Print This Post Решаем простой CrackMe с помощью angr

Понедельник, 2. Май 2016
Раздел: Assembler, Python, Reversing, автор:

Не так давно мне попался на глаза занимательный Python-фреймворк под названием angr. Он предназначен для анализа всевозможных исполняемых файлов под различные платформы. И, несмотря на незнание мной Python'а и нелюбовь к паскаледобному синтаксису, я все же решил потратить некоторое время на его изучение, так как на одном CTF'е увидел занятный вариант решения задания по реверс-инжинирингу с его использованием.
Перейду сразу к сути: с помощью него можно, например, закейгенить произвольный CrackMe почти не занимаясь разбором алгоритма проверки ключа (конечно, речь не идет о ситуациях, когда для генерации ключа используются лучшие практики ассиметричной криптографии и прочие штуки).
Читать дальше »

Print This Post Подделываем результаты конкурсов в ВКонтакте

Воскресенье, 3. Январь 2016
Раздел: HTML/JS, Для новичков, Социальные сети, автор:

dice

Во многих социальных сетях, в том числе в ВКонтакте, с некоторых пор стало проводиться множество конкурсов с ценными призами. Речь пойдет о подделке результатов с точки зрения организатора, а конкурсы - те, в которых победитель определяется случайным образом из списка участников.
Итак, существует множество сервисов, которые помогают в проведении сферического конкурса, а доказательством зачастую является записанное видео или прямой эфир, в процессе которого происходит выбор победителя. Давайте рассмотрим, как можно организовать тривиальную подмену результатов, ничем себя не выдав. В качестве примера я рассмотрю вариант с использованием random.org (тот случай, когда организатор генерирует последовательно несколько случайных чисел, чтобы определить страницу и порядковый номер участника на странице), а также вариант с использованием Random.app.
Читать дальше »

Print This Post Снимаем пароль с тестов MyTestXPro

Вторник, 15. Сентябрь 2015
Раздел: .NET, Assembler, Для новичков, автор:

Год назад в своей старой статье я рассматривал процесс открытия защищенных паролем тестов MyTestX, а также процесс получения .mtf-файлов из .exe-файлов автономных тестов.
Прогресс не стоит на месте, и в последнее время все чаще встречаются просьбы открытия запароленных .mtx-файлов и их извлечения. Для справки: .mtf-файлы создаются в программе MyTestX (последняя версия 10.2.0.3 от 31.08.2012), .mtx-файлы создаются в программе MyTestXPro (последняя версия 11.0.0.37 от 30.08.2015), то есть MyTestX давно не обновляется, а MyTestXPro является платной программой и имеет свой, отличный от бесплатной версии, формат файлов. Таким образом, процесс, который я описывал в своей старой статье, не подходит для MyTestXPro. Давайте разберемся, что с этим делать.
Читать дальше »

Print This Post Google Chrome и Secure Preferences

Суббота, 25. Апрель 2015
Раздел: C/C++, Perl, Windows, автор:

chrome_art

На нашем форуме и не только, с некоторой периодичностью люди интересуются алгоритмом генерации "защитного кода" в файле Secure Preferences для браузера Google Chrome.
Зачем он браузеру? Этот код используется для проверки целостности настроек расширений и некоторых других параметров, проще говоря - HMAC. Зачем он людям? Вероятно, это необходимый этап для тихой установки расширений или изменения настроек браузера. Давайте разберемся, где и как происходит генерация этих HMAC'ов.
Читать дальше »

Print This Post Патчим байт-код Java на лету

Вторник, 23. Декабрь 2014
Раздел: Java, автор:

В то время, пока dx занимается поддержкой своего нового обфускатора и разработкой улучшенной версии класса для работы с HTTP на PHP, я подготовил небольшую статью, чтобы разбавить пустоту, царящую в блоге.

Речь пойдет о правке байт-кода Java, как видно из названия статьи. Когда-то давно я уже писал подобную статью про модификацию официального приложения VK под Android, но там я просто патчил байт-код, содержащийся в .class-файле. Теперь мы сделаем примерно то же самое, но на лету, без внесения изменений в файлы.

Начну с небольшой предыстории, зачем мне это вообще понадобилось (многие из моих статей все-таки связаны с какой-то реальной проблемой, которая у меня внезапно возникла). Итак: мне написал человек и попросил "помочь" с программой Lazy SSH. На первый взгляд программа ничем не выделялась, обычный .exe, определяемый PEiD, как: Microsoft Visual C++ 6.0 [Overlay]. Однако, наличие секции экспортов у исполняемого файла меня насторожило, а ее содержимое подсказало, с чем я имею дело: все экспортируемые функции обладали префиксом _Java_com_regexlab_j2e_, который недвусмысленно намекает, что программа на Java была чем-то преобразована в .exe. Google подсказал, что для этого был использован Jar2Exe от RegExLab. Также Google подсказал способ получения .jar-файла из исполняемого файла, по крайней мере для этого случая. Перейдем к делу.

Читать дальше »

Print This Post Меняем Integrity Level процесса из ядра

Четверг, 2. Октябрь 2014
Раздел: C/C++, Windows, автор:

dxcat

Опять случился большой перерыв между публикациями в блоге, но, благодаря настойчивости dx'a, который в данный момент занят улучшением его библиотеки для работы с PE-файлами и продажей новой версии обфускатора PHP, в блоге все-таки появится новый пост. На этот раз он будет посвящен реализации очередного тривиального драйвера, который будет получать уведомления о новых процессах, запускаемых в системе и понижать уровень целостности (integrity level) заданного процесса до низкого.

Читать дальше »

Print This Post Качалка видео для Collegehumor

Четверг, 24. Июль 2014
Раздел: Perl, Софт, автор:

collegehumor

Если вы задаетесь вопросом, почему на блоге ничего нового нет? То всё просто - dx умотал в Сиэтл и вернулся оттуда только на днях, именно поэтому вы еще не видели новый PHP обфускатор, обновление PE Bliss и прочие классные вещи. По приезду dx отправился на свой любимый ресурс, Collegehumor, чтобы посмотреть какое-нибудь смешное видео и, внезапно, впервые за пару лет, захотел его скачать, однако, проверенный временем плагин DownloadHelper для браузера Firefox ему не помог, так как ресурс отдавал видео фрагментами с каким-то непонятным расширением. В итоге dx предложил мне разобраться, как автоматизировать процесс скачивания видео с этого ресурса.

Я скачал swf-плеер, который используется на ресурсе, и даже декомпилировал его, но потом вспомнил, что сейчас во всю используется HTML5 и у такого крупного ресурса просто обязано быть решение, которое не завязано на Adobe Flash. Так оно и оказалось, стоило мне отключить Flash, как сайт стал использовать HTML5-плеер, что в общем-то решило проблему скачивания. Однако, я все же по-быстрому набросал скрипт на Perl, который качает видео по указанной ссылке с сайта или по идентификатору видео (работает только для тех видео, которые размещены непосредственно на CH).

ch

Скачать: collegehumor.pl

Print This Post Снимаем пароль с тестов MyTestX и easyQuizzy

Среда, 25. Июнь 2014
Раздел: Assembler, Для новичков, автор:

Время от времени сталкиваюсь с просьбами, касающимися программ для проведения компьютерного тестирования (MyTestX и easyQuizzy), которые заключаются либо в извлечении файла теста из .exe-файла (в случае с MyTestX), либо в открытии защищенного паролем теста.
Набросал "деревянный" последовательный мануал для тех, кому необходимо самостоятельно извлечь тест или сделать, чтобы редактор позволял открыть тест при вводе любого пароля.

Нам понадобится отладчик, например, OllyDbg и программа для упрощенной работы со структурой PE-файла, например, CFF Explorer, также нам понадобится редактор тестов (элементарно ищется в Google), который мы будем "исправлять", и файл, содержащий тест, который необходимо открыть.
Читать дальше »

Print This Post Архив постов блога

Пятница, 18. Апрель 2014
Раздел: Бред, автор:

vault

Сделал архив всех постов блога (пару-тройку совсем бесполезных постов выкинул) в виде набора PDF-файлов разбитых по годам. Архивы в формате ZIP, RAR, RAR5, TAR. Для RAR-архивов включена recovery record максимального размера, так что RAR варианты в 2 раза больше своих собратьев.

Контрольные суммы:

Скачать:
mega.nz: zip, rar, rar5, tar.
sendspace.com: zip, rar, rar5, tar.
mediafire.com: zip, rar, rar5, tar.
filebin.net: zip, rar, rar5, tar.
thepiratebay: .torrent.

Print This Post Что нового

Среда, 12. Март 2014
Раздел: Жизнь, автор:

Как вы можете видеть, в блоге снова наблюдается некоторый застой, однако, это не совсем справедливо. Что же было сделано?

Во-первых, dx добавил новый раздел - Софт, который вы можете наблюдать в меню сверху, этот раздел представляет собой каталог релизов блога, разбитый по актуальности, сложности использования и типу.

Во-вторых, мы начали переносить релизы с исходным кодом на GitHub. Зачем? Всё предельно просто: при написании очередного поста исходный код будет залит на блог и GitHub, но при внесении изменений в код, обновления будут происходить на GitHub (и совсем необязательно в блоге). Пример поста, обладающего исходным кодом на GitHub: Статический деобфускатор .bat-файлов (ленточка в правом верхнем углу экрана, чуть позже ссылка будет отображаться также в нижней или верхней части поста, так как dx говорит, что штуку в углу экрана сложно заметить). Со списком релизов, которые были перенесены на GitHub, можно ознакомиться по этой ссылке.

В-третьих, как всегда, мы начали обновлять и дополнять некоторые старые посты. Добавились исходные коды для PFX и KWM брутов, забытый сорс StepFucker'а. Добавилась более толстая база уязвимостей в Simple Engine Scanner. Теперь криптор-обфускатор JS/VBS/HTML поставляется в открытом виде (плюс он был доработан, в нем исправлены мелкие косяки и он теперь работает на последних версиях PHP). Также приведен в рабочее состояние скрипт из этой статьи про цепи Маркова, может, кому-то тоже пригодится (там черт ногу сломит в коде, но warning'и и deprecated-предупреждения убрались).

Ну и наконец, мы продолжаем писать новые статьи и выкладывать релизы, так что оставайтесь с нами!