Следующая новость
Предыдущая новость

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

18.10.2017 14:16
Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Содержание статьи

  • Библиотека антиотладчика
  • Антиотладочные трюки: активно противодействуем отладке нашего приложения
  • VEH в Windows x64: усложняем анализ кода с помощью векторной обработки исключений
  • Отладка VS защита. Простые способы сложной отладки
  • Бурим ядро Windows: Kernel Pool Overflow — от теории к практике
  • Кряк без дизассемблера
  • Энциклопедия антиотладочных приемов
  • Дизассемблирование C# программ от A до Z
  • Виртуальная отладка
  • Убить DEP’а. Теория и практика обмана hardware-DEP
  • Руткитам — бой!
  • Морфим, не отходя от кассы. Мутация кода во время компиляции
  • Многоразрядные шелл-коды. Пишем ring0-shellcode под Windows x64
  • Обуздать WinDbg. Простые приемы сложного отладчика
  • Драйверы антивирусов — источник зла. Уязвимости в драйверах проактивных защит
  • Ассемблером по эвристике: Накорячиваем AVG, Avast, ClamAV, Panda, Comodo: просто, эффективно и без извращений
  • Малварщики против PatchGuard. Лезем в недра таинственной технологии Microsoft — Kernel Patch Protection
  • Изучаем антивирус. Расковыриваем антивирусный сканер, эвристический анализатор и эмулятор в антивирусных программах
  • Бурим антивирус. Еще глубже! Рассматриваем способы мониторинга событий и проактивной защиты в разных антивирусных программах
  • Тибериумный реверсинг. Внедрение Х-кода и виртуальная машина: теория и практика
  • X-препарация: вскрываем хитрый Sality.aa. Учимся распознавать полиморфизм и обфускацию кода на примере известного вируса
  • Мобильная малварь под микроскопом. Рассматриваем «эротический» J2ME-зловред во всех интимных подробностях
  • На малварь без антивируса. Что делать, если его базы еще не успели обновиться?
  • Заключение

Иногда мы, редакторы и авторы журнала «Хакер», сами читаем журнал «Хакер». Нет, ну то есть мы постоянно его читаем :), но иногда получается так, что, разрабатывая новые темы, гуглим что-нибудь интересненькое, натыкаемся на крутую статью, читаем ее с огромным удовольствием и вдруг понимаем, что… это же мы ее и делали, причем, скажем, всего пару лет назад. И при этом материал по-прежнему остается современным! И действительно, несмотря на всю динамичность нашей отрасли, существует определенная классика, и практические кейсы, которые были актуальны, скажем, в 2015-м, будут актуальны еще несколько лет.

В общем, мы решили прошерстить все выпуски и сделать для тебя подборочку самых крутых материалов, которые ты, в принципе, мог и пропустить. Как говорится, от преданных читателей журнала — для преданных читателей журнала (а что, я как раз такой — у меня вся подшивка с 2000 года лежит, могу достать с антресолей и предъявить! — Прим. ред.).

Библиотека антиотладчика

Перед нами небольшой гайд по техникам антиотладки приложений. Несмотря на то что статья довольно небольшая по объему, она очень качественно описывает основные методы и трюки использования антиотладочных приемов для противодействия анализу бинарного кода, то есть приложения. Помимо теории, даются примеры кода, описание параметров и флагов. В общем, это must have настоящего реверсера! В заключении также приведены мнения авторитетных экспертов Вячеслава Закоржевского из «Лаборатории Касперского» и Александра Матросова, некогда Senior virus researcher в лаборатории ESET.

Скачать PDF

Антиотладочные трюки: активно противодействуем отладке нашего приложения

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

В материале рассматриваются кейсы использования особенностей выполнения машинного кода для противодействия отладке. В частности, API-функции rdtsc (Read Time Stamp Counter) и особенности реализации на процессорах Intel и AMD. Рассказывается про выполнение некоторых инструкций CPU, позволяющих создавать антиотладочные методы, обойти которые способен не каждый реверсер.

Скачать PDF

VEH в Windows x64: усложняем анализ кода с помощью векторной обработки исключений

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Быть может, тебе уже доводилось читать об обработке исключений в x64. Ну а если нет, эта статья как раз для тебя! Описывается и теория, и практика использования векторной обработки исключений в приложениях, написанных под ОС Windows. Представленная информация довольно редкая и почти не имеет аналогов в программистской русскоязычной литературе.

Скачать PDF

Отладка VS защита. Простые способы сложной отладки

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Ты помнишь игрушки, защищенные от копирования технологией StarForce Protection System? Так вот, в этой статье автор предлагает познакомиться с некоторыми непростыми видами защитных механизмов, их описанием, примерами реализации и оценкой. Это хоть небольшой, но полезный экскурс в мир противостояния средств защиты и средств анализа. Ты сможешь узнать подробности и технические детали и первого и второго.

Скачать PDF

Бурим ядро Windows: Kernel Pool Overflow — от теории к практике

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Ядро Windows всегда было лакомым кусочком для хакера, особенно при наличии готовых эксплоитов, приводящих к повышению прав. Автор статьи рассказывает о том, как можно проэксплуатировать уязвимости ядра современных NT-систем путем манипуляций со страницами памяти. Приводятся примеры кода и описание технологии использования кода. Всем, кто интересуется rootkit-технологиями, к прочтению обязательно!

Скачать PDF

Кряк без дизассемблера

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Статья легендарного Криса Касперски. Универсальный взлом триальных программ. У тебя установлен триальный шаровар? Тридцать дней истекли и программа не работает? Ни знания ассемблера, ни навыка работы с отладчиком, ни утомительного поиска торкающего кряка/серийника/кейгена не требуется. Просто берем и ломаем!

Скачать PDF

Энциклопедия антиотладочных приемов

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Еще одна статья Криса Касперски. На этот раз он рассказывает, какой софт и для каких целей понадобится, если ты всерьез решил взяться за дело реверсинга. Несмотря на то что мажорные номера версий этого ПО уже давно ушли вперед, сами инструменты остаются актуальными и востребованными по сей день!

Скачать PDF

Дизассемблирование C# программ от A до Z

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Язык программирования C# активно продвигается Microsoft. А платформа .NET продолжает победоносное шествие. Поэтому неудивительно, что довольно много программ компилируются именно на этом языке. В статье опять же Криса Касперски объясняется, как дизассемблировать Visual Basic / C# сборки, патчить в hiew’е, вести отладку на уровне байт-кода. Ты также поупражняешься в написании своего собственного crackme.

Скачать PDF

Виртуальная отладка

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Отладка кода режима ядра существенно сложнее, чем отладка обычных программ. Оно и понятно: если для отладки пользовательского кода ты можешь использовать стандартный дебаггер, например вшитый в Visual Studio или в IDA, то для отладки кода режима ядра требуются спецсредства. В статье до деталей описывается отладка kernel mode кода с использованием VMware. Такого подробного гайда на русском языке я еще не встречал.

Скачать PDF

Убить DEP’а. Теория и практика обмана hardware-DEP

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

DEP, он же Data Execution Prevention, — это механизм, придуманный разработчиками Microsoft для защиты понятно каких ОС от выполнения нелегитимного кода, который чаще всего применяется для эксплуатации уязвимостей или инфицирования целевой машины жертвы. Помимо софтового DEP’a, в современное железо вшита функция контроля на аппаратном уровне. Механизм оказался вполне рабочий. Но рабочий не значит неуязвимый. В статье автор на реальных примерах рассказывает о DEP на аппаратном уровне и том, как его можно хакнуть!

Скачать PDF

Руткитам — бой!

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Руткиты, как известно, очень коварная и опасная вещь. С помощью тулз данного класса вирусописатели скрывают присутствие инфекции в системе и успешно заметают следы взлома. Но и для борьбы с ними в последнее время создано немалое количество специальных утилит помимо встроенных механизмов детекции антивирусного ПО. В статье автор рассматривает, как вручную с помощью программ Anti-Spy Info, RootkitRevealer и некоторых других найти в системе руткит, как для поиска использовать отладчик SoftICE и чем предотвратить возможное заражение системы.

Скачать PDF

Морфим, не отходя от кассы. Мутация кода во время компиляции

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Ты написал свой первый софт и задумался, как защитить его от взлома? Покупать навесные защиты нет желания, а из freeware-тулз нет ничего действенного? Есть возможность защитить свою программу средствами компилятора FASM. Автор рассказывает на простых примерах про методы полиморфизма (генерация мусорного кода), метаморфинга (замена инструкций аналогами), пермутации (случайное перемешивание блоков кода с сохранением функциональности и логики работы), обфускации (метод запутывания логики кода, противодействие анализу), контроля целостности кода (для защиты от изменения, патчей), шифрование кода и данных.

Скачать PDF

Многоразрядные шелл-коды. Пишем ring0-shellcode под Windows x64

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Заполучить шелл-код — славная добыча для любого хакера, ведь это прямой доступ в систему! Но дело требует существенных сил и знаний матчасти. И учитывая, что 32-битные ОС значительно разнятся со своими 64-битными братьями, привычные способы написания шелл-кодов становятся совершенно бесполезными. Поэтому по х64 приходится копаться ручками, сравнивать и анализировать. Чем и предлагает заняться автор в данной статье. В итоге после практических занятий ты сам сможешь написать свой первый ring0-shellcode под х64-винду! Ты готов? Вперед!

Скачать PDF

Обуздать WinDbg. Простые приемы сложного отладчика

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

И снова тема отладки. На доске для препарирования — WinDbg, мощный отладчик для юзермодных приложений и драйверов. И данная тема особенно актуальна для реверсеров, которым пришлось полностью или частично перейти на 64-битные платформы. Ведь, по сути, ни один имеющийся x64-отладчик не способен сравниться с WinDbg по возможностям, так что в статье речь пойдет в основном про 64-битные версии Windows. Но и обладатели 32-битных смогут обнаружить для себя интересную информацию.

Скачать PDF

Драйверы антивирусов — источник зла. Уязвимости в драйверах проактивных защит

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Из теории кодописательства известно, что большое количество программ, предназначенных для антивирусной защиты, используют драйверы режима ядра в Windows как «окно» для доступа в более привилегированный режим — ring 0. Это класс ПО, к которому можно отнести антивирусы, межсетевые экраны, HIPS’ы (Host Intrusion Prevention System) и популярные ныне программы класса internet security. Но, как показывает практика, многие из них содержат уязвимости. А в большинстве софтверных компаний их драйверы не тестируют. Вывод прост: драйверы антивирусов — лакомый кусочек для хакера. Автор описывает, какие есть проблемы в современных драйверах защитного ПО, и показывает, как их можно успешно проэксплуатировать. Вот настоящая тема для исследователей багов и разработчиков эксплоитов!

Скачать PDF

Ассемблером по эвристике: Накорячиваем AVG, Avast, ClamAV, Panda, Comodo: просто, эффективно и без извращений

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Эвристический анализатор стал штатным механизмом современного антивирусного ПО. Резон в этом есть: его задача — обнаруживать необнаруживаемое, находить неизведанное. Концепция, направленная в противовес сигнатурному детекту, основанному на базах данных. Поэтому антивирусные лаборатории постоянно совершенствуют алгоритмы своих эвристических анализаторов. Однако и их можно обойти. Как? В данной статье автор демонстрирует, как, используя код на ассемблере, уделать многих именитых вендоров. Читаем, смотрим, экспериментируем.

Скачать PDF

Малварщики против PatchGuard. Лезем в недра таинственной технологии Microsoft — Kernel Patch Protection

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Кто, как не Microsoft, знает цену атаки на производимые ей операционные системы? Так, с релизом Windows Server 2003 MS запустила в массы механизм защиты ядра от изменений, получивший название Kernel Patch Protection, более известный ныне как PatchGuard. Фича, помогающая защититься больше от кривых рук программистов, пишущих корявые поделки, может пригодиться и в деле борьбы с руткитами. Итак, автор статьи погружает нас в дебри Kernel Patch Protection, рассказывает, как можно ее юзать для защиты системы от падения ядра, и собственно о том, как этот механизм можно преодолеть.

Скачать PDF

Изучаем антивирус. Расковыриваем антивирусный сканер, эвристический анализатор и эмулятор в антивирусных программах

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Меня всегда интересовало, как работает антивирусное ПО. Просто было любопытно. А после того, как я занялся темой reverse malware, это перешло в область профессиональных интересов. Только вот по-настоящему полезной инфы на эту тему никогда не было. Да и в официальных источниках она вряд ли когда-то появится. А вот в этой статье автором на понятном для читателя языке популярно рассказывает, как работает современный антивирус. Мы увидим под микроскопом, как сканер анализирует файлы, как отрабатывает эвристика и пашет эмулятор кода, зашитый в антивирусный движок.

Скачать PDF

Бурим антивирус. Еще глубже! Рассматриваем способы мониторинга событий и проактивной защиты в разных антивирусных программах

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

И снова тема изучения внутренних потрохов антивирусного ПО. На сей раз рассказывается о технологии HIPS (Host Intrusion Prevention System) — так называемом проактивном детектировании (поведенческий анализ, анализ, основанный на мониторинге системных событий). И автор копает в глубину вопроса, ведь под этими понятиями может скрываться, например, как примитивная защита нескольких ключей реестра или уведомления о попытках доступа к определенным директориям, так и анализ поведения программ или какая-либо другая технология, основанная на мониторинге системных событий. Подходит для тех, кто серьезно интересуется малварью. ????

Скачать PDF

Тибериумный реверсинг. Внедрение Х-кода и виртуальная машина: теория и практика

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Ты наверняка играл в Command & Conquer, и если она была лицензионная, то помнишь неудачные попытки сделать виртуальный образ диска. Виной тому малоизвестная система защиты от копирования контента с названием SecuROM. Хотя Sony как владелец студии разработки и отказалась от услуг нулевого кольца после нескольких судебных разбирательств, ребята из инсайдного подразделения Protection Technology продолжают пользоваться низкоуровневыми функциями, где абсолютным чемпионом по вызову считается KeBugCheckEx. Однако нет ничего абсолютно надежного, и вот пришла очередь разбора методов взлома SecuROM. В материале рассматривается On-line patching, использующее WinAPI-функции ReadProcessMemory/WriteProcessMemory, Offline patching через GetCommandLine/GetFilePath и DLL hijacking с доступом в таблицу импорта (точнее, функция DllMain).

Скачать PDF

X-препарация: вскрываем хитрый Sality.aa. Учимся распознавать полиморфизм и обфускацию кода на примере известного вируса

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Технический анализ в данной статье посвящен полиморфному генератору инструкций, применяемому в известном вирусе Virus.Win32.Sality.aa. Он позволяет получать различный обфусцированный код с применением FakeAPI при каждом его использовании. Но это не все, автор рассматривает не просто алгоритм, а тонкости формирования x86-инструкций — префиксы, опкоды, поля ModRM, SIB. Также не останутся без внимания общие схемы работы обфускатора и непосредственно генератора кода.

Скачать PDF

Мобильная малварь под микроскопом. Рассматриваем «эротический» J2ME-зловред во всех интимных подробностях

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Малварью под мобильные устройства никого уже не удивишь. В отличие от PC-шных версий мобильная малварь, как правило, маскируется под какое-нибудь легитимное приложение или игру и нацелено на опустошение счета владельца. Сегодня в нашей лаборатории мы изучим зловред под Java 2 Micro Edition (J2ME). Предварительно автор запускает зловред под эмулятором Sjboy. И вот игра-троян на твоем дисплее. Технические подробности с примерами кода под катом можно посмотреть в данной статье.

Скачать PDF

На малварь без антивируса. Что делать, если его базы еще не успели обновиться?

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Разработчики антивирусов заявляют, что защититься от малвари можно, только используя антивирусные продукты. Если пропустить область маркетинга, в чем-то они действительно правы. Но на практике бывают ситуации, когда сигнатурные базы еще не успели обновиться, а вредонос уже проник на машину. Или складывается так, что в системе вообще ничего не установлено из средств защиты. Неужели дело безнадежно? Вовсе нет — если у тебя есть голова и прямые руки, ты сможешь не только вылечить систему от инфицирования, но и предотвратить посягательства малвари на твое индивидуальное киберпространство. Как это делать читай, в статье!

Скачать PDF

Заключение

Это первая часть из золотого фонда лучших статей ][акера. Подборка была нацелена на кодеров, аналитиков и реверсеров, имеющих дело как с обычным софтом, так и с malware. Следи за обновлениями и читай вторую часть,2_antidebug_tricks.pdf посвященную практическим пакетам хакерского ремесла! Да, кстати, если можешь посоветовать какой-нибудь интересный материал из старых «Хакеров» — не стесняйся писать в комменты. Мы и сами с удовольствием почитаем. ????

Источник

Последние новости