нее и запостить линк
http://www.woodmann.net/collaborative/tool...yDbg_Extensions
Там кстати, если есть исходный код к этим плагинам, то он там обязательно будет + там описание для чего плагины нужны
А это очень хорошие маленькие помощники для начинающего реверсера..
Так же, там есть и для ИДЫ итд.
http://www.woodmann.net/collaborative/tool...:IDA_Extensions
и вообще там надо по дереву с левой стороны пробежацца полностью - ИМХО
Тогда там начинающему будет не на один час инфы для чтения %)))
 
Код: 
Куплю приват прогу!!!! ДОРОГО!! sasha008 
«Нуно криптор + джойнер всместе !!! ПРИВАТ!! штобы был зделан на маё имя заплачу от 100вмз!!!! в тему не писать всё в ПМ!!!!»
Вот такая лольная хрень свалилась мне в RSS.. %)))

Иногда когда покупаешь криптор, хочется ну хоть как-то быть уверенным что продают не вот такое гуано как выше..
Решил зарелизить ДЕМО прожку одну, она имеет ограниченный функционал, но кое-где может пригодицца
http://demonteam.narod.ru/download/OC.rar
PASS: 666
И так, где ее можно юзать и что она может
В проге есть небольшой PE format чекер
Он проверяет сэмпл на наличие багов в PE format`е, ну вернее сравнивает со стандартом и если есть различия, показывает их и предлагает рекомендуемое значение для фикса
Ну например вот есть тема
http://cracklab.ru/f/index.php?action=vthr...m=1&topic=14945
Берем оттуда сэмпл(я его в архив добавил bad_import.exe) и проверяем его в проге на наличие багов в PE format`е, и получаем результат
Error: '.text' IMAGE_SECTION_HEADER.SizeOfRawData 0x2200 (Default value 0x2000)
Здесь была найдена ошибка в секции .text в структуре IMAGE_SECTION_HEADER и ее поле SizeOfRawData
0x2200 – это бажное значение, а в скобках предлагается значение (Default value 0x2000), на которое следует заменить в любом PE редакторе
Но это не факт что надо менять именно на это значение, это всего лишь рекомендуемое значение, здесь в силу разных обстоятельств может быть много нюансов..
Вообщем также можно эту прогу юзать при покупке криптора, то есть просите криптануть один сэмпл и проверяете его в проге
Если там, в сэмпле будет что-то не так, то прога покажет Error или Warning
Опять же, это всего лишь рекомендуемое значение(тут просто если эти стандартные значения будут установлены, то увеличивается шанс что нас AV НЕ задетектит), здесь в силу разных обстоятельств может быть много нюансов..
Короче, если прога МНОГО покажет таких Error или Warning(тут явно чел писавший криптор не шарит в РЕ), то я не советую покупать такой криптор – ИМХО, а там ДУМАЙТЕ САМИ, при этом прога из-за статуса ДЕМО проверяет только 20% возможных ляпов
Еще в архив я добавил исходник на С++ одного PE чекера, так что советую начинающим его попробовать разобрать, может новое что-то найдете для себя
Я также добавил часть кода из этого исходника в прогу, чтобы включить его просто установите галочку на PEChecker by asd
Но я сразу скажу, там верить его детекту не стоит, это просто в качестве экспоната добавил
[offtop]
Вообще история тут такая.. чел выложил эти исходники, а потом через год (похерив их) просил(тех кто слил) отдать, якобы для дальнейшего кодинга
Но так как чел мне не нравится по моим понятиям, я ему их не стал отдавать
Тут дело в том, что чел адекватный, "много" знает, но у него есть минус.. он любитель помогать мясу, что для меня неприемлемо
Из-за таких вот и появляются всякая школота требующая готовое решение, ну я примерно о таком
http://xss.pro/index.php?topic=18821
и гуано действиях на web-hack
Банить надо нах таких школьникофф, мир только чище станет – ИМХО
Помочь конечно можно, но не выкладывать же готовое решение епт..
[/offtop]
если прога показывает «Fatal error!» - это что-то в сэмпле привело к сбою или из-за багов в PEChecker
попробуйте убрать галочку с PEChecker by asd, изменить в сэмпле на рекомендуемые значения в PE редакторе и повторить анализ заново еще раз
А вообще основная фишка проги вот в чем
На virustotal.com показывает такую вещь как

name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1F7C 0x2200 0.00 d946c4e00b10be82f8d142f508ece41d
.rdata 0x3000 0x550 0x600 4.76 d983d47f64dbf6951b9b100871393a19
.data 0x4000 0xBE9 0xC00 0.00 d2a70550489de356a2cd6bfc40711204
.rsrc 0x5000 0x8000 0x1200 4.77 6fb21411ef62b7a7ca8726bb01ebddfd

Так вот прога показывает точно такой же результат как и virustotal.com
Зачем все это нужно
Вот из-за этого поля «ntrpy»(Entropy)
Если его значение высокое, то прога считается подозрительной и "ставится флаг с минусом"
Из-за чего проги писаные на Delphi.., детектяцца как протрояненные – ИМХО
Все наверное уже сталкивались с такими результатами от AV
Код: 
AntiVir и McAfee-GW-Edition -> TR/Crypt.ZPACK.Gen
BitDefender и GData -> Gen:Trojan.Heur.Hype...
И так далее..
Так вот оптимальный диапазон 3.0-6.25(средний для всех секций ~4.75), но это не обязательно тут еще может зависеть от..
Еще это число напрямую зависит при шифровании так как обычный(утрировано) ксор двордом дает выше 6.75 что уже критично
Короче, наверное все когда-то к этому подойдут и вот в оффлайне есть такой вариант проверки
Алго Entropy я рипнул из PEiD, есть "превад" %))) скрипты такие, указываешь адрес для рипа функции и весь код(только тот, который относится к этой функции будет добавлен в ASM исходник годный для компиляции) будет рипнут %)))

ПРОГУ СОВЕТУЮ ЮЗАТЬ ТОЛЬКО НА ВЕРТУАЛКЕ
Так как ничего не тестировалось на наличие багов, совместимости с версиями оси
Почему еще на вертуалке юзать, тут ситуация такая может быть, что "хитрые" хекеры могут найти в ней уязвимость
И написать нужный сэмпл при анализе, которого прога может непроизвольно выполнить гуано код, который может заразить засранчиком систему
Тут такой уязвимости может потенциально подвержено до 90% прог в рунете, поэтому и существуют трекеры, где релизят такие баги, чтобы разработчики фиксили их
Но самое интересное, что такие уязвимости существуют в больших количествах и для локальных AV, при этом сами аверы при релизе таких уязвимостей, быстро темы удаляю.. ибо это сильно может понизить их продажи и повысить пробив их зомбиков...
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх