Статья Как правильно изучать malware-кодинг под Windows

[DildoFagins]

Why do you want to burn my and her asses?

Ай донт вонт ту бёрн йор эсс, йор эсс из алреди он фаер, бекоз ноуан вонт ту код и йор ловели це плас плас. Йор эсс из полыхает и извергает лаву, как сучьи вулканы в исландии.

Nikolai Kulchitsky

Да, Колян Кульчитский есть в матулке Рассее, а вот в вашей сраной японии, таких как Коляныч не бывает.

 

[Artem N]

This woman has more brains than Quake3 and the rest of the C programmers.

Видос супер, этого не отнять. Но у этой дамы цель несколько иная: показать, что Плюсы так же просты на начальном этапе, как и языки программирования со сборщиком мусора. Я с ней полностью согласен. Только вот она учит будущих белых программистов, а не тех, кто желает писать малварь.

В конце ей был задан вопрос: рекомендуете ли вы Плюсы как первый язык для изучения. На что был получен ответ в виде категорического нет Да и сама она не раз и не два в видосе говорит, что вот тут меня не волнуют вопросы перфоманса, тут мы упрощаем, здесь мы умалчиваем.

Опять же, как ты говоришь, идеальный путь - JS -> C++ -> Asm. Терзают смутные сомнения, что человек, видевший только <shared_ptr>, которому "запретили" пользоваться указателями чтобы он не сломал себе мозг на звёздочках и амперсандах и прочих "разыменованиях указателя", которому не рассказали про массив, про new/new[] и delete/delete[], который не понял, что индекс в Си-подобных языках начинается с нуля - сможет войти в низкоуровневое программирование, которое и состоит из той самой адресной арифметики, аллоакции памяти и её ручного освобождения.

 

[DildoFagins]

Кстати, мы чего то забыли про дополнительные сотни килобайт стандартной библиотеки, которые плюсы добавляют в экщешник. Тот же код для работы исключений. Собери хеллоу ворлд на Це и на Плюсах, получишь разницу в добрые 200кб.

 

[Artem N]

Да, Колян Кульчитский есть в матулке Рассее, а вот в вашей сраной японии, таких как Коляныч не бывает.

Коляна нужно сделать локальным мемом, как по мне!

 

[DildoFagins]

Коляна нужно сделать локальным мемом, как по мне!

Ну надо как то до всех донести, что Колян Кульчитский - это теперь синоним "кулхацкера", не обязательно мамкиного, кулхацкера в общем.

 

[JackJ]

Дилдос прав про лишние 200кб)
Сам начинал с JS, потом кто-то укусил и полез в C++ (прочитав книгу Васильева).... Отпустило быстро и ушел в С, чему очень рад.

 

[thatsmyname]

Дилдос прав про лишние 200кб)
Сам начинал с JS, потом кто-то укусил и полез в C++ (прочитав книгу Васильева).... Отпустило быстро и ушел в С, чему очень рад.

Look yourself and see

-O3 with LTO enabled


Imagine a sumo (In Germany, we write in C++) fight against an ant (In mother Russia, we write in C). Reverse engineers at leading anti-malware companies have to work hard when they see large-weight C ++ malware.

They often sit on forums and ask people to write in C, because C ++ does not provide any advantages))))

But anyway, when you write in C ++, they start crying - it looks like the end of the world. When you add Boost, it looks like their ass is on fire.

Видос супер, этого не отнять. Но у этой дамы цель несколько иная: показать, что Плюсы так же просты на начальном этапе, как и языки программирования со сборщиком мусора. Я с ней полностью согласен. Только вот она учит будущих белых программистов, а не тех, кто желает писать малварь.

В конце ей был задан вопрос: рекомендуете ли вы Плюсы как первый язык для изучения. На что был получен ответ в виде категорического нет Да и сама она не раз и не два в видосе говорит, что вот тут меня не волнуют вопросы перфоманса, тут мы упрощаем, здесь мы умалчиваем.

Опять же, как ты говоришь, идеальный путь - JS -> C++ -> Asm. Терзают смутные сомнения, что человек, видевший только <shared_ptr>, которому "запретили" пользоваться указателями чтобы он не сломал себе мозг на звёздочках и амперсандах и прочих "разыменованиях указателя", которому не рассказали про массив, про new/new[] и delete/delete[], который не понял, что индекс в Си-подобных языках начинается с нуля - сможет войти в низкоуровневое программирование, которое и состоит из той самой адресной арифметики, аллоакции памяти и её ручного освобождения.

"Make it work, make it right, make it fast" - Kent Beck

You need a strategy when learning things. There are wide varieties of teaching methods. One of the ones that I like is the top-down style. The traditional catch-all system slows down and demotivates people.

As with many methods, there are drawbacks. Now that when I was learning English, I didn't take grammar lessons or study grammar rules.

I went straight to speech because it was more important to me.

Now those who have studied English by the rules of grammar barley can speak it. Now my own friends who studied like this can't speak this language. Only a few % were able to do it in the traditional way.

You teach the student "How are you?" question, and the teacher says that the student should answer it using, "I'm fine, thank you!"

This is never the case in the real world. People ask you: "What's up?", "How is it going?" Now imagine, your mother is dead, and a foreigner bumps into you and asks how you are doing, and you answer that I'm fine. No, you're not fine unless you hate her. This is not fucking fine. You're so sad.

Look at those who started with ASM, I know from my experience they are so bad at making websites, because they think in tricks.

They compromised abstraction. lcp admin sells ASM malware and his panel so fucking horrible. He's not very good at simple things like HTML / CSS, so people like him end up bad in areas like C ++, they are so scared it feels like the end of the earth.

Did I ever said that new programmers should start from C++? I've said those who new to malware should start from C++ and the new programmers should start either with JS or Python.

JavaScript is a C-family language. Naturally, people get to know JS arrays starts from 0 Index.


Raw pointers and new, delete should be discouraged so that students tend to write Modern C++ code from very first date.

All this happens automatically just in time. Just like a small child cannot learn linear algebra from day one!

When they start learning how to improve performance on their own, they will find that unique_ptr is often better than shared pointers and when raw pointers are better and when should new delete be used.

Efficient, isn't it?

Most malware, with the exception of Ring 0, has never been low-level. it's same as white software, no difference.

Likewise, you can make things so complex, so complex that not even a person with double PHd will be able to see it.

I've seen academics do this with new machine learning architectures. They write 500 page articles for a simple thing that can be described in 5 pages.

They are so afraid of people getting into on the field. They want to gatekeep, they want to protect wages, they are afraid of competition.

At very high-level, malware interacts with JSON, looks for a command, then calls some Win API functions and sends the results back.
While some may inject browsers, but you can quickly learn about injections using Frida.

 

[thatsmyname]

Дилдос прав про лишние 200кб)
Сам начинал с JS, потом кто-то укусил и полез в C++ (прочитав книгу Васильева).... Отпустило быстро и ушел в С, чему очень рад.

Я не уверен насчет этой конкретной книги. Наверное, старая, и я не читаю книг. Никогда не читал ни одной. Предлагаю вам попробовать, https://www.codecademy.com/learn/learn-c-plus-plus

 

[JackJ]

Я не уверен насчет этой конкретной книги. Наверное, старая, и я не читаю книг. Никогда не читал ни одной. Предлагаю вам попробовать, https://www.codecademy.com/learn/learn-c-plus-plus

Никогда не читал и не читаю-но вам попробовать советую.

Так себе предложение удостовериться в каком-то "избранном" курсе по C++. У нас, на постсоветском пространстве, достаточно своих умных людей и их книг-иностранная литература воспринимается как знания в стиле азбуки в самом начале обучения в школе, дальше многое развитие событий зависит от широты мышления персоны.
Если тебя вштыривает писать на С-барабан на шею и в дорогу, каждый дрочит так как хочет (попробуй это переведи=))

 

[DildoFagins]

-O3 with LTO enabled

Таблицу импорта покажи и скрипт для сборки.

it looks like their ass is on fire

You mean your ass is on fire, when you see people write in C, and you are too stupid to understand that the language is just a tool and nothing more and keep writing a shit-load of useless text on forums for some stupid reason?

и я не читаю книг. Никогда не читал ни одной

Это очень многое объясняет, многие говорят, что скудоумие и чтение не связаны, но так часто на форумах возникают личности с такой связью, что это уже можно считать статистически значимой корреляцией)).

 

[Artem N]

Imagine a sumo (In Germany, we write in C++) fight against an ant (In mother Russia, we write in C). Reverse engineers at leading anti-malware companies have to work hard when they see large-weight C ++ malware.

Это всё сказки, ИМХО. Я видел плюсовый код в дизасме - неприятно, но терпимо. Для IDA и плагин (не один, но этот вроде лучший) специальный есть: Class Informer. Аверы будут рады использованию стандартной библиотеки, буста, какой-нибудь либы с гитхаба, так как всё что от них нужно будет в этом случае - это среверсить логику самой малвари, не отвлекаясь попутно на собственные реализации подобного внутри.

They often sit on forums and ask people to write in C, because C ++ does not provide any advantages))))
But anyway, when you write in C ++, they start crying - it looks like the end of the world. When you add Boost, it looks like their ass is on fire.

Я про это и пишу, но с точностью до наоборот. Реверсил давно как-то софт написанный на QT - это просто праздник какой-то! Имена функций из либ сами рассказывают что они делают (в моём случае это работа со строками). Халява-с. А то, что кто-то там ноет - так это просто опыта нет. А опыт появится сразу, как только малварь на Плюсах начнёт своё массовое распространение.

Raw pointers and new, delete should be discouraged so that students tend to write Modern C++ code from very first date.
All this happens automatically just in time. Just like a small child cannot learn linear algebra from day one!
When they start learning how to improve performance on their own, they will find that unique_ptr is often better than shared pointers and when raw pointers are better and when should new delete be used.
Efficient, isn't it?

Вообще-то всё, о чём ты сейчас написал - требует как бы нехилый такой скилл вообще, хорошие знания в CS, плюс много свободного времени на изучение и понимание. Лично я с Плюсов соскочил после стандарта C++11, когда там началась хрень со скобочками и прочая фигня в попытке угнаться за Шарпом. Чему рад до сих пор и фигу вернусь обратно!

Выше в теме я тебя просил показать пример малвари на Плюсах. Ответ так и не получил Пришлось чуток погуглить и одна из первых ссылок оказалась эта. Текст можешь не читать, там скучно, но код посмотри. В каментах челу рассказали о допущенных багах. Это ли не дичь?! В начале статьи чёткий и лаконичный код на Си, понятный любому, а всё что далее - страх, ужас и вырвиглаз! Фу таким быть.

Most malware, with the exception of Ring 0, has never been low-level. it's same as white software, no difference.
Likewise, you can make things so complex, so complex that not even a person with double PHd will be able to see it.

К малвари требования просты:
- минимальный размер, чтобы при крипте не получить многомегабайтный файл;
- минимальные зависимости от всякого стандартного;
- обфускацию сорцов, как по мне, в Си сделать проще, чем в Плюсах с его шаблонами, конструкторами и деструкторами.

They are so afraid of people getting into on the field. They want to gatekeep, they want to protect wages, they are afraid of competition.

Для малвари нужно уметь не только код писать, но и знать очень много чего другого. А Плюсы, где синьёры-помидоры начинаются с 10-летнего непрерывного стажа ещё больше повышают порог вхождения. В чём профит своими собственными руками отдаляться от реальной задачи по кодингу, применяя неправильно выбранный язык программирования.
Малварь пишется на любом языке, так как язык - это инструмент (как здесь уже заметили). Бейсик, Шарп, Ява, Си - все они позволяют кодить здесь и сейчас без мучений с синтаксисом языка и без фантомных страхов перед указателями.

Ещё вспомнил смешное из видео с тётей: она так же предлагает как можно дольше не говорить о new и delete! Типа, все примеры оформляйте так, чтобы только на стеке память выделялась. Зачем такой "инвалид" в блеке нужен?

At very high-level, malware interacts with JSON, looks for a command, then calls some Win API functions and sends the results back.

JSON популярен лишь потому, что на бэкенде кто-то очень ленив, чтобы избавиться него. Но скорее всего, малварь и бэк писали два разных человека.

P.S.: Чё-т я устал по одному и тому же кругу гонять одни и те же аргументы. Завязываю.

 

[thatsmyname]

I'm writing about this, but exactly the opposite. Reversed for a long time somehow software written in QT - it's just some kind of holiday! The names of the functions from the lib tell themselves what they do (in my case, this is working with strings). Freebie-s. And the fact that someone is whining there is simply no experience. And the experience will appear as soon as malware on the Plus begins its mass distribution.

Names of functions can be obfuscated. QT still can make the logic unclear when opened in IDA.

The requirements for malware are simple:
- the minimum size so that you don't get a multi-megabyte file with a crypt;
- minimal dependencies on any standard;
- Obfuscation of sorts, as for me, is easier to do in C than in Pros with its templates, constructors and destructors.

I don't give a damn about the size. I need it to be multi MB. Sadly, it always 300kb or less.

Dependencies are my friend. Obfuscation is easy to do with templates.

 

[thatsmyname]

I also remembered a funny video with my aunt: she also suggests not talking about new and delete for as long as possible! Like, design all examples so that only memory is allocated on the stack. Why such a "disabled person" in black is needed?

