Программа, позволяющая вытянуть немного информации из исполняемых PE-файлов, а также PE .NET-файлов.
Дампит:
[+] Some DOS & NT-headers info
[+] DATA_DIRECTORY
[+] Section table
[+] Security directory
(все сертификаты, содержащиеся в файле)
[+] Debug directory
(+COFF / частично CodeView / Misc)
[+] Import directory
[+] Bound import directory
[+] Delay import directory
[+] Relocation directory
[+] Export directory
[+] TLS directory (incl. callbacks)
[+] Config directory (incl. SE Handlers)
[+] Resource directory (full STRINGTABLE and MESSAGETABLE dump)
[+] COM descriptor (full dotnet headers, streams and tables dump)
Способен корректно показать инфо о файлах, запакованных upack’ом, в отличие от многих других программ редактирования PE, а также лишен багов CFF explorer в плане просмотра информации о .NET-таблицах.
Для создания дампа просто перетащите PE-файл на форму открытого Simple PE Dumper’а.
Ни для кого не секрет, что за последнее время уязвимость типа DLL Hijacking была найдена в довольно большом количестве популярных приложений (например, Winamp, uTorrent, FireFox, Opera и др.). Суть уязвимости сводится к возможности подгрузки сторонней DLL при открытии некоторых типов файлов этими приложениями.
Решил провести оценку потенциальных возможностей от данного наплыва. Так как специфика уязвимости состоит в том, что зачастую требуется, чтобы инстанс приложения не был запущен до попытки открытия файла, то наиболее актуальными показались следующие уязвимости: уязвимость в Winamp и уязвимость в Daemon tools lite.
Идея использования состоит в следующем: берутся свежие релизы с зарубежных музыкальных и игровых трекеров (например, sceneaccess, waffles, what.cd, blackcats-games), комплектуются dll’кой и перезаливаются на популярные российские трекеры (rutracker, торренты на ВКонтакте и т.д.). Подбирая актуальные новинки, можно получить приличное количество скачиваний в короткие сроки или можно выкладывать фейки альбомов/игр/фильмов.
С помощью фейков удается привлечь большее количество скачиваний в сутки, особенно если следить за раздачами и пересоздавать их в случае разоблачения, реальные раздачи обладают большей стабильностью. Читать дальше »
Пятница, 27. Август 2010
Раздел: C#, C/C++, автор: dx
При работе с .net-файлами, обработанными .NET Reactor’ом (данный протектор используется, например в Vkontakte Inviter Pro v2), возникает проблема с заголовками, из-за которых невозможно открытие файла декомпилятором (по крайней мере, в .net reflector, dis#, xenocode fox).
В сети существует мануал (за авторством CodeRipper и SND), следуя которому, данную проблему можно исправить, однако, процесс довольно зануден, и существует вероятность ошибки, так как все делается руками.
Чтобы не заморачиваться с ручной правкой, была написана программа, которая осуществляет все необходимые исправления в файле. Перечень ошибок, которые исправляются:
1. Invalid number of data directories in NT header
(Недопустимое число элементов в DATA_DIRECTORY)
2. Module ‘…’ contains zero or multiple module definitions
(Таблица Module содержит более одного ряда)
3. … multiple assembly definitions
(Таблица Assembly содержит более одного ряда)
4. Module contains multiple #GUID heaps
(В программе более одного #GUID-стрима)
Для обработки файла – просто перетащите нужный exe на иконку фиксера. После обработки появится подобное окно:
По просьбам трудящихся долгожданный улучшенный кряк для Vkontakte Inviter Pro v2.8.5.0.
Как пользоваться:
1. Качаем этот архив.
2. Качаем дистрибутив VIP v2 (перезалил к себе, вдруг автор изменит что-то).
3. Добавляем в hosts-файл строку
127.0.0.1 serv.fevsoft.com
4. Запускаем serv.exe, ждем появления в окне строки «Server started». Окно будет выглядеть примерно так:
Если serv.exe выдаст ошибку, связанную с bind, значит, у вас на компьютере 80 порт занят каким-то другим процессом.
Если serv.exe при запуске выдаст ошибку с кодом 0xc0150002 – попробуйте установить это.
Эта статья идет прямиком в дополнение к предыдущей. Я не рассказал про самые основы ассемблера. Хотя в интернете полно материала на эту тему, я все равно решил ее немного затронуть. Что же нужно знать для начала, чтобы понимать и писать несложные программы или ассемблерные вставки? Читать дальше »
Решил начать цикл статей по ассемблеру, и, в частности, по MASM32. Пригодятся эти мануалы с примерами тем, кто хочет поднять свои навыки программирования и развить умение программировать на ассемблере. Пакет MASM32 – это не просто голый ассемблер. В нём есть огромное множество облегчающих разработку софта вещей – пользовательские макросы, встроенные функции и макросы, дебаггер и прочее, и обо всём этом я буду рассказывать. Конечно, читать такие статьи будет гораздо легче тем, кто уже умеет программировать на каком-нибудь языке. Если вы программируете на каком-нибудь говне вроде Visual Basic, или фанатеете от перетаскивания компонентов и кнопочек на формы в дельфи или Borland C++ – не расстраивайтесь, я расскажу, как можно перетаскивать кнопочки и в ассемблере. Разумеется, никаких стандартных облегчающих жизнь компонентов здесь не будет, но это побудит разобраться с WinAPI – огромной кладезью полезных функций, которые способны делать всё, начиная от чтения данных из сокета и заканчивая отображением окон. Читать дальше »
Давным-давно, во времена мифов и легенд, когда древние Боги были мстительны и жестоки и обрушивали на программистов все новые и новые проклятия… На хабре была опубликована статья про сплайсинг.
В качестве примера в статье был приведен довольно масштабный код, который воспринимался не особо легко. Захотелось разобраться в процессе инжекта, а также написать более простой и менее громоздкий код.
Вкратце, инжектинг – это подгрузка нашей библиотеки в сторонний процесс, а сплайсинг – перехват какой-либо функции (мы перехватывали WinAPI) и модификация её работы средствами этой самой библиотеки.
Пример будет состоять из двух частей: 1 – библиотека, 2 – инжектор, который будет внедрять библиотеку в целевой процесс. Библиотеку будем писать на masm, что позволит в разы сократить объемы кода, а инжектор – на Си. Читать дальше »
Как использовать:
1. Качаем полную версию MVI.
2. Качаем Core.dll.
3. Копируем Core.dll в папку с инвайтером.
4. Пользуемся инвайтером бесплатно.
По идее, должно работать.
Update: С официального сайта ссылку убрали, поэтому качаем по ссылке Grom’a: скачать.
Update 2: Если качаете версию с официального сайта, то используйте эту dll’ку: скачать.
Update 3: Библиотека из предыдущего апдейта стала неактуальной для версии с сайта, т.к. автор снова сменил защиту. Комплект из двух версий MVI (от 07.08 и 13.08) с кряком можно скачать тут.
Update 4: Новая библиотека для тех кто качает с официального сайта: скачать. И полный дистрибутив от 15.08 (версия 2.3.8), если вдруг с официального сайта удалят: скачать.
Возможности:
[+] Многопоточность
[+] Рассылка по друзьям, диапазону или списку id из файла
[+] Отправка сообщений на стену, в ПМ, заявку в друзья
[+] Установка лимита сообщений с одного аккаунта (при работе с диапазоном или списком id)
[+] Подстановка имени получателя
[+] Рандомизация сообщений
[+] Поддержка макросов: <<name>>, <<link>>, <<digit>>, <<trash>>
[+] Поддержка конструкций вида: {Привет|Салют}
[+] Ротация User Agent’ов
[+] Антикапча
[+] Поддержка прокси (HTTP/SOCKS5, в т.ч. с авторизацией)
Настройки производятся редактированием файла config.cfg. Скрипт почти не тестировался, буду благодарен за сообщения об ошибках.