24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
В этом треде мы изучаем самый компактный и низкоуровневый /asm/
В этом треде мы изучаем самый компактный и низкоуровневый язык Ассемблер и смежную с ним область: Реверс-инженеринга (RE).
Вы пишите на ассемблере или собираетесь начать на нём писать? Программируете микроконтролёры, пишете драйвера для ОС, а то и саму ОС? Вам сюда. Вы изучаете алгоритмы работы закрытого софта, пишите патчи бинарников? Вам тоже сюда.
Попрошайки с "решите лабу по асме за меня" идут в общий тред, а лучше нахуй.
Инструменты для RE: Дизассемблеры: 0) IDA Pro 7.2 когда подберут пароль к архиву 1) IDA Pro 7.0.torrent (x64 only, для XP нужно патчить PE + вылеты) 2) IDA Pro 6.8.torrent 3) IDA Pro 5.0 - бесплатная версия для некоммерческого использования 4) Radare 2 - наконец прикрутили гуй, но по прежнему нужна только клиническим, не умеющим в скачивания торрентов, или пользователям альтернативных ОС 5) Остальное
>>1369393 Тащемта по дефолту там прослушивается порт и включена возможность удаленного подключения. Есть в гидре конечно и свои плюсы, как-то легче что-ли первичный анализ бинарника сделать, но для реальной работы она не катит все таки.
По-моему Сишный компилятор больше инструкций добавляет, а с опцией -O3 вообще мрак получится. Кто-то поможет объяснить, почему так? https://godbolt.org/z/zTCRf7
>>1369486 > Как экспортировать символ на fasm? public internal_name as '_external_name' или просто public name, если переименовывать не нужно.
>>1369494 У тебя в крестах локальная переменная, в Си - глобальная. Во втором случае оно смогло в автоматическую векторизацию (обрабатывает несколько шагов цикла за раз), попробуй собрать с -fno-tree-vectorize, если важен размер кода.
>>1369677 Да, крестовые алгоритмы из стандартной библиотеки лучше оптимизируются, потому что компилятору доступно больше информации. В Си можно так: https://godbolt.org/z/ShqpCI (к сожалению, без const не свернет).
Ебать я даун. Написал программу, неправильно проверил и сижу ищу ошибку которой не существует. Как в анекдоте про иностранца, собирающего холодильник, и русских, которые подкидывают ему детальки.
Ладно одной проблемой меньше.
Как в этом прекрасном языке строки вводятся, выводятся? Чот из методички нихрена не понял. Пните меня хоть в правильное место. Прерывания какие-то досовские, значения регистров для вызова правильной подпрограммы, вообще охуеть.
>>1371108 Ну Spacewar! нахерячили же в 62 году. Скорее всего на ассемблере, либо вообще на двоичном запилили (Маловероятно, но возможно). (Хотя чёрт его знает что было на PDP-1 Вдруг и компилятор чего нибудь высокого. Хотя вряд ли)
>>1371944 Том что выполнение начинается с первой строчки, а у тебя там вместо кода переменная. Утащи ее вниз. И еще тому, что для int 21h/func=9h DX должен указывать на строку, завершенную долларом, а у тебя не указывает и не на строку.
Ребят подскажите сколько цыклов процессора идет на выполнение комманд ассемблера таких как mov inc sub div и остальных. Или подскажите где это искать ибо у самого лапки и не нашел.
>>1372448 >>1372448 Не ну для 8088 все есть а для рабочих процов + архитектуры нет. Ну спс хоть за что-то. тактов/цыклов дискасс Машинный цикл — промежуток времени между двумя последовательными обращениями центрального процессора к внешней оперативной памяти команд/данных, или обмена 1 словом данных с периферийными устройствами, в том числе в циклах обработки аппаратных прерываний и является составляющей частью исполнения машинной команды.
Такт процессора или такт ядра процессора — промежуток между двумя импульсами тактового генератора, который синхронизирует выполнение всех операций процессора.
>>1372468 > для рабочих процов + архитектуры нет Суперскалярная архитектура, мам. Какие именно такты ты считать собрался? Почитай Intel Architectures Optimization Reference Manual, почитай Агнера Фога для начала.
Изучаю язык ассемблера, использую nasm ассемблер и линкер от Microsoft, пытаюсь вызвать С-функцию call puts, но при ее вызове выбрасывается ошибка "Access violation reading location" что я не так делаю?
>>1373311 Завтра посмотрю. Под фейковым импортом я понимаю технологию, когда программа дёргает апи динамически при помощи парсинга таблицы импорта dll, а собственный импорт у неё фейковый или вообще спизжен у калькулятора.
>>1373439 > Как он тебе на джоэсс откомпиляет хоть что-нибудь да со своей IAT? А как на Си компиляют? Какая разница-то, какой у тебя язык? Ну делаешь UInt8Array, создаешь от него DataView, пишешь туда по очереди поля IMAGE_DOS_HEADER, пишешь туда стаб, пишешь туда IMAGE_NT_HEADERS, пишешь IMAGE_SECTION_HEADER, пишешь данные секций, в том числе и секцию с твоей фэйковой директорией импорта, делаешь Blob, он сохраняется браузером, как обычно файлы скачиваются. Если хочется код генерить, есть готовые либы. Если не хочется, можно через FileReader загрузить бинарник и пропатчить его точно таким же способом.
>>1373471 Ты уверен, что ты линкуешься 64-битным линкером? Ты уверен, что первый аргумент для Microsoft-овой конвенции вызова должен быть в RDI? Ты уверен, что ты shadow space в стеке под аргументы зарезервировал?
Треда для системников нет, а в С/С++ сидят одни ньюфаги хеллоуворлдщики поэтому спрошу здесь. Пишу классический non pnp драйвер, все вроде работает, но при выгрузке внезапно синий экран. PAGE FAULT IN NONPAGED AREA. В DriverEntry: \tDriverObject->DriverUnload = &Unload;
>>1374096 Собираешь валидную таблицу дескрипторов, кладешь ее в GDTR, ставишь бит PE в CR0, выполняешь дальний jmp на начало 32-битного кода. Ну и там загрузка всяких SS и отключение прерываний по вкусу.
>>1374230 Подожди, ты самый умный или как? Расскажи как быть таким же умным. Я вот не могу уйти в защищённый режим. Ты вот красиво по пунктам расписал, оно понятно все, но вот код не понятно, акты в порты какието, таблиц куча, джампы, и вот везде кал написан а мне непонятно, объясни заранее спасибо
>>1374268 Чо? А гипервизоры-то тут каким местом вообще?
>>1374263 Понятно, что строка. Где у тебя симлинк конкретно? Проверь ради разнообразия, что тебе IoDeleteSymbolicLink возвращает. Алсо, ты уверен, что у тебя после анлоада колбеки какие-нибудь не остаются торчать?
>>1374291 Ты хочешь перейти в защищенный режим из винды, лол?
>>1374381 В 9x как раз без проблем можно было запатчить IDT, перейдя из r3 в r0 буквально десятком инструкций, без дров. И наличие или отсутствие сейфмода при этом никак не мешало.
>>1374399 Ну теперь-то ясно. Я просто думал, что в изначальном вопросе спрашивали про банальный переход из реалмода, а вы тут хацкеры, оказывается.
>>1374785 Ну... кладешь в в IDT реалмодную таблицу, в GDT дескрипторы, чтобы на реалмод похоже было (16-битные сегменты, лимит мегабайт вот это все), прыгаешь в такой 16-битный сегмент, сбрасываешь CR0.PE, опять прыгаешь, чтобы CS перезагрузить уже реалмодным значением, перезагружаешь все остальные сегментные регистры сохраненными значениями (если у тебя DOS) или любыми разумными (если не DOS).
>>1369180 (OP) Программята, я тут по залёту. Препод сказал что повысит мне оценку если я принесу ему ёлочку на ассемблере, но у нас, блядь, было всего две пары по нему два года назад. Нагуглил только какую-то сложную ёлку с анимацией, а это слишком подозрительно. Поможете или я могу нахуй пройти?
Появилась недавно идея, сделать электронный замок для ящика стола. Короче говоря, я сажусь за ПК, ввожу пароль. Ящик открывается. Для этого нужно придумывать какую-то муть с подключением всего механизма к ПК. Впринципе, если б я это пилил на какой-нибудь ардуинке И вместо пароля- обычная кнопочка, то проблем бы это не составило. Но т.к я хочу сделать это через ПК, то возникает масса вопросов. Как организовать ввод-вывод (Через какие порты) Можно через usb, но как?? Если на той же ардуино много разных портов ввода-вывода, и на каждый можно подавать напряжение по отдельности, либо считывать с него, то как это делать посредством usb провода? Натолкните на инфу по этому вопросу. Я даже слабо представляю как такое гуглить
>>1377051 Ну, не подойдёт если ты не хочешь ответное устройство городить >>1377053 Ну зачем сразу отрезать, впаяй в свой замок разъем и возьми повод джек-джек
>>1377050 > Если на той же ардуино много разных портов ввода-вывода, и на каждый можно подавать напряжение по отдельности, либо считывать с него, то как это делать посредством usb провода? Ну придумываешь кастомный протокол, кидаешь пакетики в устройство, чтобы управлять output-портами, периодически опрашиваешь устройство на предмет событий с input-портами. На компе через libusb, на устройстве - зависит от микроконтроллера, хоть вручную, хоть через многочисленные USB-либы. И вообще, ты сюда мимо, тебе в /ra/.
>>1377881 > Вы пишите на ассемблере или собираетесь начать на нём писать? Программируете микроконтролёры Не, отреверсить то можно, но мне бы сначала с просто кодингом разобраться, все ж мы люди
Какой диалект на linux использовать - nasm или gas? Насколько я понял, то gas более типичен для данной ОС, а основное отличие в том, что используется не intel синтаксис, а AT&T (хоть gas и поддерживает intel syntax). AT&T вроде более нагляден и понятен.
>>1377963 Вот как только томаш stabs осилит (нативно, а не через внешний костыль, который парсит fas), вот прямо сразу. А до тех пор fasm советовать широкому кругу особенно под linux бессмысленно, и даже сраный nasm будет лучше.
>>1378013 Кстати, кто-нибудь знает, как из фасма / фасм-г экспортировать отладочные символы и импортировать их x64dbg? В каком формате это надо делать?
Реверсач, я заебался. Как все это байтоебство монетизировать? Уже 2 года тут варюсь, да нравится, да интересно, но без денег на энтузиазме сами понимаете... Вакансии искать сложно, их просто нет. Что делать?
>>1378927 За читы не бутылят и это достаточно прибыльная ниша. Но судя по ответу у тебя мозго только на байтоебство хватает, так что остается тебе только страдать и тешить себя мыслью о том что не тупой, потому что "уже 2 года тут варюсь".
>>1378952 Бутылят, на за сами читы, а за вытекающие проблемы этого бизнеса. Чтобы развернуть проект, нужна команда 3-5 человек минимум, нужно как то согласовывать разработку, распределять средства между незнакомыми друг с другом людьми в интернете и еще овер9999 подводных камней.
>>1379217 ДС/ДС2, опыт от 3 лет.. Понятное дело, что у гигантов типа касперского и прочих будут вакансии. С нуля без опыта-то куда вкатываться-то? А если я еще и из мухосрани?
Посоветуйте статьи про создание собственного ассемблера и написание простого парсера, лексера и генератора машинного кода. Хочу написать компилятор для своей ВМ.
НАДО АКТИВИРОВАТЬ ФУНКЦИЮ ПЕЧАТИ ДОКУМЕНТА @ ДЛЯ РЕФЕРЕНСА РЯДОМ ЕСТЬ АКТИВНАЯ ФУНКЦИЯ ПЕЧАТИ ОДНОЙ СТРАНИЦЫ @ ВЫПОЛНЯЕТСЯ ЗА 150 ИНСТРУКЦИЙ, ВСЁ ПРЕДЕЛЬНО ПРОСТО @ НАШЁЛ, КАК ВЫЗВАТЬ ПЕЧАТЬ ДОКУМЕНТА @ В ПРОЦЕССЕ ВЫПОЛНЕНИЯ ДЁРГАЕТ НЕБО И АЛЛАХА, ПРОВОДИТ КАКИЕ-ТО СКРЫТЫЕ ПРОВЕРКИ, КОТОРЫЕ ТОЖЕ НАДО ОБОЙТИ @ СПУСТЯ 1000 ИНСТРУКЦИЙ И 3 ЧАШКИ КОФЕ МЕЧТАЕШЬ О ТОМ, ЧТО ЛУЧШЕ БЫ ШЛЁПАЛ ФОРМЫ НА ДЖАВАСКРИПТЕ
>>1377050 Я делал что-то подобное через ft232 - на стороне PC usb + driver, другим концом в микроконтроллер serial RX/TX. Все предельно просто. API на сях, довольно удобный и высокоуровневый. Код типа такого FT_SetBaudRate (ftHandle, 9600); FT_SetDataCharacteristics(ftHandle, FT_BITS_8, FT_STOP_BITS_1, FT_PARITY_NONE); ... ftStatus = FT_Write(ftHandle, &buf, sizeof buf, &bytesWritten);
и тд. Никаких проблем. Я с армом спаривал, можешь хоть с ардуинкой, с чем угодно. В /ra/ сходи еще.
Пишу лабу. Нашел похожую прогу и вычищаю всякое ненужное говно и разбираюсь что здесь что. Можете пояснить, зачем он закидывает в стек дс и выкидывает ес? В чём суть? (Без этого лаба не работает, поэтому надо рабобраться) Для чего обычно это используется? push ds pop es
>>1382398 >Нахуя тобишь? Пушто lodsb работает с парой DS:SI, а stosb с парой ES:DI. Если SI и DI в одном сегменте, то надо как-то сделать, чтобы ES=DS. Т.к. прямого присвоения типа mov ES, DS нету, то костылишь это через pusd DS/pop ES.
Мимодебилу подскажите. Проходил туториал от cheat engine и немного разбираюсь в ассемблерах этих. Совсем чуть чуть. Есть одна игра, и в ней есть кнопка, которая требует 80 левл, чтоб на неё нажать. Я подумал найти где в ассемблере считается левл и изменить там. Текущий левл видно в меню персонажа, но я его чит энжином никак не могу найти. Искал уже по типу all, по типу string, ничего нет. Точнее за 2-3 прохода вся таблица исчезает. Будто адрес левла меняется постоянно. В меню персонажа левл выводится как Level: 4 например. Нашел эту строку в памяти Level: %d Сделал Find out what accesses this address При открытом меню персонажа там есть 2 адреса, которые читают эту строку. Взял первый, Show disassembler Если я меняю на nop, то текст пропадает из всего меню персонажа. Все строки. Значит я на верном пути. Сделал Break and trace instructions и теперь у меня тыща инструкций. Но это не просто printf (string, ADDRESS_OF_LEVEL); а куча хлама, среди котрого хрен найдёшь нужное.
>>1383459 >теперь у меня тыща инструкций. Но это не просто printf (string, ADDRESS_OF_LEVEL); а куча хлама, среди котрого хрен найдёшь нужное Добро пожаловать в ассемблер.
>>1383471 >>1383468 >>1383459 Пиздец. Я справился. Я победил. Написал пелену текста как я это сделал, а макаба взяла и удалила мне весь пост. Лень писать, но я выйиграл. Пикрелейтед - проверка на 80 левл.
Как мне последовать за call инструкцией? То есть есть функция yoba, которая внутри вызывает функцию makaba, ида пишет мол вот смотри: yoba + 0x2b ; call makaba. Как мне блять адрес то макабы получить чтобы вызвать ее? (fnProt)yoba = get_addr(yoba) + 0x2b же? Но так не работает.
>>1383480 Подозреваю, что ты хочешь что-то типа call_target = base + offset + 5 + dword_at(base + offset + 1), где base - это yoba, offset - это смещение инструкции call относительно base, т.е., 0x2b, call_target - вычисляемый адрес makaba, 1 - офсет rel32 внутри инструкции call (всегда 1 в этой форме), 5 - размер инструкции call rel32 (всегда 5 в этой форме), rel32 - это смещение вызываемой фукнции относительно следующей за call инструкции.
Ассемблер ломает мне мозг. Я думал это машинный язык, а он компилируемый получается. Вот из примера >e db 'string',0\t\t; Определяем строку из 7 байт, заканчивающую нулём Как это будет выглядеть в хексе экзешника? "e" это имя переменной. Там ведь не будет слова "e" для переменной?
>>1383485 Спасибо конечно, но мне нужно это сделать не в иде, а в рантайме на С.
>>1383592 Теперь я еще сильнее запутался... Вот другой пример прикрилейтед. FUNC - экспортируемая функция в дллке, func_internal - нет, но мне нужно получить к ней доступ, чтобы единичку в последнем параметре заменить на нуль при вызове. Как мне вызвать то func_internal? Делаю GetProcAddress(func), получаю адрес func, смещение по которому находится вызов func_internal = func + C. Но все равно вызвать функцию не получается.
>>1383861 > Как мне вызвать то func_internal? Псевдокод: typedef int func_internal_type(int a, int b, int c, int d, int e); uintptr_t funcptr = (uintptr_t) GetProcAddress(lib, "func"); uintptr_t call_insn = funcptr + 0x0c; assert(∗(uint8_t ∗) call_insn == 0xe8); // Опкод CALL. uintptr_t rel32 = ∗(uintptr_t ∗) (call_insn + 1); uintptr_t call_target_addr = (call_insn + 5 + rel32) & 0xffffffff; func_internal_type ∗func_internal = (func_internal_type ∗) call_target_addr; func_internal(1, 2, 3, 4, 5);
Пример на пальцах. Допустим, у тебя есть: 0x10000000: e8 20 01 00 00: CALL 0x10000125 0x10000005: c3: RET Ты читаешь из инструкции rel32 (little endian, выделено жирным): rel32 = 0x00'00'01'20, берешь адрес следующей инструкции после call: 0x10000005, прибавляешь к нему rel32 (считаешь в 32-битной арифметике с переполнением, rel32 со знаком, но на это похуй) и получаешь адрес вызываемой функции: 0x10000005 + 0x00000120 = 0x10000125. То же самое делается для относительного JMP.
>>1384303 Благодарю, вроде все понял, буду пробовать. Есть вообще доп. материал по данной тематике? Как гуглить решение аналогичных задач? Или нужно асм активно вкуривать и само все придет?
Еще вычитал способ с поиском адреса функции по сигнатуре, выглядит проще. Какой из этих двух способ более правильный?
>>1384525 Возможно, имеет смысл искать сам опкод по сигнатуре, а то мало ли как компилятор в следующий раз наоптимизирует, офсет изменится, и приехали.
>>1384523 > выглядит проще Да там на самом деле одно-два выражения всего, если лишних переменных не создавать. И да, я только сейчас случайно заметил, что у тебя 64-битный код, а у меня там unsigned читается. Сорян. Надо вот так хотя бы, тогда и в 32- и в 64-битном коде норм будет: uintptr_t rel32 = (uintptr_t) ∗(int32_t ∗) (call_insn + 1); uintptr_t call_target_addr = call_insn + 5 + rel32;
>>1384562 Если он в следующий раз наоптимизирует, первая вызываемая функция останется первой (ну разве что стекчек появится какой). Чтобы хукнуть экспортируемую, офсет не нужен, но анону нужно самостоятельно вызвать неэкспортируемую фукнцию, которую вызывает экспортируемая.
>>1385026 главное не выбирать долго долго а сесть и начать. кому как, у меня начало было так: курс с asmworld.ru по FASM + Калашников https://rutracker.org/forum/viewtopic.php?t=4480735 Знаю что Калашников старье не актуальное и все что пишется либо на ХР запускать либо в досбоксе. Чисто чтоб привыкнуть к асемблеру. А дальше все как в книжке Юричева. компилятор + олька + ида, и в путь. Можно по курсу ольки от Нарвахи пробежаться.
>>1384527 Спасибо еще раз. Почитать-то есть что-нибудь на данную тему? Далее планирую похукать функцию. Это же inline hook называется, когда в начало функции пишешь свой jmp, address?
>>1385211 Итак, мы рассмотрели фреймворк для реверс-инжиниринга Ghidra. Сможет ли он заменить IDA Pro? Я думаю, что на данном этапе своего существования — нет. Дело в том, что Java в качестве языка для написания подобных программ, на мой взгляд, не лучший выбор. И дело, конечно, в скорости.
Дизассемблер работает небыстро, особенно на тяжелых файлах. Скажу больше: файлы размером свыше 150 Мбайт реверсить на Ghidra — то еще испытание. С другой стороны, Ghidra кросс-платформенна, и для кого-то это может быть важно.
Следующий момент — это количество поддерживаемых архитектур и загрузчиков файлов: у IDA Pro их значительно больше. Еще очень не хватает такой же плотной интеграции с отладчиками, как в IDA Pro. Опять же, открытость кодов (если NSA выполнит обещание) — это хорошо, да и возможность добавлять поддержку других архитектур — по-настоящему крутая фишка. Но пока будет выполнена эта работа (и исправлены баги), пройдут годы.
Вообще, у меня сложилось стойкое впечатление, что Ghidra — это не конечный продукт. В том виде, в котором этот фреймворк доступен сейчас, он тянет на бета-версию с публичным доступом, но никак не на версию под номером девять. Кстати, в названии архива есть слово PUBLIC. Наверняка где-то есть еще и версия PRIVATE.
Безусловно, у Ghidra есть свои сильные стороны, и в чем-то она уже превосходит IDA Pro, но слабых мест пока что намного больше. А вот разработчикам IDA есть что позаимствовать в новом инструменте. Например, мне понравилась повышенная информативность кода, представленного в виде графа. Да и само построение графа кода выглядит более строго и упорядоченно. Есть патчинг инструкций без дополнительных плагинов и без разделения на x64 и x86. Зачем держать два ярлыка на рабочем столе, если достаточно одного?
>>1385864 ничего не наложали. у них при работе скорее всего крутится на сервере с нужными мощностями, а ты подключаешься по сети дебажешь. Да и понятие скорости там не так важно. ну анализирует оно дольше, да и фиг с ним. Главное простота поддержки кода, уровень вхождения. Цифра 9 - когда начинали .net core наверно был только в зарождении, а тут все сразу из коробки. так что для них выбор очень даже хороший.
>>1385864 > Уже установили JRE? Ты мимо пробегал? Пробегай, не задерживайся. Мы тут реверсеры, нам приходится реверсить и жабкуандроид, поэтому жре у всех и так установлен.
Парни помогите ,жопа горит уже не могу. При установке драйвера TitanHide столкнулся с ошибкой StartService fails with error 6 "Invalid Handle" , а также до этого была проблема с загрузкой win без подписи драйвера, при выборе даже в загрузочном меню F8 команда игнорировалась и запускала обычную версию. Решил ту проблему через msconfig как же я блять не навижу ебаный шиндовс
Сап, реверсач. Вопрос мб тупой, но всё же задам: в 2к19 пишутся ли годные малвари на чистом асме? Или это, как правило, сишный код с инлайн асм вставками?
>>1385993 Ты как грузишь драйвер-то? Проблема очевидно c SCM-manager'ом. На сколько я помню проект опенсурс, так что смотри исходники и дебаж.
>>1386277 Прям целые боты естественно не пишутся на асме, люди ценят свое время. А вообще лучше не лезь, анон, сейчас за малварь активно бутылят, да и не выгодно это уже.
>>1386418 Все в ознакомительных целях на самом деле, я хочу в недалеком будущем начать анализировать малвари, сейчас усиленно учу асм и хочу знать полностью его мощь/возможности.
Тогда ты на выбор попадешь или к мусорам из раши, или к мусорам из СШП. Причем, ко вторым тебе шансов попасть больше. Еще есть такой вариант , что после бутылки от отечественных мусаров тебе предложат поработать штирлицом плаща и кинжала на гыгыру или какого вагнера (в противном случае на тебя повесят все глухари и отправят к маньяками и серийным мокрушникам в черный дельфин) тип штатным хакером, где ты в тюрячке/шараге под одобрительные солдатские пиздюли будешь ломать пентагон с IP адреса минобороны, после чего гыгыру и пуйло поджав хвост и поскуливая, сольют тебя мусорам из СШП. Где ты получишь тот же пожизняк-двадцаточку, но уже с многомиллиардными штрафами.
Да, касперский, по последним сводкам тоже на гыгыру и вагнера работает, параллельно многостаночит на прочие кардерские тусовки. Так что ну его нахуй это хекерство - если ты не какой мексиканский главарь Los Zetas и у тебя нет своей личной армии.
Хакеров везде не любят, тащемта. Тут тот случай что даже заведенный трактор/его отсутсвие похеру.
Потому что речь идет о серьезных деньгах серьезных людей по всему миру.
>>1386567 чекать малвари и сигнатуры в базы антивирусные вносить - утомительная работа, быстро надоест, к тому же нет роста как профессионала. А конкретно реверсеры, нужны не в таких больших количествах. Но это удобный скил лично для себя. Плюс с обилием крякми - всегда для хобби будут задачки головоломные которые порешать.
>>1386579 Анон, что ты несешь? Речь идет о кристально белой шляпе, которая проводит binary exploitation исключительно в рамках инфосек компании за зарплату. Ни про какие мутные взломы и прочую хрень речи не идет вовсе. Я лишь спросил про мощь асма у более знающих людей (уверен, здесь таких немало), а в ответ полетел бред про бутылку и криминал.
>>1386724 Ты совсем даунич?с: Инфосек специалисты для чего в соответствующих компаниях работают? Чтобы проводить аудит безопасности для тех или иных продуктов, причем здесь вообще криминал, даунёнок? Им платят деньги за то, чтобы выходил качественный, трудновзламываемый софт.
>>1386728 >Инфосек специалисты для чего в соответствующих компаниях работают? Чтобы за 15к фублей и статус невыездного подымать россиюшку. Ну и если что не так - то тут же сесть, разумеется.
>>1386732 А, забыл упомянуть, что речь идет не про рашку и даже не про страны СНГ, но это совсем другая история с: Пожалуй, подожду адекватного ответа по поводу асма, а то продолжать юзлесс демагогию не имеет никакого смысла.
Открою америку: белых шляп не существует - все инфосек конторы занимаются чернотой на заказ, при этом все сотрудники реально ходят под такими NDA, что вплоть до пули от киллера или пера в переулке.
>>1386701 >к тому же нет роста как профессионала Тут ты обосрался. Карьерный рост есть: 1. Кататься по дефконам светить лицом, продвигать себя и свою кантору 2. Вкатиться в разработку ав-движка 3. Вкатиться в редтим 4. Пилить девтулы для своей канторы
>>1386701 сейчас бы malware analyst был без профессионального роста, лол :-) Хотя, возможно, с ИБ в рашке действительно настолько все плохо, что на всю страну есть только лаборатория Касперского. Основная же масса айтишников - сброд унылых вебмаQAк :-)
>>1386818 Он прав в том плане, что в пентестинг довольно легко вкатиться, но для того, чтобы продолжить заниматься чем-то действительно интересным, необходимы оче разносторонние знания вкупе с профильным образованием.
Есть, кто шарит за демосцену? Хочу вкатиться чисто для души поделать, плюс углубить анус свои знания. Тащемта, с чего начать, куда смотреть? Сам недокодер SoC на си
>>1386804 ну будем честными, это единицам светит, остальные и будут сидеть "вычленять сигнатуры", в то времяч как жава/шарп джуны получают столько же и в джунах не задерживаются.
>>1386916 Погугли сколько есть вакансий в разных странах на должности: malware analyst, security researcher. Все они реверсеры, камон, их не так мало. Да, порог вхождения высокий, но их все равно достаточно.
>>1386904 В старых по-разному может быть. Современная выглядит так: var sheider='дохуя длинная строка шейдера в текстовом виде' call Init_grafika call zapustit_sheider loop poka_ne_zakonchitsya
А потом это все кранчем жмешь и получаешь заветные 1-4к.
>>1386880 Очевидно он медленный из-за джавы. Очевидно у спец. служб есть и приватная софтина. Не понял твоих претензий.
>>1386914 В ДСе зп младшего вирусного аналитика может за 100к переваливать, даже джависты могут позавидовать. Рост возможен и потолок гораздо выше чем у того-же джависта/шарписта.
>>1387462 ты это на хх смотришь? или работал там? порог вхождения джав/шарп-иста на такую зп куда ниже чем на того же аналитика. Рост у обычного аналитика не так прекрасен как рассказывают, по большей части ты выполняешь тупую нудную работу. В зависимости от фирмы еще и разной специфичности условия. Ну и да, совсем забыли тут сказать, работа вирусным аналитиком не так уж и сильно корелируется непосредственно с реверсом. ну а 100к джавистом/шарпистом можно и в регионах, если добавить немного фриланса
>>1388062 А педалить какое-то говно на джаве - это не нудно?) Вирусный аналитик != реверсер? Анон, ты ебобо? 99.9% малварей требуют глубокого статического анализа, где от вирусного аналитика требуется мэдскиллз по обходу обфускации, пакеров, рантайм шифрования и прочего дерьма. Вирусный аналитик - это реверсер на стероидах, ибо обычный софт, в среднем, гораздо меньше и слабее онально огораживают от отладчиков и дизассемблеров, нежели малвари, и тому есть вполне логичные причины.
>>1388067 >99.9% малварей требуют глубокого статического анализа, где от вирусного аналитика требуется мэдскиллз по обходу обфускации, пакеров, рантайм шифрования и прочего дерьма. Ржали всей лабораторией.
>>1388067 > 99.9% малварей требуют глубокого статического анализа > Ржали всей лабораторией. Присоединяюсь. 90% малвари состоит из необфусцированного копипастного кода, написанного школьниками на переменах. Глубокий анализ такого заключается в strings virus.exe|grep http. Еще несколько процентов - это вариации на тему ксора с коротким ключом, иногда со скопипащенным из какого-нибудь метасплоита кодом поиска апи по хэшам, но внутри все тот же говнокод. Сколько-нибудь интересные сэмплы очень редки. Ковыряться в этом однообразном говне годами может только совершенно больной человек, даже у JS-макаки жизнь интереснее, чем у вирусного аналитика.
>>1388459 Видать в пидорашке любая отрасль идет с 20-ти летним дилэйем как минимум. Держу в курсе, в 2к19 в цивилизованных странах с таким школьным говном имеют дело программы по анализу вредоносного кода, которые детектят недомалвари в строках, копипасты инфекторов исполняемых файлов и прочее дерьмо. Анон, интересно, откуда у тебя такие мысли. Только если ты не вирусный аналитик в лаборатории Касперского, но если там такая дичь творится, то земля вам пухом там, хуле
>>1388523 сам то чьих будешь где работаешь что такими заявлениями кидаешься? Живешь в каком то маня мирке. я вот много где посмотрел, вирусная налитика именно такая копипаста как выше тебе уже пояснили. Анализ чего то сложного и интересного. это настолько редко что охереть как.
>>1388459 >>1388697 Да никто не сидит там по 2 года, делая однообразную хуйню. Такой же карьерный рост как и везде. После полугода-год тебя начнут закидывать прикольными тасками, будешь выезжать на конфочки/хакатоны итд.
>>1388459 >>1388115 Вам если сэмп с сискаллами + кастом пакером + вм дадут, побежите сразу к старшему с криками: >ряяя нипохукать! ряяя нидампица! ряяя где оеп вапще?
>>1388811 >После полугода-год тебя начнут закидывать прикольными тасками, будешь выезжать на конфочки/хакатоны итд. А через два года начнёшь получать 300кк в наносекунду.
Сап котаны Объясните ньюфагу, каким образом дрова исполняются в кольце 2 и 1, и каким образом он исполняются без ведома владельца пк? В общих чертах хотя бы, а то путаница насчет этого Чуется мне, что все буткиты/руткиты - это малварь, завернутый в нечто похожее на драйвер, чи да?
>>1389082 > дрова исполняются в кольце 2 и 1 Никаким. Это влажные мечты Intel, которые никому не пригодились. Пользовательский софт в r3, все остальное в r0.
> В общих чертах хотя бы > каким образом он исполняются без ведома владельца пк Процессор при запуске ОС (опустим переключение в защищенный режим) начинает исполнять код в r0. Таким образом ядро ОС исполняется в r0, и оно может, грубо говоря, менять уровень привилегий при переключении потоков (задач), может вместе с процессором изолировать память различных задач, а процессор не дает задачам из r3 исполнять привилегированные инструкции. А вот владелец пека вообще ничего не может, он устройство ввода, его можно даже не опрашивать.
> буткиты/руткиты - это малварь, завернутый в нечто похожее на драйвер Да, но драйвер - это файл, который работает с системой по какому-то определенному апи и сам предоставляет какие-то интерфейсы, а руткит может не быть файлом или не использовать стандартные апи для драйверов.
>>1389281 >а руткит может не быть файлом или не использовать стандартные апи для драйверов.
Это ломает мой девственный мозг новичка, как код может быть исполнен, если он не файл? Из-под чего он исполняется, где хранится код зловреда? Или руткит инжектят каким-то раком в бут сектор и он хранится, не имея при этом файла, который содержит исполняемый код, тупо запускаясь вместе с ОС при включении компа? А что творится на уровне гипервизора или SMM я пока тоже не представляю.
>>1389082 Смотри пикрил. Обычный юзер ты, твои приложухи, игрухи, итд находится в VTL 0 пользовательском режиме ring3. Драйверымышки, клавиатуры, системные и прочее находятся в VTL 0 режиме ядра ring0, тут же сидят и руткиты/буткиты. Руткиты - это и есть драйверы, то есть pe-файл с расширением .sys. После отображения в ядро могут скрыть себя множеством способов. С расширением архитектуры винды и добавлением внутренних механизмов защиты, их действия сильно ограничены. Windows Internals 6 или 7 издание почитай, много чего узнаешь.
>>1389281 >а руткит может не быть файлом или не использовать стандартные апи для драйверов Апи ядра они используют, без этого никак и функции легитимных/системных драйверов.
>>1389079 обьясните алгоритм,хотя бы у меня при циклах каждый раз где-то все наебывается и выходит полная залупа,а не нужный результат и биткойн кошель кидайте сразу)
>>1389499 со всем остальным,кроме этого метода,у меня все окей нужно просто написать декриптор для этих строчек,чтобы можно было бы переводить их в url и обратно извиняюсь,могу тупить,время позднее
Котаны, посоветуйте плиз нормальный сорс, откуда можно почитать/посмотреть про хукинг, желательно на английском, а то все как-то не очень объясняют или это я прост тупой, ГЫ
>>1390099 Фасм: format pe gui entry start include 'win32w.inc'
start: invoke ExitProcess,0 _ = VirtualAlloc ; "Use" function to prevent fasm from removing it from imports. _ = CreateFile
data import library kernel32_1,'KERNEL32.DLL',kernel32_2,'KERNEL32.DLL',kernel32_3,'KERNEL32.DLL' import kernel32_1,ExitProcess,'ExitProcess' import kernel32_2,VirtualAlloc,'VirtualAlloc' import kernel32_3,CreateFile,'CreateFileW' end data
>>1389312 >как код может быть исполнен, если он не файл? Банально уязвимость в сетевом стеке, типа большой пакет озалупливает ОС, и она передаёт управление куда-то внутрь этого пакета. Файла нет, а троян есть. >>1389312 >А что творится на уровне гипервизора или SMM я пока тоже не представляю. И не надо, есть IME, который имеет вышеперечисленных.
>>1390390 >Банально уязвимость в сетевом стеке, типа большой пакет озалупливает ОС, и она передаёт управление куда-то внутрь этого пакета. Эмм, содержимое такого пакета парсится как строка? Поэтому и сам зловред представляет собой строку? (условно, скрипт баша/мелкомягкой силаскорлупы) Просто если там обычный код, который нужно, офк, скомпилировать перед исполнением, то мне сложно представить как этот троян исполнится. >И не надо, есть IME, который имеет вышеперечисленных. Не буду кривить душой, не раздуплил причем здесь софт, который позвляет вводить символы, которых нет на клаве
>>1390479 >Причём тут строки? Мы про бинари. До сих пор не понимаю как можно пропихнуть бинарник в пэйлоуде пакета, да чтобы он еще и запустился. Только если это не dll/so, который должен экспортироваться в какой-то процесс и нагадить. >https://ru.wikipedia.org/wiki/Intel_Management_Engine Спасибо, раздуплил.
>>1390479 Тебя спрашивают про архитектуру винды, а ты ему железячную фигню пихаешь, о которой ньюфагу еще последующие лет 5 не придется думать даже.
>>1390487 Тебе нужно перестать думать юзермодными абстракциями и загуглить что такое произвольное выполнения кода, переполнение буфера. У тебя задача вообще какая стоит? Или ты просто исследуешь? Так исследуй блеать! Виртуалку поднял, виндбг подрубил, основные модули в иде открыл, а дальше уже само пойдет.
>>1388896 бамп реквесту,сразу кидайте свой биткойн кошелек как напишите - кину что есть нужна консольная прога,которой можно дешифровать это и наоборот- шифровать нужные строки в этот вид
Реверсач, выручай Немного путаница с import address table. До биндинга import lookup table и import address table указывают на один и тот же адрес (каждый энтри). После биндинга, каждый энтри в import address table меняется на указатель на функцию в дллке (это я понял), но при этом также меняется указатель в каждом энтри import lookup table после биндинга, почему? И нахуя нужен Хинт? Олсо, указатели на функции в энтри IAT после биндинга - это же VA, а не RVA, я правильно понимаю?
>>1391673 >не робит,но все равно спасибо,алгоритм понял Это питон 2.7 если что. >>1391693 Я слабо знаю эти ваши пистоны, а за ''.join ваще бы убивал, но иногда вот приходится на нем писать под себя.
>>1391696 > но при этом также меняется указатель в каждом энтри import lookup table Не должно такого быть, оно же загрузку сломает. Возможно, линкер делает такую таблицу, где FirstChunk и OriginalFirstChunk указывают на одну и ту же цепочку? Фасм таким страдал раньше. Так-то не должно. Попробуй на другом файле.
> И нахуя нужен Хинт? Чтобы не выполнять двоичный поиск по таблице в таблице имен в экспортах дллки, а сразу попробовать элемент с указанным индексом. Если таблица экспорта в целевой длл не менялась с момента линковки ссылающегося на нее модуля, получается лукап экспорта за O(1) вместо O(log n). Если менялась... а я вот не знаю, используется ли это значение в качестве первого индекса в двоичном поиске, или оно в таком случае с середины начинает? Cам посмотри реализацию, если интересно.
> это же VA, а не RVA, я правильно понимаю Да, прибито гвоздями к расположению модулей в памяти и поэтому бесполезно во времена ASLR.
Не могу понять как память устроена в винде. Какие-то страницы PML4, PDE, PTE и еще дофига всего там. Для чего это нужно вообще все? Где почитать можно?
>>1392980 Ну вот смотри: в ARM вместо одного - два с половиной набора инструкций, всякие DSP-расширения с кучей однообразных арифметических инструкций, выносящие мозг псевдоинструкции (или ебля со сборкой констант по кусочкам, что еще хуже), режимы адресации, которые сложнее, чем в x86, и это все только "обычный" 32-битный код в юзермоде. Плюс AArch64, который по сути отдельная архитектура. Плюс десятки разнообразных, сложных и несовместимых между собой механизмов, про которые нужно знать, если ты соберешься писать под bare metal.
x86 в целом легче, потому что куча софта и информации на любой вкус, потому что локально отлаживаться проще.
>>1393418 Щас бы в 2к19 писать вирусы, не будучи при этом госслужащим, которому за это ничего не будет)) >>1393434 Один говорит винда проще, ты говоришь, что Линукс. Аргументы есть?
>>1393470 Окей, давай пойдем другим путем. Расскажи нам, что ты понимаешь под системным программированием. Ты хочешь писать юзермодные утилиты? Компиляторы? Драйвера? Ты хочешь дергать за ноги малинку из баш-скриптов? анон, который предлагал винду
>>1393462 Все равно придется долго сидеть с идой/виндбг. Реактос спасает, да. Майки тоже молодцы, начали пилить сэмплы и доки нормальные.
>>1393538 Все бабки у майков. А чего ты собрался драйвера-то писать если чего полегче ищешь, лол?
>>1393559 Смысл писать малварь на современном С++? Только если это не полноценный модульный бот. Если тебе надо, то возьми и сам перепиши, какой-то глупый реквест. А лучше не пиши, набутылят, будешь потом плакать.
Хз че тут за винду топят аноны, как это дерьмо вообще можно учить? Обрыганный и кривой реестр, миллиард API функций, половина из которых имеют по несколько лишних пермутаций. Обрыганское, совершенно конченное строение бинарников и обратная совместимость с никому не нужным говном мамонта. Учить Windows Internals == быть мазохистом
>>1393646 Ты так говоришь потому что сам нифига не разобрался. Если бы глубже изучал, то понял бы что все это необходимо и это нифига не костыли, а фичи!
>>1393646 > миллиард API функций Вот в линуксе другое дело - чтобы получить карту памяти процесса, нужно всего лишь написать парсер текстового файла. Это гораздо удобнее, чем запоминать всякие там VirtualQuery!
> Обрыганское, совершенно конченное строение бинарников Вот в линуксе другое дело - в эльфах есть сегменты и секции, на секции лоадеру насрать, но тем не менее большинство файлов их с собой таскают. Эльфы грузит как бы ядро, но это пока эльфы не с динамической линковкой. В этом случае эльфы грузит (и заново парсит, блять) как бы ld, но как бы не всегда. А формат как бы ОТКРЫТЫЙ и документированный, но сплошь и рядом objdump -d показывает хуй, а readelf так и вообще сегфолт.
> обратная совместимость с никому не нужным говном мамонта Вот в линуксе другое дело - чтобы скопировать с машины на машину программу, нужно просто взять исходники и скомпилировать программу на целевой машине. Ой, попутно еще поставить перл для мэйка, графические либы для перла, ффмпег для графических либ, иксы для ффмпега... ой, вот уже и гном на машине завелся. А по-другому никак, совместимость ведь не нужна, в глибц опять поправили оформление кода и бампнули версию - пересобирай свои хелловорлды, тебе заняться нечем. А хочешь ебаться по-особому - попробуй линковаться статически, тебе обязательно понравится!
>>1393686 Ну вот, например, я пишу на сишке больше 15 лет, но до сих пор не помню порядок количеств и размеров в calloc() и fread(). И ведь это всего лишь сишка, где в стандартной либе полторы функции.
Щас бы быдлоспоры по поводу ОС начинать :-) Хочешь заниматься вирусной аналитикой - грызи винду и желательно х86 архитектуру. Хочешь заниматься встроенными системами, мобайл, интернетом вещей - грызи Линукс и желательно ARM архитектуру вдовесок. Для каждой ОС есть своя область применения. Винда вечно будет популярна среди обычных юзеров, ибо это GUI oriented ОС, и 90% вирусов будет писаться именно под винду. Линукс же всегда будет доминировать на серверах и в мобилах+имбэддэд. Точно также и со срачем х86 и ARM. Будем откровенными, ARM никогда не догонит х86 по производительности, а х86 не станет никогда такой же энергоэффективной, как ARM. Два абсолютно разных, несовместимых друг с другом рынка.
>>1393694 По-моему базовая либа си последнего стандарта, независимо от компилятора в себе только хедеров штук 20 несёт. А в GCC так вообще сразу ставится glibc с тысячами функций не считая алиасов
>>1393820 Ну я преувеличил, конечно, но в стандартной либе математика в основном, и еще wide-функции. А "обычных" часто используемых функций не так уж и много. И все это меркнет в сравнении с крестами или какой-нибудь джавой, которую, кажется, никто полностью не знает.
>>1393686 А ты сидел и ботал все это? Ну и лох, иде и гугл все подскажет если надо будет. Гораздо важнее запоминать технологии, как писать код можно, а как нельзя и другие фундаментальные вещи.
Кто-нибудь пытался написать свой протектор? Или все вмпротекту доверяют? Начал писать пакер и понял, что все это бесполезно без нормального антидампа. Но как вообще можно предотвратить дамп? Scylla легко дампит и фиксит дамп на раз два.
>>1393908 >гораздо важнее Разве что если ты джун-макака в ООО "Вазгенян Мессенджер" и не хочешь получить пизды от амбициозного тимлидера Заура Камазовича. Только, в таком случае непонятно что ты забыл а этом треде
>>1394020 С++ уже наизусть весь выучил? Несешь хуйню. Я никогда в жизни не учил питон, яву и шарп, но если что-то нужно написать на этих яп, то беру и пишу без задней мысли с помощью доков. Зачем мне учить все это объясни пожалуйста. Еще раз повторяю, гораздо важнее ботать технологии, а не сам яп.
Сап, низкоуровневые. Есть ли какая-то разница в int 20h и 4Ch функции int 21h? По описанию они одинаковые, вроде, есть причины использовать какой-то определенный выход из программы?
Знающие, подскажите. Хочу что бы при запуске мой комп начал выполнять инструкции с флешки и нарисовал что то на экране. Все что я нахожу под древние архитектуры, а хочется по x64
>>1393989 Какой толк с дампа, если код виртуализован? Да хотя бы если он просто расшифровывается перед выполнением и шифруется после? Ты должен предполагать, что виртуальное адресное пространство и системные вызовы полностью под контролем реверсера, а всякую антиотладку прикручивать лишь для того, чтобы киддисам не скучно было.
>>1394066 Да, есть разница. Для int 20h CS должен указывать на PSP, а еще ты не можешь вернуть статус в ОС.
>>1394307 Думаю ты прав. Можешь посоветовать что в приоритете, на что в первую очередь стоит обратить внимание? Виртуализация? На данный момент имею: Обычный pe-лодырь, как вот тут: https://kaimi.io/2012/09/pe-packer-step-by-step-1/ Антиотладочные трюки из книги The_Ultimate_Anti-Reversing_Reference 2011 года. Не знаю зачем тратил на это время, абсолютно все обходится плагином Scylla Hide. И парочку трюков с гитхабов/блогов. Убрал все лишние зависимости, все возможные вызовы апи заменил сискалами. Что дальше делать не знаю.
>>1394315 >Думаю ты прав. Можешь посоветовать что в приоритете, на что в первую очередь стоит обратить внимание? Виртуализация? Накидайте мануалов по виртуализации кода. Я написал простую VM и ассемблер нескольких инструкций для нее, но дальше не знаю, что делать. Хочу запилить йоба-криптор.
>>1393989 >Но как вообще можно предотвратить дамп? Рискну предположить, что нужно пидорасить хэдеры и код распаковщика/декриптора перез передачей управления защищаемой программе. Естессно, это можно зареверсить и дампнуть в момент, когда образ загружен, но хэдеры еще не пидорнуты. Тут в бой вступает антиотладка, обфускация и тд
Как во встроенном ассемблере вижуал студии зарезервировать байты более коротким способом, чем __emit, и чтобы инструкции резервирования можно было размещать по нескольку штук на одной строке?
>>1394311 > В визуал студио по аналогии можно такое линкером наколдовать наверное Сложно. Вероятно, нужно слинковаться с old-style импорт-либой или с либой, включающей в себя old-style импорт. Других идей у меня нет.
> TLS без использования CRT, такое возможно вообще? Да, гугли магический символ __tls_used.
>>1394315 >>1394445 Никогда не писал протекторы, но как бы бери llvm ir, или бери capstone и дизассемблируй, превращай инструкции в инструкции своей вм, все в твоих руках. Алсо, погугли мануалы и сдк коммерческих протекторов. Например, как там вызовами функций протектора "размечается" защищаемая функция.
>>1394509 > пидорасить хэдеры Любые хедеры можно пересоздать с нуля. Например, распакованный регион адресного пространства сдампить одним куском и сделать одной секцией. Да и много ты не напортишь. Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее.
>>1394577 > во встроенном ассемблере Нинужно, ниподдерживается, делай отдельный асм-файл.
>>1394602 > ....HANDLE hFile; > ....HANDLE hMapping; Нинужно. Можно закрывать оба сразу же, как только создал вью.
> заражении файла Репорт за малварь.
>>1394623 Да, ничего плохого в goto в данном случае нет.
>>1394653 > Исключения нужны, без них никак Как это никак? setjmp лол.
>>1394696 >Любые хедеры можно пересоздать с нуля. А если пидорасить ОЕР еще при упаковке и восстанавливать в TLS коллбэке и потом еще пидорасить CRT startup в отдельном треде после запуска? >Чтобы системный лоадер работал, экспорты должны быть на месте, чтобы ресурсные функции работали, ресурсы должны быть на месте, и так далее. Так речь же идет об упаковщике, как я понял. Распаковщик берет на себя задачи системного лоадера же. Он же может и пидорасить что нибудь после того, как отработает, не?
>>1394828 > Он же может и пидорасить что нибудь после того, как отработает, не? Разве что импорты, но (в простом варианте) IAT все равно останется, и останется одним куском, любой дампер импорты восстановит. Экспорты окончательно ломать нельзя: другая длл сделает GetProcAddress(GetModuleHandle("твоя_dll_или_exe"), "func"), а экспорты распидорашены. Ресурсы ломать нельзя: ты сам делаешь DialogBoxParam, а ресурсы распидорашены. Это все решаемо, конечно.
>>1394847 Можно хоть весь хэдер затереть, если он не будет использоваться, сохранять его в каком-нибудь месте и восстанавливать по-надобности.
>>1394830 Что за бред? Секция TLS ни о чем не говорит, это стандартная фича винды, ею пользуются почти все продвинутые десктоп приложения.
Вообщем анон выше прав, трюки все эти хорошо, но если вместо кода будет мусор, на разбор которого уйдет месяцок другой, вот это будет действительно неприятно ковырять крэкеру.
>>1394681 Ой блять, реальное решение для бизнеса у него, у меня вот сейчас реально реальное решение для бизнеса. Высокоуровневые просто обосрутся от такой задачи, она простая но они обосрутся. А если не обосрутся, то всё будет дико тормозить. Но мой пост был не о этом. А о том что ассемблер нужно !обуздать!. Ассемблер не хочет чтобы его изучали, он хочет работать.
>>1394957 В результате моих действий, в конце-концов, пострадают плохие люди, плохие иженеры(и не иженеры вовсе). Которые сейчас потирают свои грязные ручёнки в ожидании большого(огромного) куша от моей конторы, но скоро им прийдёт сообщение: в ваших услугах не нуждаемся. Ниже я опишу что такое плохой инженер. Плохой инженер не делает технику, не ремонтирует технику. Плохой инженер занижает цену на ремонт, потому что он, сука хитрая, просчитал что ему выгоднее из 10 аппаратов сделать 3 с очень лёгкой поломкой, а к остальным найти отмазку вроде Ремонту не подлежит. СУКА, КАКЖЕ Я НЕНАВИЖУ ЭТИХ ПИДАРЮГ. И сейчас эти пидары потюрают свои ручёнки, ага блять.. нашли спасательную ниточку в период кризиса, который они же и создали. Соснут хуйца, нехуй было меня злить.
>>1395421 Найди что-нибудь посовременнее. Книги Криса - классика, но только потому что в те времена другого не было. Эти книги состоят из ошибок, петросянства и базовой информации, в которой автор сам поверхностно разобрался во время написания книги. Читать Криса стоит, надеяться что-то понять, читая только лишь Криса - глупо.
Аноны, а почему в треде нет движухи по поводу ARM и реверсинга мобильных приложух/мобильных малварей и встраиваемых систем с выходом в тырнет? Годная тема же.
>>1395483 В общем, недавно понял, что я не люблю винду, а люблю линукс, плюс узрел ARM асм краем глаза и он мне понравился. Подумываю вкатиться в это дело как следует. Хотел спросить знает ли кто-то какие-то хорошие источники почитать/посмотреть. На инглише или русском, желательно офк на инглише. Кроме Linux internals, это и ежу понятно. В общем, знатоки мобайл секьюрити и имбэдэда, если таковые имеются, закидайте меня годнотой плиз.
>>1395494 >В общем, недавно понял, что я не люблю винду, а люблю линукс, плюс узрел ARM асм краем глаза и он мне понравился. Подумываю вкатиться в это дело как следует. >Хотел спросить знает ли кто-то какие-то хорошие источники почитать/посмотреть. На инглише или русском, желательно офк на инглише. Кроме Linux internals, это и ежу понятно. >В общем, знатоки мобайл секьюрити и имбэдэда, если таковые имеются, закидайте меня годнотой плиз.
