• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Offline Checker VS TauScanner

Отслеживать

KraZz

(L3) cache
Пользователь
Регистрация
18.06.2009
Сообщения
196
Реакции
7
Были мысли сделать обзор. Но так как статус мой немного изменился, появились другие мысли.
Хочу предложить Offline Checker сделать официальной паблик прогой от дамаги.
У многих сайтов есть свое ПО, и оно дополнительно влияет на авторитет сайта (в основном у молодежи).
Обзор будет неким пиаром и укажет на недостатки TauScanner и в то же время...
Но так как если это будет официальной паблик прогой от дамаги, то я хотел бы обсудить некоторые детали (касательно GUI) и функционала.
Я сам напишу (когда появится время) обзор (если не будет желающих) и "напрограммирую" нужный функционал, но нужны советы по дизайну (нужно что-то тако-о-е чтобы, когда запускаешь прогу, появлялось "состояние шока" и потом мысли что это действительно могли сделать только мемберы DL), если интересно (как только появицца свободное время), могу выложить здесь в привате скриншоты и черновые мысли по теме для обсуждения.
?
 
Ar3s пишет:
что конкретно имеется ввиду?
Ну, типа как здесь, вернее там уже все пиздец как все запущено, но было одно время на этой проге "зарождался" этот сайт.. если это так можно сказать, или даже сравнить.
http://icq-wave.ru/forum/index.php?/topic/...anger-13-by-iw/
Name: Uin Pass Changer by icq-wave.ru
Version: 1.3
Size: 1,1 MB
Autor: NovikOFF32

По сабжу у нас на форуме VaZoNeZ создавал тему:
http://xss.pro/index.php?topic=22444 - Поиск аномалий в PE EXE
хочу сравнить с http://demonteam.narod.ru/oc/oc.html (вернее сделать обзор)
вполне возможно, что может получицца что-то интересное - ИМХО
ну, по крайней мере, я считаю, что нужно делать что-то вместе для развития дамаги, одному тебе просто не реально тащить такой груз. Опять же ИМХО
VaZoNeZ пишет:
Спасибо, уже смотрел. Там весьма скудно, очень и очень.
Если честно задело немного, хочу ответ достойный сделать. (но это естественно не самое главное. :) )

Ar3s пишет:
И скинь наброски.
GUI хочу сделать как у проги CCleaner (http://www.piriform.com/ccleaner/screenshots), она в основном в топе всегда, короче юзают ее многие.. думаю, что GUI многих устраивает.
Но вот дизайн хотелось бы ближе к дамаге, чтобы видна была связь какая-та.
Думаю, что нужно заменить лейбл demonteam на DL team (и тоже, чтобы, когда наводишь мышку, подсвечивалось как-нибудь) и оставить концепцию ауры летающего духа слов (VIRUS, TROJAN, SPAM) там вдалеке
А также нужно чем-то заполнить вместо этой мрачной надписи Offline Checker v0.20.3, думал череп туда вставить такой из адской ауры появляющийся, и тоже как у CCleaner сделать xss.pro/ беленький такой и че-нить прикольное там написать маленькими буквами.
Но все же думаю лучше че-нить вместе намутить, типа как команда DL. :)
Не знаю, может иконку еще нужно будет сменить, только даже не знаю на какую...
Расписал, думаю примерно понятно че хотел делать, просто у меня сейчас скринов нет, их нужно делать, а к тому компу где эти заготовки лежат у меня сейчас физического доступа нет.
 
Тааакс. А не лучше было бы замутить анализ на php и засунуть в наши утилиты?
т.е. для проверки файла заходишь на дамагу. Открываешь данную утилиту. Выбираешь файлик, нажимаешь отправить и сервак его анализирует онлайн. В сводную таблицу выдается результат анализа.

Krazz я просто не знаю потянем ли на пыхе это реализовать.
Если настаиваешь на бинарном варианте - я диз постараюсь нарисовать.
 
Ar3s пишет:
Выбираешь файлик, нажимаешь отправить и сервак его анализирует онлайн. В сводную таблицу выдается результат анализа.
Ну, я думаю, что можно попробовать и то и другое, а там если все получицца, то это будет лучше, чем что-то одно.
Единственное что на PHP нужно будет все писать "с нуля", хотя если учесть тот факт что у Chococream есть уже наработки, их можно просто перекинуть с криптования на проверку, хотя.. тут надо подумать.
Короче ему же видна эта тема, пусть тогда и отпишется что думает, гадать тут не вариант, я если че за оба варианта.

P. S.
В проге есть некий плюс, если она становицца в народе популярна, то ее начинают добавлять в раздел софта (плюс еще и на первых страницах может оказацца, правда не на всех сайтах, но это все же скрытый пиар DL) на различных сайтах, а там те, кто скачивает, будут видеть лого дамаги, линк и вполне возможно...
Короче ИМХО.

ЗЫ: Дизом чуть позже займусь...
 
Набросок в Delphi:
Сорцы
:zns5: Скачать|Download

Скомпилированный
:zns5: Скачать|Download

К сожалению Delphi7 только под рукой. Так что графическое оформление не супер...
 
Ar3s пишет:
К сожалению Delphi7
Да это ты правильно, что в Delphi7, его большинство VX-кодеров юзают - ИМХО

Иконка понравилась, реально от DL... ее же в первую очередь юзер и видит на рабочем столе, круто.
Ar3s, а есть у тебя полностью эта микросхема та, которая на лого (http://xss.pro/style_images/default/logo.jpg) на сайте, а то эта закрыта буквами DL и не полная?
Хочу немного поэкспериментировать более детальный вариант получить и еще хочу что-нибудь дополнительно попробовать добавить что-то типа лупы (это на тот случай если будет несколько продуктов от DL)
Эти всякие мелочи можно нарыть в поисковиках типа:
онлайн поиск иконок
iconfinder.com
findicons.com
iconsearch.ru
veryicon.com
iconlet.com
iconseeker.com
Иконку использовать как базовую (узнаваемую), и дополнительно использовать маленькие детали для различия между ПО от DL

По дизу - ИМХО, нужно что-то брутальнее, такое чтобы ух-х-х...
Я так понял, ты предлагаешь Offline Checker перекинуть на Delphi, в принципе думал об этом, даже больше к этой идее и склоняюсь, но единственное перекинуть можно только GUI, так как весь код будет напряжено, я могу базовый функционал завернуть в DLL на C++, а GUI накодим вместе на Delphi...
Тем более че там греха таить, Delphi в плане GUI на сто голов лучше (если еще заюзать AlphaControls :) ) - ИМХО

[mod][Ar3s:] https://xss.pro/index.php?act=module&...&cmd=si&img=167
Это не совсем тот который на лого, но схож до смешения.

Более брутальный диз? Ну хз. Я не особо люблю навороченные дизы. В них сложнее разобраться и отталкивает. Софт должен быть в первую очередь удобным. Всунуть черепа и прочую ресь - можно. Не составит как бы трудностей, но нужно ли?

Предложенный мной вариант - это действительно offline cheker. Он локально будет анализировать файл и никуда не лезть в сеть. Что использовать в качестве оболочки - не суть важно. Мне с дэлфи проще т.к. я его лучше всего знаю.
[/mod]
 
Ar3s, я сейчас посмотрел твой проект (Набросок в Delphi) и сразу столько дурных мыслей в голову полезло...
Первое - тут нужно менять название тулузы, так как это уже не Offline, а Online
Я же стремился к тому, чтобы все предварительные проверки были сделаны в Offline.
Второе - наш молодой юзер не любит когда какая-та прога "щимицца" в инет; начнутся у них параноидальные подозрения и тупые вопросы (тут даже без вариантов, достаточно почитать топики с подобными тулузами, просто жесть как тупит народ), это конечно же мелочи, но они негативные - ИМХО
Третье - могут быть атаки на сайт, я вот смотрю у тебя там ид последнего регнутого юзера 116450, это же явно не просто так, че-то там не хорошее с регой происходит - ИМХО
А здесь просто кландайк для атаки на сайт, это каждую процедуру обработки файла (а для атаки просто рай) нужно подвергнуть тестированию, как минимум...
Плюс все нужно писать "с нуля" и предвидеть возможные уязвимые места, сомневаюсь, что вот так с ходу мы готовы потратить столько времени на разроботку подобного сервиса. (если учесть что у нас есть еще один проект)
И у этого направления нет амбициозных перспектив (ИМХО) для высокой отдачи, я предлагаю Offline Checker использовать для пиара xss.pro/ - это как бы основная цель.
Конечно же можно все это замутить на каком-нибудь тестовом серваке, но там тогда нужно будет ныкать скриптовые движки для того чтобы их тупо никто не слил и не заюзал, так как с проги сорцы можно снять за час-два, могут появицца клоны (если это действительно станет актуальным)
Не знаю, ИМХО не стоит так торопиться, давай вначале сделаем Offline, а к примеру, ко второй версии уже попробуем добавить что-то связанное с сайтом...
Надо же не забывать что у нас еще другой проект (и на его разработку тоже нужно время), кстати, может эту тему перенести в тот раздел (DL Loader), я просто думал что здесь какое-то движение есть, а видно нет нихера, а там может все будет поактивнее, может Left4Dead красаффчег, как обычно свежих идей подкинет, я так понял мемберам из того отдела недоступна эта тема.
Не знаю, решай сам, что с этой темой делать, я немного высказался что думаю...
 
Тааакс. А не лучше было бы замутить анализ на php и засунуть в наши утилиты?
Могу помочь с разработкой данной утилиты, от тебя лишь требуется готовый дизайн.

Одно дело проверять PE формат, хотя в большинстве случаев код файла обработан стандартным компилятором.
Будет ли спрос на подобную тулзу ?

Вот ещё интересный проект:
https://github.com/zed-0xff/pedump
 
Тааак. Притормозите товарищи!
Когда в топе начинается параллельное обсуждение двух тем - начинается путаница....


1. мой набросок именно под оффлайн (бинарную версию) чекера. Пользователь скачал=>выбрал файл=>нажал "анализ"=>увидел результат.
никакого ломания в сеть за обновами и т.д. Никто ничего не боится. Вся инфа выводится структурированно и доступно.

2. вариант с онлайн чекером на форуме.
Если нужно - диз я могу накорябать на HTML. На пых переложить не проблема.
Потом, не вижу особых проблем с проверками. Сохраняем файл на винт=>бежим побайтово по файлу=>анализируем полученные тех данные, а не само содержимое файла. Хотя и имеется огромное количество подводных камней, но они как бы решаемы. В конце-концов никто не мешает для старта запостить на бесплатном хостинге и кинуть в паблик с просьбой "помочь сломать". Я думаю народ откликнется и побалуется со скриптом. А мы логи будем смотреть и думать где могло пойти не гладко, + каждый бинарник засланный складываем в отдельную папку для того что бы в случае краха скрипта увидеть на чем он завалился.

3. Если будет оффлайн версия то онлайн нах не нужна на мой взгляд. Надо определиться с какой-то одной версией.

4. на счет реги - это беда. Баню хрумеры каждый день. Давно с gooner придумали новую защитку для реги, но нет времени на реализацию. Да и прогер из меня хреновый если честно. Я могу четко написать ТЗ и разбить на составляющие, я могу координировать и т.д. Но вот писать - для меня это всегда было морокой.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ar3s
Насчет реги, я предлагаю для начала сменить капчу, т.к. эта пробивается хрумером. + можно написать ботмастеру, чтобы исключил ресурс со своих баз. У него где-то была такая фишка, на нулледе читал, что мол это и им выгодно (если все равно нет профита с ресурса, на кой туда спамить). Но это в случае, если спамит форум обладатель лицухи, а не кто-то со зла.

К слову, Vazonez прекратил разработку TauScanner, мб попросить, чтоб выложил сорцы? Таким образом, можно будет совместить две тулзы в одну. Он человек не жадный, не скамерц, может и поделился бы.

По онлайн версии чекера - могу помочь по возможностям с веб-кодингом. Но имхо это лучше перенести на другой сервер, т.к. действительно через этот чекер могут ддос-атаку делать или пытаться взломать.
 
Не не... ребят зачем онлайн версия чекера, вполне можно обойтись оффлайн. Сейчас много других вопросов касательно модернизации дамаги и если курить в сторону онлайн чекера то скорее всего упадёт в долгий ящик. Бинари версию накодить легче и увидеть резонанс тоже можно будет.

з.ы. по поводу диза... могу тоже накидать вариантик, среда делфи или пох?
 
Ох ты ж что всплыло :)

Если честно задело немного, хочу ответ достойный сделать. (но это естественно не самое главное. )
Ну не хотел, чесслова не хотел. Хотя рад, что это заставило кого-то что-либо кодить.

К слову, Vazonez прекратил разработку TauScanner, мб попросить, чтоб выложил сорцы? Таким образом, можно будет совместить две тулзы в одну. Он человек не жадный, не скамерц, может и поделился бы.
[жидохек]
Там вся суть на асме писана, хватит и дизасма :D
[/жидохек]

[imho]
По сабжу: стоит делать только оффлайн. Всегда будешь уверен, что никто никуда ничего.
Далее, если за суть софта принимать поиск аномалий, детект всякий вкусностей в бинаре - эдакий мозговитый, немножечко vx-хек-антиавер-направленный аналог peid'а, то тут стоило бы начать с кодесов, разве не? Это ж вообще интереснейшая тематика, и границ у неё по сути нет, все ограничено фантазией, это ж блин самый цимес, почти как труЪ-блэк-хэк. А вы тут гуй да дельфе, формочки да пхп :) Если с этого начинается, то очень часто этим и заканчивается, увы.
Второе, что я бы хотел написать - мож опенсорц? Но это так, не суть, просто идея.
[/imho]
 
опеснурс - гуд, этот софт ведь не для профита, а для чека на актуальность бинарика етц.
базы можно взять с пеида и добавить в них новых записей аля +сканер пакеров\крипторов\протов - т.е. аудитория реверсеров поддержит.

по поводу диза... да. Хоть диз это важная часть, но важнее всего тех. возможности, так что акцент на кодинг.

з.ы. вазонез раз предложили опенсурс, то надо бы оба сканнера и воссоединить, не?
 
опеснурс - гуд, этот софт ведь не для профита, а для чека на актуальность бинарика етц.
базы можно взять с пеида и добавить в них новых записей аля +сканер пакеров\крипторов\протов - т.е. аудитория реверсеров поддержит.

по поводу диза... да. Хоть диз это важная часть, но важнее всего тех. возможности, так что акцент на кодинг.

з.ы. вазонез раз предложили опенсурс, то надо бы оба сканнера и воссоединить, не?
Ну в общем да, надо всё воедино слить. Имхо, для начала стоит продумать форм-фактор всего этого. У меня был двиг в либе, остальные рюшечки оставлены на гуй. В каком здесь формате всё будет? и будет ли вообще? а то тред сединой попахивает
 
vazonez трэду полгода. Это была инициатива KraZz. Она загнулась вместе с его желанием что-то сделать. Уж не буду никого осуждать, у каждого своя жизнь.
По его же просьбе топ был выведен в пабл. На текущий момент нет того кодера, который бы взялся за его реализацию.
Возможно chococream возьмется если есть желание...
 
demien пишет:
Не не... ребят зачем онлайн версия чекера, вполне можно обойтись оффлайн.
Ну, ты видишь только часть.. там, в привате есть еще косвенное продолжение этой темы, там написано многа букафф про "онлайн", скажем, так что.. что-то типа создания "своего" scan4you.net
Онлайн - это то, к чему нужно стремиться, так как там возможностей гораздо, гораздо больше. :)
И онлайн - это же не только PHP, PHP - это всего лишь веб-интерфЭйс и банальная вещь, там ведь есть еще и.. и.. и много чего еще...

vazonez пишет:
Далее, если за суть софта принимать поиск аномалий, детект всякий вкусностей в бинаре - эдакий мозговитый, немножечко vx-хек-антиавер-направленный
Ну, в принципе я так и задумывал, но там потом через некоторое время понял, что не в правильном направлении двигаюсь.
Я вначале делал проверку PE формата по принципу авиры, но там быстро все обросло говнокодом и мой мосх начал взрываться, мне это естественно не понравилось и я решил пойти по другому пути - нашел годный PE формат такой, что на virustotal.com все ахтунги молчат и по нему сделал проверку, ну вернее на ~80% проверку сделал, все-таки там не все проверяется, но большая часть. - это то, что ты называешь «поиск аномалий» в PE формате. :)
Но я там, в процессе поиска шаблона (годного PE формата) наткнулся на одну интересную вещь.
Оказывается аверы для консольного варианта exe, большую часть проверок при сканировании не делают и то, что будет палиться с флагом IMAGE_SUBSYSTEM_WINDOWS_GUI, может то же самое не палиться с флагом IMAGE_SUBSYSTEM_WINDOWS_CUI
Я вначале думал хрень какая-та, но потом когда посмотрел код в антивирусах, полностью убедился, что я как всегда был правЪнах. :)
Ну, вот например, код из Bitdefender
Детект: Trojan.CryptRedol.Gen.1
Код: 
movzx   eax, word ptr [ecx+6]
cmp     eax, 3
jnb     short loc_58FE33B
loc_58FE334:
xor     eax, eax
pop     edi
mov     esp, ebp
pop     ebp
retn
loc_58FE33B:
cmp     eax, 5
ja      short loc_58FE334
mov     eax, [edi+10h]
cmp     eax, 15000
jb      short loc_58FE334
cmp     eax, 500000
ja      short loc_58FE334
cmp     word ptr [ecx+5Ch], 2
jnz     short loc_58FE334
mov     eax, [edi+8]
В регистре ecx находится указатель на структуру IMAGE_NT_HEADERS
movzx eax, word ptr [ecx+6] - тут секции (NumberOfSections)
cmp word ptr [ecx+5Ch], 2 - тут проверка IMAGE_SUBSYSTEM_WINDOWS_GUI (Subsystem)
если будет консольное exe, то прыжок на выход (58FE334) и проверки не будет, а вот если будет GUI exe, то просканит пополной...

Потом насмотревшись на аверские детекты (не только exe, там у них за сотню форматов переваливает) и, сделав соответствующие выводы - я решил не изобретать велосипед, а начал в наглую рипать у них код и вставлять его в Offline Checker помечая детекты соответствующими сигнатурами.
Ну, вот например, недавно мы сделали алго крипта данных (там используются для шифрования и дешифрования данных, разные функции), чтобы при каждом билде данные в секции DATA получались рандомные, но при проверке оказалось, что авира и Bitdefender эти данные воспринимают как аномальные и палят эвристиком.
Пришлось смотреть этот детект и уже после этого изменять функции шифрования и дешифрования для того чтобы не было детекта, и вот я параллельно этому беру и рипаю код, изменяю его так, чтобы усиливался детект и добавляю его в Offline Checker
В паблик версии Offline Checkerа только те детекты, которые я добавлял специально под "статьи". :)
Да и не хочется особо устанавливать жесткий "фильтр", а то может так получится что большинство криптовальщикафф окажуцца в заднице %)))
Ну, вот как бы вот так вкратце примерно выглядит эта кухня изнутри. :)

vazonez пишет:
А вы тут гуй да дельфе, формочки
Ну, дык кодинг обычно и начинается со всяких там свистелок и пирделок.
Давай, к примеру, возьмем твой TauScanner
У тебя в TauScanner есть гистограмма, я считаю гистограмму избыточным функционалом, непонятно зачем этот мульти-комбайн свистелок и пирделок нужен, когда в реальности от них сомнительный профит.
если, к примеру, гистограмма нужна чтобы быстро посмотреть упакован ли файл, то для этого достаточно в окно результатов вывести Packed/Not Packed; например в Offline Checker'е есть такая вещь как Fast:, он после хэша сразу показывает пакован ли файл, при этом я не изобретал велосипеда, а рипнул код из PEiD'а и добавил его в Offline Checker
или взять, к примеру, у TauScanner подсчет энтропии, я не знаю где ты взял код, но я посмотрел, что он вообще неправильно высчитывает энтропию, в Offline Checker'е я также подсчет энтропии рипнул из PEiD'а (функционал PEiD'а уже признан всеми и считается стандартом) и подсчет энтропии соответствует стандарту на virustotal.com
Размер окна у гистограммы очень маленький и я не увидел там возможности его увеличить.
Захочешь, к примеру, посмотреть, сколько там 8-ок и хрен найдешь в этом пецельном окошке в четыре строчки, и у тебя там они вообще в рандомном порядке располагаются, даже нет банальной сортировки, а дельфя эту возможность предоставляет осуществить банальным копипастом кода и несколькими кликами мыши.
Да и такие вещи как гистограмма непонятно зачем вообще нужны в чекере, когда можно взять любой профессиональный hex-редактор и там есть эта гистограмма и можно в удобоюзабельном варианте посмотреть нужную инфу на весь монитор со всеми примочками. :)
В Offline Checkerе тоже есть такой недостаток, не изменяется размер окна, я его тоже когда делал, примерно сделал под вывод одного файла, а потом со временем когда там все больше и больше стало появляться инфы и надо было постоянно скроллить.. неудобство ощутил на "своей шкуре".
Но у Offline Checker'а там все из-за этой картинки, там чтобы менять размер окна надо было ее рисовать в ручную, а мне лень че-то было с этим мудохаться и так эта проблема тянется какбэ до сих пор.
Ты в принципе в правильном направлении двигался с этой гистограммой, но нужно было осуществлять на основе этих данных "детект", а не выводить их через гуй дана дельфе©
Он ведь поэтому и называется чекер, а не вьювер для того, чтобы проверять, а не показывать графики. (ИМХО)
К примеру, если взять тот же Bitdefender у него детект Gen:Heur.Krypt.6 появляется именно по этой "гистограмме", он считает количество байт в процентах и потом по своей таблице из базы высчитывает "хэш" и сравнивает его с установленным значением и если оно больше то ахтунгует
Короче хз. как я там написал, понятно или нет, дополню кодом.. он простой, думаю, понятна будет логика детекта
На входе первый параметр - указатель на буфер, с которого высчитывается "хэш", а второй параметр размер этого буфера.
На выходе этот самый "хэш"
Детект: Gen:Heur.Krypt.6
Код: 
069A17B0                         x69A17B0 proc
069A17B0
069A17B0                         var_404= dword ptr -404h
069A17B0                         var_4= dword ptr -4
069A17B0                         arg_0= dword ptr  8
069A17B0                         arg_4= dword ptr  0Ch
069A17B0
069A17B0 55                      push    ebp
069A17B1 8B EC                   mov     ebp, esp
069A17B3 81 EC 04 04 00 00       sub     esp, 404h
069A17B9 53                      push    ebx
069A17BA 56                      push    esi
069A17BB 8B 75 08                mov     esi, [ebp+arg_0]
069A17BE 33 DB                   xor     ebx, ebx
069A17C0 89 5D FC                mov     [ebp+var_4], ebx
069A17C3 3B F3                   cmp     esi, ebx
069A17C5 75 08                   jnz     short loc_69A17CF
069A17C7 5E                      pop     esi
069A17C8 33 C0                   xor     eax, eax
069A17CA 5B                      pop     ebx
069A17CB 8B E5                   mov     esp, ebp
069A17CD 5D                      pop     ebp
069A17CE C3                      retn
069A17CF                         loc_69A17CF:
069A17CF 57                      push    edi
069A17D0 68 00 04 00 00          push    400h
069A17D5 8D 85 FC FB FF FF       lea     eax, [ebp+var_404]
069A17DB 53                      push    ebx
069A17DC 50                      push    eax
069A17DD E8 FE 3A 2E FD          call    near ptr 3C852E0h;memset
069A17E2 8B 7D 0C                mov     edi, [ebp+arg_4]
069A17E5 83 C4 0C                add     esp, 0Ch
069A17E8 33 C0                   xor     eax, eax
069A17EA 3B FB                   cmp     edi, ebx
069A17EC 76 22                   jbe     short loc_69A1810
069A17EE 8B FF                   mov     edi, edi
069A17F0                         loc_69A17F0:
069A17F0 0F B6 0C 30             movzx   ecx, byte ptr [eax+esi]
069A17F4 FF 84 8D FC FB FF FF    inc     [ebp+ecx*4+var_404]
069A17FB 8D 8C 8D FC FB FF FF    lea     ecx, [ebp+ecx*4+var_404]
069A1802 40                      inc     eax
069A1803 3B C7                   cmp     eax, edi
069A1805 72 E9                   jb      short loc_69A17F0
069A1807 EB 07                   jmp     short loc_69A1810
069A1809 8D A4 24 00 00 00 00    lea     esp, [esp+0]
069A1810                         loc_69A1810:
069A1810 8B 8C 9D FC FB FF FF    mov     ecx, [ebp+ebx*4+var_404]
069A1817 85 C9                   test    ecx, ecx
069A1819 74 3D                   jz      short loc_69A1858
069A181B 33 D2                   xor     edx, edx
069A181D 8B C7                   mov     eax, edi
069A181F F7 F1                   div     ecx
069A1821 33 C9                   xor     ecx, ecx
069A1823 8B F0                   mov     esi, eax
069A1825 81 FE 01 04 00 00       cmp     esi, 401h
069A182B 72 0E                   jb      short loc_69A183B
069A182D 8D 49 00                lea     ecx, [ecx+0]
069A1830                         loc_69A1830:
069A1830 D1 EE                   shr     esi, 1
069A1832 41                      inc     ecx
069A1833 81 FE 01 04 00 00       cmp     esi, 401h
069A1839 73 F5                   jnb     short loc_69A1830
069A183B                         loc_69A183B:
069A183B 85 F6                   test    esi, esi
069A183D 74 14                   jz      short loc_69A1853
069A183F 8B C1                   mov     eax, ecx
069A1841 C1 E0 10                shl     eax, 10h
069A1844 33 D2                   xor     edx, edx
069A1846 F7 F6                   div     esi
069A1848 03 04 B5 78 F5 7D 06    add     eax, ds:dword_67DF578[esi*4];67DF578 указатель на таблицу
069A184F D3 E8                   shr     eax, cl
069A1851 EB 02                   jmp     short loc_69A1855
069A1853                         loc_69A1853:
069A1853 33 C0                   xor     eax, eax
069A1855                         loc_69A1855:
069A1855 01 45 FC                add     [ebp+var_4], eax
069A1858                         loc_69A1858:
069A1858 43                      inc     ebx
069A1859 81 FB 00 01 00 00       cmp     ebx, 100h
069A185F 72 AF                   jb      short loc_69A1810
069A1861 8B 45 FC                mov     eax, [ebp+var_4]
069A1864 69 C0 E8 03 00 00       imul    eax, 3E8h
069A186A 5F                      pop     edi
069A186B 5E                      pop     esi
069A186C C1 E8 10                shr     eax, 10h
069A186F 5B                      pop     ebx
069A1870 8B E5                   mov     esp, ebp
069A1872 5D                      pop     ebp
069A1873 C3                      retn
069A1873                         x69A17B0 endp
Поэтому все же нужно начинать с обсуждения таких банальных вещей как GUI.
Delphi - я считаю, лучшим вариантом для GUI + мы можем иметь всю его мощь OOП, не вижу смысла отказываться от тру вещей...
На Delphi кодит много народу, что потенциально может увеличить число желающих поучаствовать...
Да и вообще не в том вся суть, я просто хотел предложить простой вариант, чтобы мы вместе с чего-то начали, вместе с нуля че-то накодили.
Написали ТЗ, разработали диз в фотошопе, напрогали "формочки", создали систему плагинов, накодили класс дебуг, совместили с асм "компонентами", но и самое важное, чтобы сделали это вместе человек 3-5 или более. Тут же не надо проситься возьмите меня, бери и делай. :) потом выкладывай здесь для обсуждения идеи, код, диз и т.д.
Ведь команда - это не давайте подождем, пока менеджер прейдет и скажет нужно так и так сделать.
Надо делать все всем вместе, предлагать идеи, обсуждать и не ждать у моря погоды, ну вот как пример первая страница этого топа.
Ведь только победители приходят и трахают королеву балла, а неудачники стоят где-то там в сторонке, держат свечку и спрашивают друг у друга - как там, че там...
 
