Я так и хотел изначально, но меня как-то смущал тот факт, что мои волшебные макросы никак не влияют именно на локальное состояние внутри скоупа)
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Conti 3.7 (Слив от 2023-03-05 )
- Автор темы CoreTMP
- Дата начала
-
- Теги
- conti leak ransomeware
Получается в .data попадают и константы и статики?
Локальная переменная это просто место на стеке, она появляется при входе в функцию, и удаляется при выходе из нее, то есть если ты что-то морфишь в пределах одной функции, тебе придется нормально так придумать условий, которые не сможет оптимизировать компилятор, что бы твой треш не удалился. С глобальными переменными проще, они существуют все время, пока твоя программа запущена. Они находятся в разных секциях, обычно это rdata и data
В rdata находятся глобальные переменные-константы, которые не меняются, потому что секция доступна только на чтение как правило, в data лежит то, что можно изменить, там права rw
Ну обычно константы в отдельной секции (rdata), которая не имеет прав на запись.
Еще помимо глобальных переменных очень хорошие результаты дают игры с динамичными структурами в выделяемой памяти. Они тоже никак не могут быть оптимизированны.
в раст, к счастью, есть аннотации, которые позволяют запретить LTO в любом виде)
спасибо
LTO работает условно на уровне функций, внутри функций оптимизатор может удалять ничего не значащий код вне зависимости от LTO. LTO - оптимизации времени линковки, в основном используется для DCE - например, удаления функций, которые не вызываются.
Код:
if false { ... }Но аннотации все равно должны работать, я проверю это сейчас
Да, должен срезаться, если у тебя оптимизация включена.
Ну да, ты прав. Думаю можно как-то обойти, но надо постараться)
Просто используй заведомо ложные условия, которые не сможет просчитать компилятор, опять же на основе глобальных переменных или выделяемой памяти
Учитывая функционал проги, работала команда разрабов. Возможно даже призы получали на PHDays.
Вы вместе кодели чудо стиллер.
бери паблик Пони и делой. там и детекты и рабочий софт без изъёбов
я тебя умоляю кому нах интересны сорцы конти, они валяютсо в сети уже год.
arsarsov ты упоминал про то что не хуево бы свой линкер написать, а почему не BOF\COFF loader?
Может не стоит и линковать вообще, грузим че есть, предоварительно собрав в виде PIC?
Готовя PIC код его морфим - а готовые .o файлы грузит лоадер - на чистку котоорого и нужны основные усилия -
код получится модульным .o или .obj можно грузить не дропая на диск вообще - тем же образом как коба грузит свои BOFы
Я однако удивлен, читаю этот форум уже четвертый год и не видал чтоб у Рела так пукан подорвало, кому-то нужно ачивку выдать)
Даже Ванька Топор не смог довести до такого а ведь он илитные морфера бинарей и на bash умел
подумай так - какая разница между глобал перемеными и обычными в контексте построение AST дерева
точнее: дело не в разнице между типами данных а дело в том куда ты поместишь и тех и тех - при условии что тебе нужно абстрактное синтаксическое дерево построить.
Для тех кто хочет почитать про это буржуи называеют такое - dead code obfuscation, если я правельно понял цитируемого.
Еще вопрос: у вас же стрго синхроный код по схеме:
Бинарь -> дизасм бинаря -> перевод дизасма на FASM -> морфинг и перекомпиляция
...морфится верно? Асинхронщина - не переживет такие вещи - в смысле там такую багу выхватишь, что скорее состаришься чем отдебажишь
Вообще у меня опыта не много в морфе - хоть бинарей хоть сорцов - но как показывает практика: EDR строго похуй че у вас там за deadcode -
если что то лезет читать к примеру кукисы хрома юзая винапи или прямой сискол(как по учебнику) - то это что то будет уничтожено в 100% как таракана тапком под Cortex \ Sentinel.
Даже я бы это описал бы по иному - там такая логика - все что подпадает под определение - попытка чтения сикретов браузера - и не является этим браузером - будет безбожно вырезано
Если кому то интерено шлите семпл - у меня поднят стенд с Cortex \ sentinel \ carbon \ falcon там уже не один десяток стилеров опозорился да и прочей малвари тоже было дохера
Последнее редактирование:
Так выглядит НЕ подорванная жопа:
... и тд. Как выглядит подорванная жопа:
Смотрите не перепутайте, друзья...
а зачем писать свой? Есть capstone тот же.
Находишь секцию с кодом, пробегаешься capstone и меняешь инструкции. Есть проблема только в том, что относительные прыжки придется фиксить.
Ну есть еще несколько проблем со сборкой PE файла (по типу размер секции новый, может еще выравнивание придется подкорректировать)
то что у твоего опонента полыхает сильнее, спору нет.
upd - но и тебя я таким не видел не разу)
Последнее редактирование:
capstone и xed/lced юзаю еще с незапамятных времен
Тут в этом топике чегото полезного 0,1%. Только публичный обосрач. Может в личке выясните отношения у кого яйца больше?
Последнее редактирование:
Да, это идея интересная, очень даже, правда неприменимо к каким-то большим проектам, которые уже имеют некоторую кодовую базу, и переводить это все в PIC достаточно долго и проблематично. А вот если что-то с нуля начинать сразу в этом духе - то затея неплохая.
да нет проблем не будет, потому что я не морфлю неизвестные бинари левые, я занимаюсь пересборкой тех бинарей которые откомпилировал сам, а там у меня есть отладочная инфа и я знаю где находится каждая переменная, каждая функция, каждый байт
это все очень просто разграничивает на код и данные
если не получается в лоб, можно пойти обходным путем
подумай, какой экзешник официально может получать доступ к файлам хрома ? правильно - сам хром, дальше думай что с этим можно сделать))
Рядом со мной ты конечно одуванчик, но не надо прятаться за моей трехметровой пеленой мата, ты вчера повел себя нетипично по-уебански, и тебя по факту выше ткнули в это носом.
Будем надеяться что у тебя был просто вчера плохой день и нервы шалили.