x64dbg

WinDbg?

Radar?

x64dbg

Вот о таком не слышал

http://x64dbg.com/#start

его CPY используют и форсят активно

Но основы лучше понять по 32-битному кажется

не, если учиться - то только на 32, потому что в 64 подход похожий, но размеры больше )

и всё сложнее ровно в два раза

Да там адрессация памяти шопиздец

Кокой 2 раза)

**2

ненуачо, ничего невозможного нет, просто в голове сложнее держать становится такое количество точек )

Win8 поставлю, и потестю. Давно не держал отладчик в руках

я где-то кстати находил очень годный мануал по нему

x64dbg отличный

Еще вот где-то читал про случай, что код как-бы параллельно несмотря на условный переход работает. Какой-то баг вроде

в чём проблемы с адресацией в х64?

Сложнее же

непонятно, они же как раз сегменты убрали, теперь всё flat

http://www.viva64.com/ru/b/0188/

x64dbg

> windowsonly < актуально

> windowsonly < актуально

90% софта на виндах

для всего остального есть gdb

!

radare2 же есть какой-то

и кто тут умеет им пользоваться?)

radare2 же есть какой-то

вот он годный

и кто тут умеет им пользоваться?)

Хороший вопрос. Искать ответ на него я конечно не буду.

https://habrahabr.ru/post/131971/

x64dbg ещё хорош тем, что разработка постоянно ведётся и автор на связи :) недавно попросил его в диалоге Data copy, который позволяет скопировать из памяти данные в определённом формате, добавить формат GUID - добавил :)

даже иконку на серую с чёрной поменял по просьбе... потому что чёрная в панели задач в Windows 10 не видна.

https://habrahabr.ru/post/204432/ https://habrahabr.ru/post/215225/

https://habrahabr.ru/company/eset/blog/96263

Какие варианты хака есть связанные с подменой системных вызовов из защищенного режима? Ну речь идёт примерно о следующем. Вот хочу я в линуксе переопределить setuid чтобы он все время рутом меня делал

в смысле, какие варианты хака? найди адрес sys_call_table и замени там адрес на свой hook_setuid() в соответствующем слоте

ну или найди адрес setuid(), поменяй протект и влепи там джамп в начало функции. джамп на свою функцию

Ну вот а не закончится у меня это дело сегфолтом при попытке снять wp?

нет, не закончится.

ну поменяй в табличке лучше правда, тебя все антируткитные средства палить будут, ясен перец.

я просто пробовал уже, сегфолт ловится на этапе movl %сr0, %eax

да? хм

а cli делал?

Неа, не делал, сейчас попробую. Могу попробовать

Этот код сегфолтится

Прошу прощения за фото с экрана, комп вай фай не ловит

С cli тоже сегфолт

так ты это в ring3 делаешь?

в ring0 надо, из LKM :)

а чтобы в ring3 делать страничку доступной для записи, используй системный вызов mprotect()

Ну вот я и спрашиваю) из модуля то ясен пень все просто) но модуль в ядро только рут загружать может, а если ты рут то зачем setuid менять) спасибо, посмотрю mprotect

эм, я думал ты хочешь, пока ты рут, перехватить setuid(), чтобы ПРИ ОПРЕДЕЛЁННЫХ ПАРАМЕТРАХ он делал тебя из юзера рутом.

а так ты получается хочешь из обычного юзера перехватить общий setuid() и стать рутом :) нет, если бы так было возможно - это была бы уязвимость

Аа, не) я хочу стать рутом если я обычный юзер и легально стать не могу, судо не могу делать

а так ты получается хочешь из обычного юзера перехватить общий setuid() и стать рутом :) нет, если бы так было возможно - это была бы уязвимость

Ну да)

ну в таком случае это была бы уязвимость :) так сделать нельзя :)

Ээх) на хабре просто нашёл статью где мужик описывает как он якобы делал вот это все

да? можно посмотреть?

Сейчас кину

https://m.habrahabr.ru/post/110369/

В рамках решения одной задачи появилась необходимость в перехвате системных вызовов под архитектурой x86-64 при помощи загружаемого модуля ядра.

> при помощи загружаемого модуля ядра

Понятно

Это я уж пончл

Что хрен из юзермода

где почитать вменяемо как асм вставки в С делать?

https://gcc.gnu.org/onlinedocs/gcc/Using-Assembly-Language-with-C.html#Using-Assembly-Language-with-C

инлайн ассемблер?

ну да

на вике был линк на учебник

никак не могу врубиться в эту кашу из асма, С и двоеточий

на вике был линк на учебник

Этот?

https://ru.wikibooks.org/wiki/%D0%90%D1%81%D1%81%D0%B5%D0%BC%D0%B1%D0%BB%D0%B5%D1%80_%D0%B2_Linux_%D0%B4%D0%BB%D1%8F_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%81%D1%82%D0%BE%D0%B2_C

Да

Он норм. Но там не про inline

:(

Вот такое нашёл на вики http://www.ibiblio.org/gferg/ldp/GCC-Inline-Assembly-HOWTO.html вроде ничего

Не сильно отличается от того, что я скидывал выше)

у гнушных доков есть какое-то магическое свойство: они вроде адекватные, но если их немного переписать, то становится в 10 раз проще понимать