Статья Как правильно изучать malware-кодинг под Windows

[Quake3]

Кстати org 7c00h намекал на мбр =)

да я понял, но опять же - где оно надо, если в контексте малвари. Мбр локеры разве что были, но сдохли давно. Так то согласен, что масм проигрывает в плане универсальности, и то не может, и это. Но я его советую именно в контексте данной темы - разработка малвари под винду. Для создания 32/64 битных ехе он вполне подходит.
кстати, в Ида ведь тоже масм синтаксис.

Масм синтаксис тошнотен

Что именно? ну кроме того, что нужно указывать .386 .486 .mmx , это да, несколько напрягает.

не покрывают 99% в подобных сценариях?

наверное, да. Так задумался - кроме сисколов и HG вроде как чистый масм нигде не видел в малварах.

сразу даёт некоторое представление о таблице импорта:

тут опять же, с какой стороны посмотреть; с одной стороны хорошо и нужно понимать РЕ формат, с другой - излишняя сложность вначале (в масме мы пишем uselib kernel32 и не думаем, как что устроено).

 

[st4s]

тут опять же, с какой стороны посмотреть; с одной стороны хорошо и нужно понимать РЕ формат, с другой - излишняя сложность вначале (в масме мы пишем uselib kernel32 и не думаем, как что устроено).

И в fasm можно, hello.asm именно так и написан.

Спойлер: hello.asm

; example of simplified Windows programming using complex macro features

include 'win32ax.inc' ; you can simply switch between win32ax, win32wx, win64ax and win64wx here

.code

  start:

    invoke    MessageBox,HWND_DESKTOP,"May I introduce myself?",invoke GetCommandLine,MB_YESNO

    .if eax = IDYES
        invoke    MessageBox,HWND_DESKTOP,"Hi! I'm the example program!","Hello!",MB_OK
    .endif

    invoke    ExitProcess,0

.end start

pedemo.asm из прошлого сообщения изучается уже на следующем этапе.

Основная проблема всех этих споров "что лучше", люди отталкиваются от своего опыта, тогда как все мы разные. Одному понятнее читать pe.pdf, другому видеть db 'ExitProcess', а третьему - читать и параллельно самому писать эти dd.

 

[Quake3]

люди отталкиваются от своего опыта, тогда как все мы разные

это верно.
кстати, вспомнил - в фасм еще есть огромный плюс в виде du или как там , что задать юникод строку в секции дата. Потому что в масм такого нет - решается макросами вида uni$ , которые на 32 бит еще норм, а на 64 адово кривые.

 

[Whisper]

в фасм еще есть file "x:\xxx\x.x", очень удобно инклудить любые файлы в любое место куда хочешь.
типа

call ptr_to_some
file "x:\xxx\x.x"
ptr_to_some:
pop eax

 

[DarkBLUP]

Спасибо за статью, она очень полезная и познавательна. Сам недавно начал изучать Си (до этого кодил на пайтоне). Трудновато даётся после питона, но радует то, что хоть какие то знания и понятия программирования есть

 

[ev4ng3liya]

Ц изучать не советую, учите плюсы не тратьте время на то что давно устарело.

В каком месте C устарел ?...
То, что его используют не так часто в enterprise ничего ещё не говорит.
Ц как жил, так и будет жить.
Плюсы учить ? А чем же плюсы лучше в мыловарне ? Тот же ООП при желании можно и в Ц налепить...

 

[Whisper]

В каком месте C устарел ?...
То, что его используют не так часто в enterprise ничего ещё не говорит.
Ц как жил, так и будет жить.
Плюсы учить ? А чем же плюсы лучше в мыловарне ? Тот же ООП при желании можно и в Ц налепить...

Ц уг, которое еще будет некоторое врем конвульсировать на задворках.
Плюсы лучше во всем. То что на ц можно через костыли убогое подобие плюсового ооп лепить не делает ц годным инструментом. Я понимаю что плюсы это писец как сложно в сранении с ц, но оно того стоит.
Да уже даже драйвера давно делают на плюсах с использованием ооп, пойдите расскажите майкам что ооп на ц можно, что бы они херней не страдали. Ц свое отжил, агонизирует нахрен никому ненужный, не просто так от него в интерпрайзе бегут. По одинм только дукументациям и публикациям видно что оно агонизирует. Впрочем отдельные одаренные товарищи могут учить ц и лепить на нем ооп, асфальт, лыжи, эегегей посторонись мля.

 

[ev4ng3liya]

Ц уг, которое еще будет некоторое врем конвульсировать на задворках.
Плюсы лучше во всем. То что на ц можно через костыли убогое подобие плюсового ооп лепить не делает ц годным инструментом. Я понимаю что плюсы это писец как сложно в сранении с ц, но оно того стоит.
Да уже даже драйвера давно делают на плюсах с использованием ооп, пойдите расскажите майкам что ооп на ц можно, что бы они херней не страдали. Ц свое отжил, агонизирует нахрен никому ненужный, не просто так от него в интерпрайзе бегут. По одинм только дукументациям и публикациям видно что оно агонизирует. Впрочем отдельные одаренные товарищи могут учить ц и лепить на нем ооп, асфальт, лыжи, эегегей посторонись мля.

Ты так и не сказал в чём же плюс Ц++ перед Ц. Онли в ооп ?...
Quake3 жду твоё мнение также.

 

[Whisper]

Ты так и не сказал в чём же плюс Ц++ перед Ц. Онли в ооп ?...
Quake3 жду твоё мнение также.

Тебе извини ооп и того что постоянно выходят новые стандарты мало?
Тебе мало что все новые доки по разработке низкоуровневого для плюсов?
Тебе мало новые учебные материалы для плюсов?
Тебе мало что крупные игроки спрыгнули с ц?
Ты че ищешь какое то оправдание что бы сидеть на простеньком и таком понятном ц? что бы не парить себе мозг сложным ц++? Да сиди себе с ц не парься, тебе даже помогу - все самые крутые хакеры пишут только на ц и оссемблере, это же так очевидно. Давай сиди в своем 2013м году вместе с самыми крутыми хекирами.

 

[ev4ng3liya]

Тебе мало что крупные игроки спрыгнули с ц?

Я не работаю в разработке, зачем мне твои "крупные игроки" ?)))

 

[Whisper]

Я не работаю в разработке, зачем мне твои "крупные игроки" ?)))

Ну наверное затем что они умеют в оценку эффктивности и в счет деньго-времени, и в строчкакода-цена, и в прочая аналитика. Но ты серьезно не учи плюсы, уже ясно что тебе оно не надо.

 

[ev4ng3liya]

Ну наверное затем что они умеют в оценку эффктивности и в счет деньго-времени, и в строчкакода-цена, и в прочая аналитика. Но ты серьезно не учи плюсы, уже ясно что тебе оно не надо.

Тема про мыловарню, а ты говоришь про компании, которые перешли на Ц++, где логика ?)
Я вот не спорю, а лишь хочу узнать в чём плюсы Ц++ перед Ц в мыловарне. А тебя, по всей видимости, задело, что кто-то сказал про твой язык что-то плохое))))) Всегда удивляло с таких вот людей

 

[Artem N]

Виспер, действительно: чего ты в каждом своём сообщении ООП упоминаешь?!

 

[ev4ng3liya]

Виспер, действительно: чего ты в каждом своём сообщении ООП упоминаешь?!

Да его просто триггерит, что никто здесь не похвалил его язык) Это такой отдельный вид программистов если что

 

[Whisper]

Виспер, действительно: чего ты в каждом своём сообщении ООП упоминаешь?!

Касательно того почему Ц++ а не Ц, не упомянуть опп было бы странным. В своем сообщении #277 я ооп не упоминал.
В сообщении #274 я упомянул много чего.

Тема про мыловарню, а ты говоришь про компании, которые перешли на Ц++, где логика ?)
Я вот не спорю, а лишь хочу узнать в чём плюсы Ц++ перед Ц в мыловарне. А тебя, по всей видимости, задело, что кто-то сказал про твой язык что-то плохое))))) Всегда удивляло с таких вот людей

А где вы сказали что ц++ это что то плохое? Не помню такого. А вот то что я сказал что ц это плохо потому что устарело не отрицаю.
Типа малваро кодинг это какой то особенный кодинг где нет необходимости рефакторить и поддерживать код? Уверяю вас это не так.
Но! Внатуре пасаны меня осенило, Малвару надо писать на Ц и точка, все самые крутые малвары написаны на Ц, все самые крутые кодеры кодят на Ц, это полюбому так. На плюсах кодят малвару не то что бы совсем дураки но полюбому люди не далекие, ц++ для малвары это как ц# просто немножко нативнее. Так что все нормально Ц форева!

 

[Whisper]

Да его просто триггерит, что никто здесь не похвалил его язык) Это такой отдельный вид программистов если что

Да полюбому обидно. Выучить ц ума нехватило, еле еле ц++ осилил.

 

[Artem N]

Касательно того почему Ц++ а не Ц, не упомянуть опп было бы странным. В своем сообщении #277 я ооп не упоминал.
В сообщении #274 я упомянул много чего.

Упоминание об ООП в Плюсах без упоминания множественного наследования (самая бесполезная фича, ИМХО) - деньги на ветер!

С полгода назад я тут "поцапался" с одним немцем-буржуем, который тоже за Плюсы топил (привет тебе, помню). На мой аргумент привести хотя бы часть кода, где Плюсы кроют Си как бык овцу - внятного ответа так и не поступило. Лично я не вижу ни одной причины, где Плюсы лучше Си для ВПО.

 

[Whisper]

Упоминание об ООП в Плюсах без упоминания множественного наследования (самая бесполезная фича, ИМХО) - деньги на ветер!

С полгода назад я тут "поцапался" с одним немцем-буржуем, который тоже за Плюсы топил (привет тебе, помню). На мой аргумент привести хотя бы часть кода, где Плюсы кроют Си как бык овцу - внятного ответа так и не поступило. Лично я не вижу ни одной причины, где Плюсы лучше Си для ВПО.

То что кто то, чего то не видит - это нормально, то что кому то нравиться кодить на языке из прошлого - тоже вполне нормально.
Но вот когда они начинают давать новичкам советы изучать что что уже давно не использует все то большинсво которое увидило, проанализировало и посчитало включая ветроденьги это уже совсем плохо. Новичкам при выборе советую составить свое мнение основываясь на том как и что обновляется и поддерживается, на том для чего выходят учебные материлы и в каком сравнительном объеме, на что больше больше спрос на рынке труда. Не верьте на слово, анализируйте то что на поверхности.
Ваш шанс.
Когда то корпы делали код на ц, потом вдруг сошли с ума и разучились считить прибыль, и стали от ц уходить в ц++, а это значит что повилась уникальная возможность - начните свой большой проект на ц, соберите единомышленников, и вы легко завоюютете рынок, ваш код буде лучше и быстрее, ваши программы буду содержать меньше ошибок и их легче будет поддерживать и модернизировать под новые условия, пробил ваш час, у вас уникальное приимущество, воспользуйтесь им, покорите мир.

 

[Artem N]

То что кто то, чего то не видит - это нормально, то что кому то нравиться кодить на языке из прошлого - тоже вполне нормально.
Но вот когда они начинают давать новичкам советы изучать что что уже давно не использует все то большинсво которое увидило, проанализировало и посчитало включая ветроденьги это уже совсем плохо. Новичкам при выборе советую составить свое мнение основываясь на том как и что обновляется и поддерживается, на том для чего выходят учебные материлы и в каком сравнительном объеме, на что больше больше спрос на рынке труда. Не верьте на слово, анализируйте то что на поверхности.

Согласен. Но на Си написан Лялих и Венда. Переписывать никто не будет. А что они из себя представляют? Те самые ОС, для которых ПО можно писать хоть на Брайнфаке. Но никто сейчас с Си или Асма не начитает - молодые стремятся в Питон и прочий ЯваСкрипт.

Когда то корпы делали код на ц, потом вдруг сошли с ума и разучились считить прибыль, и стали от ц уходить в ц++, а это значит что повилась уникальная возможность - начните свой большой проект на ц, соберите единомышленников, и вы легко завоюютете рынок, ваш код буде лучше и быстрее, ваши программы буду содержать меньше ошибок и их легче будет поддерживать и модернизировать под новые условия, пробил ваш час, у вас уникальное приимущество, воспользуйтесь им, покорите мир.

Передёргиваешь всё ж Кто там что научился или разучился - никогда такого не было: ни один жирный кровавый ынтерпрайз (на моей памяти) не писался на Сях. Потому что дурных нет!

ИМХО, Си - это отличный язык для встроек, ядер (потому что кросс-платформенный + куча денег влита в оптимизирующий компилятор) и малвари. Потому что в ВПО без указателей и указателей на указатели и тому подобных виртуальных таблиц ты вообще как сапожник без сапог - или понимаешь тему, или пишешь парсеры Редлайна на Питоне в ООП-стиле.

 

[Whisper]

Согласен. Но на Си написан Лялих и Венда. Переписывать никто не будет. А что они из себя представляют? Те самые ОС, для которых ПО можно писать хоть на Брайнфаке. Но никто сейчас с Си или Асма не начитает - молодые стремятся в Питон и прочий ЯваСкрипт.


Передёргиваешь всё ж Кто там что научился или разучился - никогда такого не было: ни один жирный кровавый ынтерпрайз (на моей памяти) не писался на Сях. Потому что дурных нет!

ИМХО, Си - это отличный язык для встроек, ядер (потому что кросс-платформенный + куча денег влита в оптимизирующий компилятор) и малвари. Потому что в ВПО без указателей и указателей на указатели и тому подобных виртуальных таблиц ты вообще как сапожник без сапог - или понимаешь тему, или пишешь парсеры Редлайна на Питоне в ООП-стиле.

Си был отличным язком, давно. Сейчас не актуален.

Вы читали книги - Чистый код и Чистая архитектура? Без классов интерфейсов и наследования даже вроде бы и незначительные правки могут превращаться в ад. Например вдруг надо сделать что бы бот репортил в файл, поменять протокол, поменять формат, шифрование, сжатие, если класс который отправляет репы получает в качестве адресата интерфейс это сильно проще. Если файловыми операциями у вас заведует класс то значительно легче перевести код с кернел32 на нтдлл или сисколлы, и даже делать это динамично. Если класс файловых операций в качестве объекта получает интерфейс с рид, врайт, сик, то через этот класс можно вообще работать практически с чем угодно, даже совсем не файлами. Все это можно закостылять и на ц, но нахрена. А лямбды вы их чем замените? Будете плодить функции? А шаблоны? Бесполезняк? Вот что я вам скажу про ц - если поковыряться в навозе то там можно найти непереваренные зерна, смолоть их и выпечь хлеб. Но зачем!!! Или так, - то что деревья можно разделять на части и топорм, плохая причина не добавить себе в арсенал пилу, и уж тем более объявлять ее малополезной.