Проблема арма в том что он наглухо проприетарно огорожен и в большинстве своих реализаций, из исключений разве что школомалина да микроконтроллеры на Cortex M. Кроме того арм очень многое не прощает в многопоточности что прокатывает на шинтеле по причине отсутсвия инвалидации кеша по умолчанию. SIMD там по прежнему с заебами "перед использованием включить те и те флаги и не забыть сохранить" аля MMX/3DNow.
>>1395589 > Проблема арма в том что он наглухо проприетарно огорожен Это не более-менее решаемая проблема. Чаще всего можно нарыть мануалы, а то и целые сдк у китайцев. Часто производители SoC закупают IP у одного и того же разработчика (тот же Synopsys DesignWare например), и поэтому можно использовать чужие мануалы, ну и в крайнем случае, можно худо-бедно отреверсить интересующие вещи.
Поясните пж, как вычисляется псевдокодом иды глобальная переменная класса относительно GOT (Global Offset Table). Xrefs не видит, а в псевдокоде есть. В процесс включены операции со Stack Pointer'ом вида: LDR R12, [SP, #0x1A4+var_190]. Научите считать эту дичь.
>>1396674 Ну вот смотри. Вся адресация очень простая: в GOT при загрузке кладутся правильные (абсолютные) адреса всякой хуйни, ты знаешь офсет GOT относительно своего кода (при линковке впатчивается линкером), но ты не знаешь, куда именно загрузили твой код. И ты идешь с конца: читаешь из PC адрес кода, вычисляешь относительно этого адреса адрес GOT, читаешь из нужного элемента GOT абсолютный адрес данных, работаешь с этими данными по этому адресу.
По 004D9E14 вычисляется абсолютный адрес GOT: PC + офсет. Не забывай, что инструкции, читающие PC, получают не адрес текущей инструкции, а адрес текущей инструкции + 8, потому что конвейер, потому что ARM. Т.е., чтобы посчитать адрес GOT относительно PC, наш офсет должен быть равен $_GLOBAL_OFFSET_TABLE_ - (0x4D9E14 + 8), мы его берем из R8, а положили его туда по по 004D9E04 (сравни - офсет правильный). В результате после выполнения R8 = PC + R8, в R8 у тебя адрес GOT.
Дальше по 004D9E10 в R3 грузится смещение нужного элемента относительно начала GOT, в котором IDA облажалась (как обычно). Тыкни H по этому литералу, чтобы увидеть просто число, потом тыкни Ctrl+R по нему же (если ничего не произойдет - сходи в конец функции и поищи этот литерал там). В диалоге Reference information пересчитай адрес относительно GOT: type=32-bit full offset, base address = $_GLOBAL_OFFSET_TABLE_ (или адрес GOT числом напиши), галки снять, target address = 0xFFFFFFFF. После этого во втором операнде LDR ты должен заметить правильное имя переменной (имя_ptr). Если видишь что-то типа "dword_abcd - $_GLOBAL_OFFSET_TABLE_" или "off_abcd - $_GLOBAL_OFFSET_TABLE_ " - Enter по имени, и переименовываешь вот это говно_abcd в имя_ptr, т.е., чтобы оно выглядело как имя_ptr dcd имя.
Ну и дальше. По 004D9E28 R3 (офсет в GOT) сохраняется на стеке (компилятор - говно). Дальше по 004D9E7C он обратно читается в R12. Т.е., в R8 GOT, в R12 офсет внутрь GOT, значит по 004D9E90 в R10 из GOT (R8 + R12) читается адрес переменной. Ну а следующие две инструкции пишут по этому адресу и еще рядом. Ну и раз это называется screen size, то очевидно это структура из width и height, тыкаешь Enter на k_screenSize, Alt+Q, все дела.
Хочу написать свой дизассемблер по статье https://habr.com/ru/post/128042/ и интел мануалу. Посоветуйте простые реализации дизасма, чтобы можно было изучать теорию и смотреть, как дизассемблирование реализуется на практике. Я нашел крутые вещи типа VirXdasm (дизассемблер, который весит 333 байта), но там очень хардкорные алгосы.
>>1396787 Крис Касперски тоже дает много теории, а практики у него нет. Он не показывает, как строятся таблицы, как происходит поиск в них и как обрабатываются составляющие части инструкции. Но излагает он более понятно.
>>1396683 Черт, гениально. После настройки в Reference information пойнтер сам обозначился именем, гайд однозначно золотой. А про width и height мне известно. Спасибо за столь развернутый ответ, однозначно сохраню его.
>>1396787 Ну короч берешь Intel SDM, там в конце 2 тома таблицы есть. Ты их копипастишь, разбираешь условные обозначения, разбираешь формат инструкций (в начале 2 тома) - получаешь дизассемблер. На недовасме поищи "Заклинание кода".
"У буквы "заин" долгая и богатая история. Многие поколения магов пытались определить, в чем заключается ее сокровенный смысл. Некоторые утвеждали, что она несет врагам смерть и страдания от разящего клинка, иные указывали на ее форму и говорили, что этот разящий клинок применим далеко не всегда и не везде, а только в некоторых, хотя и весьма ответственных операциях. "
1. Делаешь запрос в гугле а не на дваче fastest disassembler library 2. git clone... 3. Копаешься в тысячах строк кода сколько тебе угодно 4. Понимаешь, что лучше ничего придумать нельзя, одному уж точно 5. Пользуешься готовыми решениями и не выебываешься.
>>1397277 > Пользуешься готовыми решениями Капстоун нельзя назвать быстрым и тем более компактным решением. Медиана не поддерживается. Что-то другое подскажешь?
> лучше ничего придумать нельзя Расскажи это авторам вирусов из 90х, у которых дизассемблер длин с таблицами занимал полкило.
>>1378386 >Крис дважды по заданию шерифа участвовал в платных боевых операциях по задержанию бандитских группировок. В первой операции четверо ребят вместе с ним, не служивших в армии, брали банду из шести вооруженных человек. Крису пришлось первый раз в жизни, по необходимости, стрелять в человека. Все шестеро были задержаны. Истории уровня /b какие-то.. Хотя я конечно могу и ошибаться.
Меня одного пугает Китай? Китайцы спокойно постят в своих блогах о том как пилят малварь, обходят разные продукты безопасности, буткиты, руткиты, анальные зонды. И их даже никто за это не бутылит! Информация размещена в свободном доступе, на всяких новостных порталах аля наш XAKEP. Что за пиздец? У них такое законом не запрещено?
>>1399038 >У них такое законом не запрещено? Так они же буржуйские программы вскрывают. За вскрытие программы из КНР их будет ждать что похуже побольше, чем бутылка.
Сап,реверсач есть сэмл app. any.run/tasks/d55 93b4d -1911- 4d4f-b60d-6eff182efd9bуберите пробелы Накрыт KoiVM+confuser Чем вскрывать и как?никаких идей На tuts4you 1.5 упоминания и то вскользь
>>1399732 Если ты не можешь .net-помойку дебажить, то у меня для тебя плохие новости. Кроме того, зачем тебе девиртуализировать приложение? У тебя задача какая?
Чуваки, начал читать книгу Ирвина, в ней используют masm, а у меня линукс. Как быть, что посоветуете? Может выкрутиться как то можно, чтобы запустить masm на линуксе?
Книга нравится, кроме ассемблера рассказывает подробно про процессор. Поэтому другую читать нехочется. Остальные мне показались слабенькими. Может я не прав и есть крутые книги?
Реверсач, а нахой юзать бесплатную кастрированную айду, если есть гуй Каттер от радар2 с таким же функционалом, только бесплатный и поддерживающий очень много архитектур?
>>1399874 >нахой юзать бесплатную кастрированную айду Действительно, нахой? Есть же торрент. Кстати, пароль от архива с 7.2 ещё не слили? >с таким же функционалом В голосину.
>>1399793 >>1399863 хотя даже исходники не нужны,нужно найти порядка 5 разных стрингов и заменить их значения на свои нужные в любом случае надо как-то снять этот KoiVM
Вечер в хату! Прохожу тут курсик по radare2 (да, я вижу по шапке, что он тут не в почёте, но мой вопрос не совсем по нему) - https://github.com/s4n7h0/Practical-Reverse-Engineering-using-Radare2 Там всё на элементарном уровне освоения команд, но вот с пятой лабой янихуянепонел. Задание "найти шелкод и понять что он делает". Ну символ obj.shellcode я вижу. Опкоды по нему парсятся в какое-то говно непонятное - https://pastebin.com/cZxZtJUt ЧЯДНТ?
>>1400603 Спасибо! сссука всё-таки дело в радаре оказалось... "e bin.strings=false" сделал, конечно строковые константы при этом отвалились. Как реинтерпретировать конкретные байты так и не ясно.
>>1400627 Берешь иду, видишь свою "строку", выбираешь ее мышью или стрелками, нажимаешь на клавиатуре C, профит. Берешь r2, нажимаешь кучу кнопочек, чтобы попасть в visual mode, куда-то все же попадаешь, теряешься в набегающих домиках и гей-параде из разноцветного ASCII-арта и цифр, но героически нажимаешь D C, тоже профит (или нет?).
>>1400829 Да, действительно. Хотя ни в одном cheat-sheet или quick start это не упоминалось, да и не трогал я этот visual mode. За пол дня конечно хер столько команд и опций запомнить.
Аноны, пишу драйвер, использую стороннюю либу при инициализации, далее ею не пользуюсь, а весит она знатно, аж целый метр. В обычном приложении подгружаю длл по-надобности, потом выгружаю. В ядре как эти дела делаются? Неужели придется отдельный драйвер пилить, его дергать и потом выгружать?
Аноны, приветствую. Хочу научиться писать скрипты в айде для автоматизации статического анализа, слышал годная тема, особенно, если прога обфусцирована или же просто слишком грузная для ручной суходрочки. Посоветуете что почитать или посмотреть. До этого писал скрипты только на баше, но всё же более или менее базовые.
>>1403341 > что почитать 1) Любую книгу по питону. 2) idaapi.py/idc.py/idautils.py 3) Исходники проектов типа flare. Это просто чтобы научиться писать скрипты хоть как-нибудь. Плюс теория. По теории не подскажу.
Сап, Антош. Хочу инжектить свою DLL во все виндовые процессы уровня пользователя в т.ч. svchost на постоянной основе на этапе их создания. Предусловия - полный физический и административный доступ к машине. ОС - шиндошс 10 х64. Я попробовал appinit_dlls, но оно работает только для того, что грузит user32.dll (очевидно). Как я понял, SSDT и вообще все фишки связанные с ядром соснулей, ибо требуют включения testsign для дров. Вроде есть варианты через колбэки и APC - это то, что мне надо? Где почитать?
>>1403502 > AT&T кажется логичней А тебе не кажется нелогичным, что под все остальные архитектуры, кроме интел, у gas сразу же, по умолчанию нормальный порядок операндов?
>>1403497 Судя по твоему набору слов, ты понятия не имеешь что делаешь. Учи архитектуру ОС. Где ты вообще этот баянистый способ реализации руткита вычитал? Ему больше 20 лет.
>>1403608 > Судя по твоему набору слов, ты понятия не имеешь что делаешь. Как минимум общее представление имею, просто с конкретно такой задачей впервые столкнулся. > Учи архитектуру ОС. Пустые понты кидать не хочу, поэтому скажу, что в целом в курсе, могу не знать каких-то тонких деталей, необходимых для данного случая. > Где ты вообще этот баянистый способ реализации руткита вычитал? Ему больше 20 лет. Который именно? В интернете, само собой. Если кинешь ссылку на что-то более актуальное - буду благодарен.
Как ОС работает с dll/so в винде/линуксе при загрузке в процесс в случае системных либ типа kernel32.dll и пользовательских типа libmylib.so? Она создает копию либы в виртуальном пространстве процесса или создает отдельный процесс под эту либу (какой нибудь dllhost.exe/svchost.exe) и пользовательские процессы просто напрямую смотрят туда? Если два процесса импортируют одну и ту же либу, если один процесс в ней сделает детур на свой код, то повлияет ли это на второй процесс?
>>1403748 > Как ОС работает с dll/so в винде/линуксе при загрузке в процесс в случае системных либ типа kernel32.dll и пользовательских типа libmylib.so? Она создает копию либы в виртуальном пространстве процесса или создает отдельный процесс под эту либу (какой нибудь dllhost.exe/svchost.exe) и пользовательские процессы просто напрямую смотрят туда? Первое, только не копию, а отображение с коровой (COW). Это если очень по-простому. В линуксе нет "системных" либ, в винде это только ntdll.dll (kernel32.dll нужна только Win32 процессам). > Если два процесса импортируют одну и ту же либу, если один процесс в ней сделает детур на свой код, то повлияет ли это на второй процесс? Опять же COW, иначе каждый мамкин хакер загружал бы в память OpenSSL и отключал бы шифрование во всей системе.
>>1403765 Прочитал про copy on write. А если у либы есть состояние и она сама в себя пишет при вызове определенной функции, чтобы его изменить. Что произойдет, если процесс А вызовет эту функцию? Изменение состояния либы будет заметно в процессе Б, использующем эту же либу? И еще, если ОС копирует в VM процесса либу во время первой записи, то эта либа как то хостится ОСью? Для этого есть какие нибудь системные процессы, или это где то в кишках ОС зарыто и из пользовательского пространства до туда не добраться?
>>1403771 С линуксами вроде понял. При загрузке процесса делается мемори мап на исполняемую и readonly секции shared object'а с дальнейшим копированием в VM space процесса при записи благодаря CoW, а writable-секции так и вовсе при запуске копируются в адресное пространство запускаемого процесса если верить гуру с stackoverflow. А что с видновсами? Я в эльфе не шарю, но вот в РЕ знаю, что file alignment и virtual alignment могут быть (и КМК, почти всегда) разные, там так просто файл не замапишь. Что в винде то происходит?
>>1403784 > Что в винде то происходит? Да плюс на минус то же самое, с другими названиями и реализациями. В теории и архитектуре ОСей последние лет так 30 если не 50 никаких существенных изменений не происходило, и старый добрый Таненбаум до сих пор прекрасно все описывает. Совершенствуются конкретные механизмы, да - за ними тебе к Руссиновичу и в исходники ReactOS.
>>1404251 А ты думал тебе чистенький сурс вытащат? Нет таких инструментов. Вообще пиздуйте в C# тред со своими кофусерами, заебали срать здесь высокоуровневой парашей.
Объясните, пожалуйста, начнающему ассемблерщику мне. Я не понимаю. В Long mode (x86-64) опреранды могут задаваться их линейными адресами (в качестве immediate-аргументов в командах). Но ведь при загрузке требуемые данных (которые мы хотим адресовать) могут быть размещены достаточно произвольно - страница с данными может быть в разных местах памяти. И адрес данных будет меняться от загрузки к загрузке. А значение immediate-аргумента не изменяется. Как же инструкция доберётся до нужных данных? Видимо, я что-то упускаю. Извините, за корявую формулировку.
>>1405062 Не совсем понял, о чем ты конкретно. Нарисовал бы пример что ли. > страница с данными может быть в разных местах памяти Таблица страниц.
> адрес данных будет меняться от загрузки к загрузке Вместе с адресом кода. RIP-relative адресация, редко (гораздо реже, чем в 32-битном режиме) таблица поправок.
Место данных data в памяти определяется во время загрузки, а immediate-аргумент команды mov ([data] - некоторый адрес) фиксирован (при трансляции, видимо).
>>1405146 Сосут по сравнению с чем? И что в них такого нового появилось за последние 30 лет?
>>1405152 Ну вот, оно сассемблируется с ошибками, потому что ты кладешь дворд в rax, а еще потому что 123456789h не влезает в dd с вычислением адреса относительно адреса следующей инструкции, т.е. будет: mov rax,[rip+(data-next_instruction)] next_instruction: ... data dq 123456789h Вот если бы у тебя положение секции данных менялось относительно кода, то при загрузке пришлось бы патчить адреса.
>>1405177 У асмов есть оптимизация. Например, можно воткнуть длинный jmp, а можно короткий. Это работает. Остальную оптимизацию делает приставка к клавиатуре.
>>1405180 Говорят, что кур доят. Автоматическая векторизация по-прежнему сосет. Алиасинг в си/си++ по-прежнему создает проблемы. Приставка к клавиатуре по-прежнему рулит. Только она медленная и дорогая, поэтому ей пользуются относительно редко.
>>1405179 >относительно адреса следующей инструкции То есть абсолютных адресов в immediate-аргументах не бывает?
>Вот если бы у тебя положение секции данных менялось относительно кода А что если они загружаются (или даже транслируются) по отдельности? Что, вообще с раздельной сборкой?
>>1405200 >кроссплатформенный машинный код Сухая вода? Выбери одно или машинно-специфичный язык (машинный код) или код не зависящий от платформы ('машины').
>>1405205 > То есть абсолютных адресов в immediate-аргументах не бывает? Ну хватит уже это immediate называть. immediate - это значение, которое ты непосредственно используешь для чего-то, константа, число (в mov eax,1 единица - просто число), поэтому оно immediate и называется. А ты говоришь про офсеты.
Бывают абсолютные адреса. Эффективная адресация осталась, ты можешь не использовать в ней scale/index/base, оставив только 32-битное смещение, тем самым получив абсолютный адрес в пределах первых 4 гб. Алсо, есть mov rax с 64-битным офсетом (да, только для rax).
> А что если они загружаются (или даже транслируются) по отдельности? Линкер, когда занимается связаванием (link) символов, как раз патчит все ссылки на символ так, как будет в памяти.
> Как это делается? Ну формируется список адресов (у линкера или если мы про рантайм - то в исполняемый файл кладется) и типов поправок (ну где относительный адрес, где абсолютный, где только кусок какой-нибудь, там дохуя вариантов, особенно для некоторых особо хитровыебанных процессоров). Ну и код (линкер или загрузчик) идет по списку и что-то делает в зависимости от типа. Например, в 32-битном коде для mov eax,[data] линкер положит в инструкцию правильный адрес data, а если у нас дллка виндовая, которая загружена не по своему предпочтительному адресу, то загрузчик прибавит к адресу data внутри инструкции разницу между предпочтительным адресом загрузки дллки и фактическим. Ну это самые простые примеры.
>>1405209 > сегментный регистр + Для fs/gs сохранилась более-менее, для остальных сегментных регистров база из дескриптора не учитывается и считается равной нулю.
>>1405232 Считать ли x86-код кроссплатформенным, если его раньше всякие трансметы микрокодом выполняли?
>>1405248 > есть mov rax с 64-битным офсетом (да, только для rax) В смысле, для al/ax/eax/rax, и, конечно же, не только в регистр, но и обратно, из регистра в память.
>>1404267 И ведь никто не помог! Решение: поместить либу в отдельную секцию и пометить ее как сбрасываемую. После инициализации драйвера, загрузчик винды сам её выгрузит.
>>1405248 >Ну хватит уже это immediate называть. Извините ещё раз за корявость формулировок. Ты прав. Это называется "смещение в команде".
>Линкер, когда занимается связаванием (link) символов, как раз патчит все ссылки на символ так, как будет в памяти. А если без линкера? Что в случае сборки в бинарный файл?
>Считать ли x86-код кроссплатформенным, если его раньше всякие трансметы микрокодом выполняли? Думаю, сейчас нет. Машинные инструкции и сейчас в микрокод транслируется процессором. Но ведь программисту микрокоды недоступны. И машинный язык однозначно определён архитектурой ЦП. Нет тут кросплатформенности (в нынешних x86 процессорах).
>>1405263 > А если без линкера? Что в случае сборки в бинарный файл? Не понял вопроса. Если у тебя ассемблер, нет секций и бинарник на выходе (допустим, fasm и format binary), то ассемблер все равно делает то же самое, что и линкер внутри себя, когда назначает адреса меткам и впатчивает эти адреса в инструкции.
> Но ведь программисту микрокоды недоступны Это пока процессор не твой собственный. Берешь, значит, много-много баксов и подходящую по размеру FPGA... Хотя вообще-то я пошутил.
> И машинный язык однозначно определён архитектурой ЦП Набор команд в x86 уже давно имеет мало отношения к архитектуре, это просто абстрактная хрень, которая живет лишь из-за необходимости поддерживать совместимость.
Buf1 db 11 Len1 db ? Opnd1 db 12 dup( ? ) Buf2 db 11 Len2 db ? Opnd2 db 12 dup( ? ) Res db 12 dup(' '),'$'
codeseg startupcode push DS pop ES BEGIN: ;Ввод первого слагаемого B1: lea DX, Buf1 mov AH, 0Ah int 21h cmp Len1, 0 je B1
Помохите пожалуйста. Переписываю потихонечку чужой код и не могу понять для чего тут Len1. Точнее я знаю, он туда засунет в последствии кол-во символов в строке. Но что означает это? cmp Len1, 0 je B1
Зачем сравнивать Len1 с нулём, и в случае равенства или нуля переходить обратно на начало? Что это за колдунство? В лен1 же нихуя нет. Зачем он сравнивает?
>>1405295 > Зачем он сравнивает? Ну видимо чтобы запросить ввод повторно, если юзер просто нажал Enter.
>>1405296 > А сейчас на микрокоде писать нельзя проги? У интела микрокод не документирован, обновления зашифрованы. Максимум, что есть - это статьи про какой-то очень древний AMD, у которого микрокод еще шел без шифрования.
>>1405302 > Так покажи примерчик хоть. mov ah,09h imov dx,_text int 21h int 20h _text db 'Content-Type: text/plain',13,10,13,10,'Hello, world!$'
>>1405304 > Ну видимо чтобы запросить ввод повторно, если юзер просто нажал Enter. Пасиба. Понял. А если буковку ввести? Он сожрёт и пропустит дальше по коду?
>>1405312 А если буковку ввести, то во втором байте буфера, т.е., в Len1 уже не будет 0 (а будет 1, например), сравнение не выставит ZF, je не сработает.
>>1405335 Нет, не улавливаю. Хочешь - бери таблицу опкодов и пиши, только кроме кучи дополнительной ебли это ничем не будет отличаться от использования ассемблера. Никаких дополнительных преимуществ, ничего такого, что нельзя с точностью до бита воспроизвести из ассемблера.
>>1405350 > не вижу смысла учить ASM Не учи, разрешаю.
>>1405429 Да это не троллинг. Сюда действительно иногда дебилы первокурсники из C/C++ тредов закатываются и начинают тупить. Тут только ОП-хуй который с сагой пишет всегда адекватный.
>>1405423 Тогда почему сразу С/С++ не взять? Ебли же меньше, а скорость работы сложных программ уже выше, потому что не будешь вручную оптимизировать каждую строчку на АСМе.
>>1405450 > Тогда почему сразу С/С++ не взять? Я для тебя специально пояснил: между машинным кодом и ассемблером разница - только ебля. Между ассемблером и более высокоуровенвым языком разница в огромном количестве возможностей и полным контролем над кодом. Ну почти. В ассемблерах обычно ты не можешь выбирать из разных вариантов кодирования одной и той же инструкции, но ты всегда можешь написать под это макрос, если это почему-то важно.
> скорость работы сложных программ уже выше Зависит только от тебя. Не от компилятора, а от тебя. И нет, причина использования высокоуровневых языков - скорость разработки, а не работы. Модификация оптимизированного ассемблерного кода может закончиться переписыванием с нуля.
> почему сразу С/С++ не взять? Если ты не пишешь какую-нибудь жестокую математику для SIMD, хитровыебанный JIT, низкоуровневые процедуры для своей ОС типа сохранения/восстановления контектста или обработчика прерывания который все равно выполняет только самую грязную работу, а потом вызывает код на Си - без вариантов стоит брать нормальный высокоуровневый язык, а ассемблер использовать там, где он действительно необходим.
>>1405304 >У интела микрокод не документирован, обновления зашифрованы Зашифрованы чем, универсальным интеловским ключом? Почему тогда до сих пор никто не вытащил из кремния этот ключ электронным микроскопом и не выложил в паблик? Я не верю, что там в каждом камне физическая защита уровня смарткарт на всем УУ.
>>1405485 Ну у того же AMD есть такие возможности точно. Могли бы отреверсить и выложить, чтобы мимокрокодилы там регулярно находили всякие непотребства и опускали Intel. Гораздо дешевле, чем вкладываться в рекламу и всякое такое.
>>1405663 На АСМе пишут куски кода в системах реального времени и ОС, в кодах вирусов, в софте встроенных систем. На чистом АСМе уже давно не программируют, уже как лет 40 точно. Уметь читать чистый АСМ нужно реверсерам. Статический анализ = чтение чистого ассемблерного листинга с целью восстановить исходный алгоритм функции/блока кода/всей программы, нужное подчеркнуть. Для чего? Чтобы написать похожую программу, написать кряк для нее, найти дыру в безопасности для тех или иных целей и т.п. Нужное подчеркнуть, как говорится.
Точнее алгоритм перевода в неупакованный bcd у меня есть, вот он. https://pastebin.com/t4Kgs8hY Но алгоритм не мой, я черт его знает что там происходит. И умножение я хуй знает как сделать. Умножение через мул как то ниполучаицца. Там сначала результат залетает в АХ, потом надо аам делать ради (исправления чего-то?), и результаты раскидываются по двум регистрам. Теперь сразу два регистра выводить? Йа тупой, арррр.
>>1405663 Он нужен для выполнения специфических задач, где нужен прямой доступ к регистрам, например. Короче с асмом дела обстоят, как в том самом анекдоте: Ньюфаги не знают, олдфаги не помнят.
Народ, на каком АСМе можно написать программу, которая будет работать на 32 и 64 архитектуре, Intel, AMD, ARM, а также Винде, Линуксе, Маке и желательно Андроид с Айфоном?
>>1405750 А в чем вопрос-то? У тебя есть два числа, состоящие из BCD-цифр. Берешь и умножаешь цифры в столбик, как в школе. Самый простой метод.
> я черт его знает что там происходит Ну берутся цифры одну за другой из ввода, приводится ASCII-код к 0..9 (используя тот факт, что '0'...'9' - это 0x30...0x39, поэтому можно просто взять младшие 4 бита), потом это все зачем-то двигается (хотя удобнее и логичнее хранить числа в little-endian, начиная с младшего разряда).
> аам делать ради (исправления чего-то?) Ну потому что 09h умножить на 02h = 12h не будет валидным неупакованным BCD. И надо отнять и поделить получить две правильные цифры. Можешь это сделать медленнее вручную, через деление на 10, но это займет несколько инструкций, а тебе дали одну удобную, которая сама сделает из 12h = 18 = (18 / 10, 18 % 10) = (ah = 01h, al = 08h).
Асмач, что за йоба-функции по типу: _enable(), _disable(), _writecr(), _mm_... итп? Очень часто их вижу в хэдерах, но не понимаю что они делают и для чего вообще нужны? Да, визуал студио.
>>1405958 > Берешь и умножаешь цифры в столбик, как в школе. Самый простой метод. Но не самый эффективный. habr.com/post/451860/ >>1405963 >_writecr Записывает регистр CR
P.S. Как избавится от уебанской гугкапчи? В настройках поставил 2капчу, не работает. Абу пидарас
>>1405922 Atmel Studio (ранее AVR Studio) — основанная на Visual Studio бесплатная проприетарная интегрированная среда разработки (IDE) для разработки приложений для 8- и 32-битных микроконтроллеров семейства AVR и 32-битных микроконтроллеров семейства ARM от компании Atmel, работающая в операционных системах Windows NT/2000/XP/Vista/7/8/10.
А если серьезно, то такие только на бумаге в теории есть. В реале запилить рабочий прототип практически невозможно, разве что в лабораторных условиях и то будет работать все через раз.
>>1406505 Хуйню там слили у анб, никакими гипервизорами, фирмваре даже и не пахнет, сам модуль у них тоже тухлый. В паблике как раз есть вещи по-круче, особенно у китайцев.
Сап, аноны Расскажите нубу кто шарит Есть ли какая-то сила за разработкой драйверов? Ведь код драйвера имеет больше привелегий, нежели рядова прога (кольца 2 и 1, если не ошибаюсь) Значит ли это, что существуют малвари, написанные в стиле драйверов? Или завернутые в драйвер?
Вы пишите на ассемблере или собираетесь начать на нём писать? Программируете микроконтролёры, пишете драйвера для ОС, а то и саму ОС? Вам сюда.
Вы изучаете алгоритмы работы закрытого софта, пишите патчи бинарников? Вам тоже сюда.
Попрошайки с "решите лабу по асме за меня" идут в общий тред, а лучше нахуй.
Книги по RE:
beginners.re - "Reverse Engineering для начинающих"- бесплатная современная книга на русском языке. К прочтению вкатывающимся и прочим ньюфагам обязательна!
Чтобы не палить свой адрес почты, вот прямая ссылка https://beginners.re/f572d396fae9206628714fb2ce00f72e94f2258f/
https://mega.nz/#!Bc9VVAYC!Vk6CFlW6VIoskLNgDKXbsL6FacDQeOKe6LX92wNicKY Нарваха практический курс по дебагингу
https://www.goodreads.com/shelf/show/reverse-engineering - список книг
Сайты по RE:
http://wiki.yobi.be/wiki/Reverse-Engineering
https://www.reddit.com/r/ReverseEngineering/comments/hg0fx/a_modest_proposal_absolutely_no_babies_involved/
http://www.program-transformation.org/Transform/ReengineeringWiki
http://blog.livedoor.jp/blackwingcat/
https://yurichev.com/blog/
http://wiki.xentax.com/index.php/DGTEFF
https://exelab.ru/
Инструменты для RE:
Дизассемблеры:
0) IDA Pro 7.2 когда подберут пароль к архиву
1) IDA Pro 7.0.torrent (x64 only, для XP нужно патчить PE + вылеты)
2) IDA Pro 6.8.torrent
3) IDA Pro 5.0 - бесплатная версия для некоммерческого использования
4) Radare 2 - наконец прикрутили гуй, но по прежнему нужна только клиническим, не умеющим в скачивания торрентов, или пользователям альтернативных ОС
5) Остальное
Все книги и статьи Криса Касперски (R.I.P.)
https://yadi.sk/d/CxzdM1wyea4WP или https://rutracker.org/forum/viewtopic.php?t=5375505
+ https://rutracker.org/forum/viewtopic.php?t=272818
Книги по ассемблеру:
"Архитектура компьютера" Э. Таненбаум
С.В. Зубков: Assembler. Язык неограниченных возможностей.
Сайты по ассемблеру:
Замена почившему wasm.ru- https://wasm.in/
https://www.unknowncheats.me/wiki/Assembly
http://asmworld.ru/
https://software.intel.com/en-us/articles/intel-sdm
http://www.nasm.us/doc/
https://sourceware.org/binutils/docs/as/index.html#Top
https://msdn.microsoft.com/en-us/library/afzk3475.aspx
disassembler.io Дизассемблер онлайн
Для ковыряющих винду и софт под неё, сайты с описанием структур со смещениями и разными версиями оных:
http://msdn.mirt.net/
http://terminus.rewolf.pl/terminus/
http://geoffchappell.com/
Предыдущие
№5 https://arhivach.ng/thread/395971/
№6 тонущий если кому нужен тред, сами архивируйте, я в следующий добавлю.