Оказывается аверы для консольного варианта exe, большую часть проверок при сканировании не делают и то, что будет палиться с флагом IMAGE_SUBSYSTEM_WINDOWS_GUI, может то же самое не палиться с флагом IMAGE_SUBSYSTEM_WINDOWS_CUI

На 200600% факт! Не раз сталкивался:) (Но сука черное окошко при запуске не есть гуд!)

Делфи для диза самое то! (Для ленивых тонны готовых компонент, но сука размер не айс! Для людей с воображением - рисование диза в шопике и запил на форму, опять же не проблема.) Тоже факт!
Если кому надо функционал делать за пределами делфи (асм, си), лепите либы, экспорт на делфи уж как нить заюзают. + инлайн асм. Думаю много кодеса можно инлайном внедрить.

+ dx запилил годную либу для работы с пе форматом (kaimi.ru), её тоже можно заюзать. Там о её функционале целый туториал запилен. (Респект ребятам, ибо они не считают это "привад не приваД" а просто делятся кодесом, да еще и с примерами...)

Эвристик у бита по энтропии и прочим алгосам хранения даты... Да, щепитильный вопрос, но не критичный. Если вникнуть "в тему" и провести с десяток опытов (20-40 минут) можно без труда и !без дебага его двига отвязать детект. Но дебаг это тру. Один раз потратив время, можно потом приличное время быть неуязвимым. Пока не будет запилен новый алгос =)

Ну, ты видишь только часть.. там, в привате есть еще косвенное продолжение этой темы, там написано многа букафф про "онлайн", скажем, так что.. что-то типа создания "своего" scan4you.net
Онлайн - это то, к чему нужно стремиться, так как там возможностей гораздо, гораздо больше.
И онлайн - это же не только PHP, PHP - это всего лишь веб-интерфЭйс и банальная вещь, там ведь есть еще и.. и.. и много чего еще...

>что-то типа создания "своего" scan4you.net... спроси у крема, телодвижения в этом направлении уже давно ведутся, но есть некоторые траблы. Ar3s в курсе.
>Онлайн - это то, к чему нужно стремиться, так как там возможностей гораздо, гораздо больше.
Согласен, !но только тогда, когда необходимый функционал уже есть в бинирке, т.е. опять же в оффлайн варианте, с него дергать инфу пыхом и выводить, это да!


з.ы. мне одному показалось, что после нг дамага чуть "ожила" и начала дышать?:)
 
Народ,а либы а-ля CCleaner для диза нету?
Просто чего спрашиваю- есть время у меня накодить на делфе и прикрутить диз (если готовый),либо написать самому диз (без картинок,так как я хреновый художник).
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх