Статья Криптор исполняемых файлов. РЭволюция =).

[plexus]

my favorite article so far ,incredibly work.
Heads up, python does not have arrays so you're using a list. Otherwise this looks amazing. Great work

 

[pr0teus]

Революция, которая уже была

 

[Octavian]

Революция, которая уже была

Так теперь Эволюция

Суть в том, что это серия статей вокруг одной большой и сложной темы, так что вполне уместно ИМХО.
К тому же я думаю, смогу организовать цикл статей и уже известна тема следующей статьи ??

 

[Esquire]

Статья топ ! спасибо за старания !

 

[Rubicon]

Ну да, в прошлом конкурсе выиграла по сути не техническая статья без кода вообще.

На сколько я помню он показывал скилы веб хакинга и как минимум умение вайтбоксить лютый php говнокод причём обфусцированный, умеющие такое и в принципе своём пол сотни людей во всём русско-язычном мире не найдётся т.к. в большинстве своём веб хакеры/пентестеры не умеют вайтбоксить т.к. для этого нужен серъёзный кодерский бекграунд, тем более обфусцированный код. Я уже не говорю про то что он завернул в эту историю осинт с деаноном чсв блек кодера/кидалу с кучей рофлов. Тем самым показал как технический скил, наказал чсв блек кодера и при этом повеселил аудиторию скрипт-киддисов которые особо в техническую часть не вникают и хотят крутую историю написанную простым языком. Такая и должна быть статья на 1 место и даже если ты спалишь любой 0day, ты проиграешь статье где есть не только технический хайлевельный скил но и рофлы и интересная хакерская история. С похожей статьёй выйграл бум в позапрошлом конкурсе.

 

[heybabyone]

рофлы и интересная хакерская история.

Рел, те надо было в своих статьях вбросить рофл про визор и электрика из белки
Гарантированно первое место получил бы xD

 

[DildoFagins]

Рел, те надо было в своих статьях вбросить рофл про визор и электрика из белки
Гарантированно первое место получил бы xD

Да никто бы из местных не понял шутки.

 

[heybabyone]

Да никто бы из местных не понял шутки.

Ну ты объяснил бы. Зато было бы овер 7к символов)

 

[DildoFagins]

Ну ты объяснил бы. Зато было бы овер 7к символов)

Да лан, я и без белорусских электриков овер 7к сделаю, воды налить никогда не проблема.

 

[Hellspawn]

Пробежался по статье, понравилось но ничего нового не увидел, все это уже было (но по кускам в разных местах разбросано). Теперь в одном месте лежит аккуратненько. Насколько я помню, вся проблема была дальше в разбрасывании сжатого и зашифрованного кода по секциям в правильных соотношениях, плюс легализация стаба (максимально похоже на обычную программу) и т.д. иначе эвристика будет верещать, но это все так, ремарки. В целом я к чему, это только маленький шажочек на большом пути к настоящему криптору (для любителей скомпилировать и запустить). Это было давно и не правда, не знаю уже как сейчас, старый я уже для этого) зашел помянуть ехелаб и залип на статьях))) Хоть кто-то что-то еще пишет.

 

[Jeffs]

if (Resource!=(PIMAGE_RESOURCE_DIRECTORY)pDos)

if (Import!=(PIMAGE_IMPORT_DESCRIPTOR)pDos)

Подскажите, для чего эти проверки? В каких случая адрес директории ресурсов/импорта может быть равен адресу DOS-заголовка?

 

[DildoFagins]

Подскажите, для чего эти проверки? В каких случая адрес директории ресурсов/импорта может быть равен адресу DOS-заголовка?

Ну очевидно, когда нет такой директории. Согласен, это не очень понятно написано: автор сначала плюсует смещение к базовому адресу, а потом проверяет, что абсолютный адрес равен базовому (то есть смещение было нулевым), вместо того, чтобы проверить, что смещение нулевое изначально.

 

[salsa20]

подскажите какой базовый адрес должен быть в этом месте?

params.base = (DWORD_PTR)hInstance;
    params.file = Data;
    params.file_size = 30000;
    params.flags = 0x1;

    //__debugbreak();
    pe2mem(&params);

params.base = (DWORD_PTR)hInstance;

 

[Quake3]

какой базовый адрес должен быть в этом месте?

обычно hInstance = GetModuleHandle(NULL)
для ехе , не для длл

 

[liusj]

good work

 

[valeraleontev]

Великолепно! Остались бы лайки - поставил бы. Смело можешь открывать свой сервис)

 

[DarkBLUP]

Спасибо за материал. Попробую что то своё написать.

 

[secflag]

Хочу выразить огромную благодарность автору данной статьи, ведь она мне очень помогла разобраться как и в коде, как и в самой технике LoadPE. Долго ломал голову с выполнением того же Putty...

+rep, спасибо!

 

[salsa20]

Да, действительно работает на VC 10 + XP.

 

[arsarsov]

Посмотреть вложение 47024

Да, действительно работает на VC 10 + XP.

А чему там не работать то, если в проекте используется функционал из апишек доступных чуть ли не с 2000 винды