She is correct here. RAII should be encouraged. Everything shall be in stack. Heap for Apes.

These are all fairy tales, IMHO. I saw a positive code in disasma - unpleasant, but bearable. For IDA and a plugin (not one, but this one seems to be the best) there is a special one: Class Informer. Avers will be happy to use a standard library, a boost, or some kind of github, since all they need to do in this case is to reverse the logic of the malware itself, without being distracted along the way by their own implementations of the same inside.

There are plugins, but they don't work when you remove RTTI. I do not use virtual functions at all. I use templates, a lot of them.

A friend of mine spent 30 min reverse engineering std :: vector not knowing its a vector. Imagine thousands of constructor calls, your life will be in shit.

Malware is written in any language, since a language is a tool (as we have already noted here). BASIC, Sharp, Java, C - they all allow you to code here and now without tormenting the syntax of the language and without phantom fears of pointers.

You must be insane to write malware in C # (Unless we're talking about managed C # mixed with C ++) and Java.

C # and Java really hard to read. It's not worth my time getting into them.

In fact, everything that you have just written about requires a kind of sickly skill in general, good knowledge in CS, plus a lot of free time to study and understand. Personally, I jumped off the Plus after the C ++ 11 standard, when crap with parentheses and other garbage began there in an attempt to keep up with Sharpe. What am I glad to this day, and I'll go back to hell!

Above in the topic, I asked you to show an example of malware on the Plus. I never got an answer. I had to google it a bit and one of the first links turned out to be this one . You don't have to read the text, it's boring, but look at the code. In kamenty chelu was told about the bugs. Isn't this game?! At the beginning of the article, there is a clear and concise C code, understandable to anyone, and everything that follows is fear, horror and gouged out eyes! It's bad to be like this.

You do not need a CS degree neither I have a one. C ++ 11 created even before C # born. The foundation for C ++ 11 set to stone even before C # born. The C ++ committee is slow to approve any proposals and that's why Boost has so much features. Boost features were merged to C ++ 11.

As for C ++ malwares, there is none in public. I don't want to release an example. When I retire, I will throw off one for friends in mother Russia))

 

[DildoFagins]

Heap for Apes

You are the ape then, as std::string and all other container types allocate heap memory.

 

[unbalance]

Ля он достал. Я понимаю практически для чего в ВПО нужен с++, из-за его фишек к которым ты неминуемо будешь привыкать - таких как посчитать все в компайлтайм - оффсеты, хеши, строки. Но не понимаю почему в том же си, я не смогу сделать такого же - а ведь если подумать могу... Да и хер с ним, но по моему из тысячи способов привести нам ответ почему же с++ лучше наш thatsmyname привел самые глупые примеры - настроил своей глупостью всех участников темы, непонимая что над ним ржут. Печально сознавать что большинство С++ новичков выглядят как этот кадр.

 

[unbalance]

Why did you decide to dump the water from the reactor into the ocean

unbalance
Japan's GDP is 5 Trillion USD. Russia's GDP average is 2.3 Trillion USD.
Japan's land size is 145,937 mi² and Russia's land size is 6.612 million mi²
Japan population is 126.3 million whereas Russia's 144.4 million

Показатель разумности нации это не раздутая экономика американцами, ведь по сути у вас своего то ничего нет, вы в рабстве прибываете уже не один десяток лет. А насчет среднего IQ я бы поспорил, вы громадный ядерный эксперемент по заражению себя и человечества. Зачем вы хотите радиоактивную воду из Фукусимы слить в океан? Это хороший показатель, того что ваши острова - нужны только для ядерных испытаний. (Правельно вас прадед в Манжурии насаживал из пулемета)

 

[DildoFagins]

Печально сознавать что большинство С++ новичков выглядят как этот кадр.

Плюсовые душнилы - такие плюсовые душнилы.

 

[KAJIT]

(Правельно вас прадед в Манжурии насаживал из пулемета)

Пахаххаах жестка ты япошку, ненад так пж, подумаш плюсы любит фанатично и не прав(аргументы говно), он передумает, поумеет еще(возможно), он тут накалякал ерунды, рофел-дааааа, но зато другие(те у кого такое же в башке) может прочитают и у них щелнет в извилинах и они вывод для себя сделают.

 

[unbalance]

поумеет еще

возможно

 

[DildoFagins]

япошку

А с чего вы взяли, что он японец? Он вроде писал, что он немец, тем более, что в пользу этой теории говорит его фанатичный с++ нацизм.