Windows Internals
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Как правильно изучать malware-кодинг под Windows
- Автор темы Quake3
- Дата начала
quake3, подскажи, как опытный в теме. Пишу не для заработка, а для души. Winapi знаю хорошо, естественно, прочитал и Харта, и Рихтера, и Internals, и много тому подобных статей и книжек, попутно реализовывая встречающиеся интересные темы(которые можно обратить во зло, хи-хи-хи). Начинал с асма и +\- уверенно пишу на c и питоне. С отладчиком естественно знаком(отлаживал свои асм программы и базовые crackme). Куда двигаться дальше, как по мне, в статье этот пункт описан туманно?
Ещё очень бы советовал Майкл Сикорски, Эндрю Хониг «Вскрытие покажет! Практический анализ вредоносного ПО» и «Руткиты. Внедрение в ядро Windows.». Must have.
Ещё очень бы советовал Майкл Сикорски, Эндрю Хониг «Вскрытие покажет! Практический анализ вредоносного ПО» и «Руткиты. Внедрение в ядро Windows.». Must have.
Последнее редактирование:
Если вы прочитали и поняли, проработали эти статьи...
То следующий этап, разобраться и понять, что такое визор и софтверные анклавы.
Нам потом расскажите.)
Изучай те же данные-только ещё глубже.
Границ, в определенном смысле, фактически нет.
Поставь задачу и от этого отталкивайся. Там и вылезут подводные. Просто так ты не выучишь все. Жизни не хватит.
- Автор темы
- Добавить закладку
- #146
Дальше практика, написать простой локер, лоадер, стиллер, по ходу дела разбираясь с возникшими вопросами (как делать то или это).
Касаемо изучения - есть множество тем, которые нужно знать, к примеру:
- РЕ формат, хотя бы на уровне 94 года, самую базу (импорт-экспорт-секции). Он, в принципе, несложный, но понимать надо. Закодить свой просмотрщик РЕ файлов, потом РЕ-лоадер и т.д.
- Технология СОМ . Базовые понятия (что, зачем, как вызывать).
- Ядро. Если для души, то советую изучать, там много интересного (к сожалению, сам дальше хеловорлдов не ушел в ринг0).
Большое спасибо за ответ, на данном этапе пробую копаться с драйверами(плюсик в карму x-shar за переводы), там и вправду много интересностей.
Если нравится кернел-мод, там можно много чем поиграть...
Вот темы, может-быть вы даже что-то интересное как стартап сделаете (Это не малварь):
1. Глянуть в сфере гипервизоров что-то, например эмуляция кода на аппаратном уровне, ну что-то типо песочницы сделать.
Ну тут очень железячный уровень, вам ещё толмут от интела прочитать надо-будет, но саму идею если что-то сделаете интересное, можно потом и продать, либо в резюме черкануть, полезно короче...)
2. Это не сложно, но можно что-то с файловыми системами поделать на уровне ядра.
Шифровка/расшифровка, можно сделать виртуальный носитель и конечная цель, создать что-то типо своего трукрипта...)))
3.Попробовать сделать свой файервол и анализатор сетевого трафика.
Ну-вот так на вскидку накидал идеи, если что-то будете делать, уже скилл сильно поднимете на практике.
Вот темы, может-быть вы даже что-то интересное как стартап сделаете (Это не малварь):
1. Глянуть в сфере гипервизоров что-то, например эмуляция кода на аппаратном уровне, ну что-то типо песочницы сделать.
Ну тут очень железячный уровень, вам ещё толмут от интела прочитать надо-будет, но саму идею если что-то сделаете интересное, можно потом и продать, либо в резюме черкануть, полезно короче...)
2. Это не сложно, но можно что-то с файловыми системами поделать на уровне ядра.
Шифровка/расшифровка, можно сделать виртуальный носитель и конечная цель, создать что-то типо своего трукрипта...)))
3.Попробовать сделать свой файервол и анализатор сетевого трафика.
Ну-вот так на вскидку накидал идеи, если что-то будете делать, уже скилл сильно поднимете на практике.
excellent roadmap is very helpful, quite valuable !!! Thank you so much
Интересная статейка,Си код ни разу не смотрел,тяжело ли с шарпа будет на него перейти?
ИМХО, да, будет сложно. В Си есть только malloc и free (в плюсах ещё new и delete/delete[]) - это ручное управление памятью. В Си нет строк за исключением asciiz-строк, которые убоги по определению. Функции для этих строк - медленные (типа strlen) и небезопасные (strcpy против strncpy). В Шарпе минимум ситуаций, когда ты можешь выстрелить себе в ногу, в Си же это постоянно, если нет опыта
Кроме того, в Си нет объектов, конструкторов/деструкторов и прочих исключений.Вопчем, придётся переучиваться и писать код совершенно иначе.
- Автор темы
- Добавить закладку
- #152
Все же легче, чем учить с 0. Если писал на шарпе, значит есть понятия про цикл, переменную и так далее. Да, Си чисто процедурный , но это и хорошо.
Сам первым языком учил шарпы, потом надо было пописать на С++ и С с Виндовс АПИ. В это знание шарпов сильно помогло, так как было понимание о работе виндос да и код всеравно Си лайк. Единственное что было не привычно - это то, что надо было думать о память.
Это явно написано непрофессиональным программистом, который ничего не знает о C ++ и C.
В сообществе C есть группа людей, которые без всякой причины ненавидят C ++ и ООП, а также абстракцию. Они психически больны. Им нужны врачи.
ООП просто не изучают, вы используете ООП для решения проблем.
ООП - это не просто большой класс с методами. ООП - это дизайн и верстка вашей программы. ООП делает код более тестируемым и улучшает возможность повторного использования.
С C вы заново изобретаете C ++ без всякой причины. Вы заново изобретаете STL без всякой причины.
C - это язык, подходящий для вредоносных программ, нацеленных на энергетические компании.
C - небезопасный язык.
C ++ создается профессионалами. Стандарты C ++ разрабатывают люди с докторскими степенями, а не подростки-программисты.
C ++ - это Мерседес языков программирования.
C ++ предоставляет множество возможностей и облегчает вашу жизнь.
Например, для создания типичного банковского трояна на C потребуется 5 лет, а для C ++ в целом потребуется даже менее 4 недель.
Вы не получите ничего в C за 5 лет, которые вы потратили.
C похож на уменьшенный Javascript. Обратить программы на C очень просто.
Что такого нереального и невозможного в изучении новых стандартов из C ++ 11?
займет всего 30 минут.
GitHub - AnthonyCalandra/modern-cpp-features: A cheatsheet of modern C++ language and library features.
A cheatsheet of modern C++ language and library features. - AnthonyCalandra/modern-cpp-features
github.com
Если вы пытаетесь понять, как реализованы эти функции, то даже вашей жизни будет недостаточно.
Это похоже на попытку создать собственную машину.
Вам нужно только знать, что эти функции делают в целом на высоком уровне. Это все, что вам нужно.
В противном случае вам нужна медицина серьезно.
Что такого сложного в фабриках, шаблонах, итераторах, интеллектуальных указателях, усилениях и т. Д.?
Это мои любимые особенности C ++
Итераторы экономят много времени.
Быстрый простой пример,
std::vector<int> numbers { 1, 2, 3, 4 ,5 };
for(auto &i : numbers) {
std::cout << i << "\n";
}
Шаблоны великолепны, потому что вы можете делать вещи во время компиляции, а также можете уменьшить дублирование кода с помощью шаблонов.
Лямбда-функции также удивительны, потому что они захватывают область видимости и действительно полезны с обратными вызовами.
Умные указатели устраняют необходимость ручного управления памятью. Они также предотвращают ошибки, например, когда вы забываете освободить память, как в C.
Если вы переходите с языка высокого уровня, вы можете изучить C ++ за 2-3 месяца, но если вы переходите с языка более низкого уровня, такого как C или ASM, вам придется много работать над собой, чтобы оценить абстракцию.
Самое прекрасное в идиоматическом C ++ заключается в том, что он не имеет сигнатуры FLIRT, поэтому обнаруживает низкий уровень.
Многие люди никогда не писали современный код на C ++ и думают, что C ++ уродлив, а Rust - сексуален. Проклятый мир, в котором мы живем!!
- Автор темы
- Добавить закладку
- #155
Мы с тобой это уже обсуждали на экплоите. Каждый остался при своем. Не хочу развивать холивар Си или С++, тут вопрос в другом - язык для новичка. Ты предлагаешь начинающему учить С++, именно современный? Ну ок , пробуй.
а что такого? с 11 стандарта и до ласт, новичок не понятен? тут уже о мышление нужно говорить, а не совет по чистому си давать, си уже просто морально устарел, зачем пинать старого деда?
Да, я, конечно, предлагаю C ++ для новичков в любое время вместо C. Если вы сначала изучите C, вы усвоите вредные привычки, от которых трудно избавиться.
Я имею в виду, что C ++ прост, где C может прострелить себе ногу.
Послушайте, C даже не является полным по Тьюрингу, и он разработан, чтобы помочь тем, кто в то время писал ASM.
Вы упомянули, что перешли с ASM на C, и это облегчило вам жизнь. А теперь представьте, что если вы перешли с C на C ++, ваша жизнь будет на небесах с ангелами вокруг вас.
Это ваша собственная логическая ошибка!
Последнее редактирование:
Что ты там куришь?)
Я не курильщик. Я оценил время, необходимое для создания собственного STL, потому что это то, что делают авторы вредоносных программ C. Они не доверяют внешним библиотекам, но, тем не менее, даже если вы используете библиотеки, время будет больше, чем время разработки C ++.
Это параллельно с индустрией видеоигр. Они выпускают собственный STL, например EA Games, но у них есть веские причины, в отличие от нас.
Мой друг потратил 3 года на модификацию Zeus. Zeus утверждает, что написан на C ++, но он не использует возможности C ++, а скорее C. Zeus прожил бы гораздо дольше, если бы использовал шаблоны C ++.
Даже эти вредоносные программы на C. написаны плохо. Единственная хорошая вредоносная программа на языке C, которая мне понравилась, была Gozi IFSB.
Последнее редактирование:
Шаблоны в малвари?!
А есть примеры ВПО на Плюсах? Очень интересен порог вхождения в этот код: много запросов доработать малварь за предыдущим разрабом. Многие ли готовы доработать плюсовый код - вот в чём вопрос! Речь, конечно, не о том, когда берут Плюсы и фигачат в стиле Си.