Churchill
а вы точно не малварщик?
Anonymous
нет конечно
Anonymous
сэмпл просто пореверсить
dukeBarman
все так говорят :)
dukeBarman
https://t.me/MalwareResearch тут спроси
Anonymous
GandCrab 4.4
Anonymous
ща
Anonymous
хуя :D
Anonymous
вот это ник
Мда... Неужели студентики увидели, что в следующем семестре им будут асм преподавать?
електр🟢нік ✙🟠рчбеч ඞ
надеются*
JeisonWi
Зарелизили https://github.com/radare/radare2/releases/tag/2.8.0
Где вы фотки берёте?
JeisonWi
https://github.com/xoreaxeaxeax/rosenbridge
електр🟢нік ✙🟠рчбеч ඞ
Есть кто по ARM-ассемблеру?
Сколько будет выполняться эта конструкция при невыполнении условий?
tst r7,r1,lsl 24 @1 CYCLE
it eq @1 CYCLE
streq r2, [r0] @2 CYCLES
Ask
електр🟢нік ✙🟠рчбеч ඞ
ну по логике должно откинуть streq, но будет ли it выполняться один цикл?
електр🟢нік ✙🟠рчбеч ඞ
тайминги очень жесткие
Yura
Всем хелоу, вопросиус: как в существующий бинарник (ntoskrnl.exe) вставить свой код? дело в том что там большой кусок...
Yura
я отключаю патч гард и подписку дров, и надо еще выполнить кое-какой шелкод
електр🟢нік ✙🟠рчбеч ඞ
дописать код в конец и делать джамп перезаписав одну инструкцию в середине бинарника
електр🟢нік ✙🟠рчбеч ඞ
иначе никак
Yura
дописать код в конец и делать джамп перезаписав одну инструкцию в середине бинарника
но трабла то в том, что секция кода обычно первой идет...
Yura
а как тогда вычислить RVA своего кода? он же не равен смещению как в файле
електр🟢нік ✙🟠рчбеч ඞ
я думаю стоит хотя бы поэкспериментировать
Yura
так а проблем не будет в том, что код дописанный в конец не будет относиться ни к какой секции?
електр🟢нік ✙🟠рчбеч ඞ
алсо в бинарнике после секции кода может идти пустое пространство
Yura
надо или тогда свою ексекьют секцию создать?..
електр🟢нік ✙🟠рчбеч ඞ
тогда можно пропатчить его и хидер екзешника
електр🟢нік ✙🟠рчбеч ඞ
под винду не писал, не скажу
Хотя я давно такое делал.
Yura
а будет какой-то виртуальный RVA
електр🟢нік ✙🟠рчбеч ඞ
сначала просто дописать код и смотреть дамп памяти
Ask
ну по логике должно откинуть streq, но будет ли it выполняться один цикл?
по логике ит не нужен так как streq уже с условием, скомпиль и погляди что осталось, а потом считай, или гугл) а лучш сразу
Ask
а будет какой-то виртуальный RVA
погляди секцию кода вконце, может там место есть между секциями, его используй. если мало тогда либо секцию дорисуй либо последнюю правь, с коректировка равсайза и флагами
Yura
Ask
где?
Yura
места там не хватает, а корректировать офсеты так не хочется что вообще
Yura
места там не хватает в секции кода
Ask
там сайз только подправить и екзекут флаг
Yura
там сайз только подправить и екзекут флаг
а оффсеты не уедут?? которые будут после моего кода находиться?
Yura
там конечно RVA но все равно
Ask
грузятся данные из файла по данным рав, и пихаются в память по ва
Ask
добавь секцию вообще
електр🟢нік ✙🟠рчбеч ඞ
по логике ит не нужен так как streq уже с условием, скомпиль и погляди что осталось, а потом считай, или гугл) а лучш сразу
тоже думал, ассемблер кидается эррорами
електр🟢нік ✙🟠рчбеч ඞ
без ит не работает
bilka00
Всем хелоу, вопросиус: как в существующий бинарник (ntoskrnl.exe) вставить свой код? дело в том что там большой кусок...
bilka00
а как тогда вычислить RVA своего кода? он же не равен смещению как в файле
bilka00
call $+5 для вычисления смещения секции
bilka00
вся остальная адресация должна быть относительная
bilka00
Я вовсе пересчитываю все смещения в подобных задачах автоматический
bilka00
Собстна обращение к переменной идет как Переменная+мое смещение
bilka00
И этим всем занимаеться внешний шаблонизатор который потом отдает код с уже выставлеными смещениями на сборку
bilka00
а смещение для конкретного файла считаю как imagebase+смещение секции
s54820
вся остальная адресация должна быть относительная
Нафига? Можно просто посмотреть адрес, org адрес и вперёд. Ну это если на асме писать.
bilka00
Тут вопрос в универсальности
s54820
Тут вопрос в универсальности
Тогда проще собирать .obj и написать то, что его прилинкует, поправив все адреса.
bilka00
ну мое решение работает
bilka00
и даже есть на гитхабе
bilka00
https://github.com/bilka00/LicenseSystem
bilka00
Грязненький код. Впрочем, работает и ладно
Коду времени многовато
Сейчас бы многое я реализовал по другому
t1db1t
чувак который разбирается в кернеле не знает как добавить исполняемую секцию в PE и сделать на неё переход
t1db1t
чувак который разбирается в кернеле не знает как добавить исполняемую секцию в PE и сделать на неё переход
А с чего ты решил, что он разбирается?
t1db1t
В виндовс кернел кто шарит?
t1db1t
me
tanjmaxalb
Да и патчинг кернела на это наталкивает:)
t1db1t
помнится ещё перлы с фасмом были
Yura
я тогда съебланил просто
t1db1t
отмаз засчитан
bilka00
чувак который разбирается в кернеле не знает как добавить исполняемую секцию в PE и сделать на неё переход
Мне это сразу показалось подозрительным
bilka00
Yura
а в вин10х64 нельзя же напрямую работать с прерываниями?..