• XSS.stack #1 – первый литературный журнал от юзеров форума

Как работает radare2? Несколько вопросов...

Отслеживать
oid

oid

HDD-drive
Пользователь
Регистрация
26.02.2023
Сообщения
34
Реакции
3
Немного недопонимаю принцип работы. Откуда берутся адреса, если код не запущен?
Видел, что открывают испольняемый файл и смотрят что там, там есть адреса памяти, но откуда они берутся, если сам код еще не запущен?
Это какие-то виртуальные адреса или как они формируются?
 
Сортировать по дате Сортировать по голосам
Пожалуйста, обратите внимание, что пользователь заблокирован
Так а какая проблема просчитать виртуальный адрес, берется база и таблица секций из PE-файла и считается.
 
За 0 Против
DildoFagins сказал(а):
Так а какая проблема просчитать виртуальный адрес, берется база и таблица секций из PE-файла и считается.
Человек наверное не знаком с устройством PE файла.
 
За 0 Против
DildoFagins сказал(а):
Так а какая проблема просчитать виртуальный адрес, берется база и таблица секций из PE-файла и считается.
То есть, строятся виртуальные адреса? А как же тогда меняют код с ассемблера или машинного и сам файл работает по другому?
Как происходит построение виртуальных адресов и чем они отличаются от реальных, которые будут задействованы при реальном запуске кода?
 
За 0 Против
DoppleKSE сказал(а):
Человек наверное не знаком с устройством PE файла.
Можете подсказать - что гуглить, чтобы найти информацию с которой я не знаком?
 
За 0 Против
oid сказал(а):
что гуглить, чтобы найти информацию с которой я не знаком?

PE Format - Win32 apps

This specification describes the structure of executable (image) files and object files under the Windows family of operating systems. These files are referred to as Portable Executable (PE) and Common Object File Format (COFF) files, respectively.
learn.microsoft.com
 
За 0 Против
oid сказал(а):
Можете подсказать - что гуглить, чтобы найти информацию с которой я не знаком?

ФоÑÐ¼Ð°Ñ PE - Win32 apps

ÐÑа ÑпеÑиÑикаÑÐ¸Ñ Ð¾Ð¿Ð¸ÑÑÐ²Ð°ÐµÑ ÑÑÑÑкÑÑÑÑ Ð¸ÑполнÑемÑÑ (обÑаз) Ñайлов и Ñайлов обÑекÑов в ÑемейÑÑве опеÑаÑионнÑÑ ÑиÑÑем Windows. ÐÑи ÑÐ°Ð¹Ð»Ñ Ð½Ð°Ð·ÑваÑÑÑÑ Ð¿ÐµÑеноÑимÑми иÑполнÑемÑми Ñайлами (PE) и обÑими...
learn.microsoft.com

Parsing PE File Headers with C++ - Red Team Notes

www.ired.team

PE (Portable Executable): Ðа ÑÑÑаннÑÑ Ð±ÐµÑегаÑ

ÐÑа ÑÑаÑÑÑ Ð¿ÑедÑÑавлÑÐµÑ Ð¸Ð· ÑÐµÐ±Ñ ÑаÑÑказ о Ñом как ÑÑÑÑÐ¾ÐµÐ½Ñ Ð¸ÑполнÑемÑе ÑÐ°Ð¹Ð»Ñ (в ÑоÑкÑ! ÐÑо именно Ñе ÑÑÑки, коÑоÑÑе полÑÑаÑÑÑÑ Ð¿Ð¾Ñле компилÑÑии пÑиложений Ñ ÑаÑÑиÑением .exe). ÐоÑле Ñого, как...
habr.com

Так же следует обратить внимание на стати Криса Касперски

Путь воина — внедрение в PE/COFF-файлы::Журнал СА 6.2004

Журнал «Системный администратор», читать, скачать, купить
samag.ru
 
За 0 Против
Спасибо большое!

DoppleKSE сказал(а):

ФоÑÐ¼Ð°Ñ PE - Win32 apps

ÐÑа ÑпеÑиÑикаÑÐ¸Ñ Ð¾Ð¿Ð¸ÑÑÐ²Ð°ÐµÑ ÑÑÑÑкÑÑÑÑ Ð¸ÑполнÑемÑÑ (обÑаз) Ñайлов и Ñайлов обÑекÑов в ÑемейÑÑве опеÑаÑионнÑÑ ÑиÑÑем Windows. ÐÑи ÑÐ°Ð¹Ð»Ñ Ð½Ð°Ð·ÑваÑÑÑÑ Ð¿ÐµÑеноÑимÑми иÑполнÑемÑми Ñайлами (PE) и обÑими...
learn.microsoft.com

Parsing PE File Headers with C++ - Red Team Notes

www.ired.team

PE (Portable Executable): Ðа ÑÑÑаннÑÑ Ð±ÐµÑегаÑ

ÐÑа ÑÑаÑÑÑ Ð¿ÑедÑÑавлÑÐµÑ Ð¸Ð· ÑÐµÐ±Ñ ÑаÑÑказ о Ñом как ÑÑÑÑÐ¾ÐµÐ½Ñ Ð¸ÑполнÑемÑе ÑÐ°Ð¹Ð»Ñ (в ÑоÑкÑ! ÐÑо именно Ñе ÑÑÑки, коÑоÑÑе полÑÑаÑÑÑÑ Ð¿Ð¾Ñле компилÑÑии пÑиложений Ñ ÑаÑÑиÑением .exe). ÐоÑле Ñого, как...
habr.com

Так же следует обратить внимание на стати Криса Касперски

Путь воина — внедрение в PE/COFF-файлы::Журнал СА 6.2004

Журнал «Системный администратор», читать, скачать, купить
samag.ru
Не подскажете еще - что под линукс вместо этого используется?
 
За 0 Против
oid сказал(а):
Не подскажете еще - что под линукс вместо этого используется?

ELF Format Cheatsheet

ELF Format Cheatsheet. GitHub Gist: instantly share code, notes, and snippets.
gist.github.com

Introduction to The ELF Format (Part VI): The Symbol Table and Relocations (Part 2)

Hacking,Information Security,Penetration Testing,Google Hacking,Google Dorking,Keith Makan,Black Hat,Security Research,InfoSec,Web Site Security
blog.k3170makan.com

ELF_Executable_and_Linkable_Format_diagram_by_Ange_Albertini.png
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Файл-это структурированный особым образом набор данных. И эти данные в незапущенном в активную оперативную память виде расположены в основном статично на стационарном носителе информации, например диске, которые точно также разбит на адреса и адресован в операционную систему соответствующим образом. Кроме того, сам radare2 может подгружать исполняемый или любой другой файл или его фрагмент в память, каким-либо образом, и там тоже все адресуется почти также, как и везде в таких случаях.
 
За 0 Против
Ясно, подскажите, плз!
Вообще мне хочется понять как мне взять произвольную программу виндовс и мой скомпилированный исполняемый файл, написанный на golang, и пропатчить софтину под винду, чтобы вместе с ней запускался и мой скрипт. Например с мини сервером удаленного администрирования.

Пока, грубо, я понимаю так - сначала я через radare2 ищу какую-то функцию которая выполняется при запуске, беру типа ее адрес или что-то такое, опять же через r2 я смотрю свой пайлоад - беру типа адрес функции main и припысываю его к той функции в оригинальной софтине?

Или может быть это все можно сделать проще?
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
oid сказал(а):
Или может быть это все можно сделать проще?
Не хочу тебя расстраивать, но купи или найди на гитхабе готовый джойнер, тебе с такими вопросами несколько лет нужно матчасти и ассемблер учить, чтобы сделать это самому.
 
За 0 Против
DildoFagins сказал(а):
Не хочу тебя расстраивать, но купи или найди на гитхабе готовый джойнер, тебе с такими вопросами несколько лет нужно матчасти и ассемблер учить, чтобы сделать это самому.
Да ничего, да с ассемблером не работал (в универе разве что лабораторные работы) и таких задач не стояло. Но работал с другими языками и учился по специальности. Надо матчасть подтянуть - подтяну. Но мне нужны ориентировки, чтобы хотябы понять - как это образно все происходит, затем буду изучать детали.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
oid сказал(а):
Но мне нужны ориентировки
Ну поищи на гитхабе joiner'ы и посмотри, как они работают.
 
За 0 Против
DildoFagins сказал(а):
Ну поищи на гитхабе joiner'ы и посмотри, как они работают.
Благодарю! exe-binder/joiner - там как будто один: https://github.com/0x44F/exejoiner/blob/main/main.cpp и то странный, запросы к левому урлу делает.
А антивирусы их не палят? Публичные джойнеры никак себя не выдают?
Их на гх или нет или по другому запросу надо искать джойнеры эти...
 
Последнее редактирование:
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
oid сказал(а):
Я снова извиняюсь а альтернатива PE для винды, но под Android есть?
Таки полоумок)))
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
DildoFagins сказал(а):
Так а какая проблема просчитать виртуальный адрес, берется база и таблица секций из PE-файла и считается.
Ну да, а остальные адреса в любом случае добавляются динамически при подгрузке файла в качестве программы/шаренной библиотеки и маппинга в память.
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх