| NEWS ARTICLES BETA RELEASES FILES Links | REG AUTH |
| Rich сигнатура, или что скрывает MS компилятор | SLESH /2009-10-22 23:29:45/ |
Rich сигнатура, или что скрывает MS компиляторНачало: Наверное многие кодеры, да и просто любопытные люди сталкивались с тем что в некоторых exe/dll/sys и тому подобных файлах присутствуют непонятные данные между MZ и PE заголовком, которые заканчивались словом Rich. Многие не обращали на них внимания, некоторые же по ним могли сказать что данный файл был создан с использованием компилятора от Microsoft. Также были люди кто считали что там спрятаны какие-то данные нужные для работы программы. И это лишь только одна сторона данного факта. Другая сторона - эта то, что многие знают о том, что Microsoft специальным образом помечает исполняемые файлы, созданные с помошью их компиляторов (С\С++\MASM) и что якобы по это сделано для того, чтобы вычислить создателей вредоносных программ. ... [Далее] | |
| Comments: 0 | |
| Сырая загрузка DLL (скрытая) | SLESH /2009-08-19 04:59:45/ |
Сырая загрузка DLL (скрытая)(С) SLESH 2009ВВЕДЕНИЕ: Иногда появляется такая необходимость чтобы скрытно загрузить и использовать определенную DLL, но не всегда это удается сделать. Существует 3 основных способа подгрузить в своё адресное пространство какую либо DLL: 1) Использование таблицы импорта - самый паливный способ, потому как о загрузке этой DLL будут знать все 2) Использование функции LoadLibrary и GetProcAddress - Дают намного лучше результат, но всё равно DLL можно обнаружить в списке загруженных модулей. 3) Второй способ + манипулирование с системными структурами, для удаления DLL из списка. Способ хорош, но есть один недостаток - При хуке LoadLibrary сразу будет вычислена эта DLL. ... [Далее] | |
| Comments: 0 | |
| Извлекаем пароль из JIMM | SLESH /2009-07-01 11:50:27/ |
Извлекаем пароль из JIMMПРЕДИСЛОВИЕ: Бывает такое, что по какой либо причине вы забыли пароль от ICQ, но он остался сохраненным в JIMM и тогда появляется необходимость выдрать его от туда, но увы это оказывается очень тяжело. При условии что, пароль нельзя скопировать из поля ввода и он закрыт звездочками. Всё что тут будет описано, касается платформы MIDP-2.0 (на других не проверял) ПРИЧИНА НАПИСАНИЯ СТАТЬИ:... [Далее] | |
| Comments: 0 | |
| Inject DLL в Explorer из kernel-mode | SLESH /2009-02-28 10:39:40/ |
Inject DLL в Explorer из kernel-modeВ одной из своих разработак столкнулся с проблемкой - необходимо подгрузить определенную DLL к эксплореру. Сложность задачи выла в том, что необходимо было это всё сделать из драйвера. Реализация вышла геморной и через жопу, но работает нормально на Win 2000,XP,2003 на остальных нет возможностей потестить.И так алгоритм таков: 1) попасть в контекст нужного процесса (эксплорера) 2) выделить в нем память в его юзермодной части адресов 3) записать в эту память шелкод который подгрузит нашу dll 4) выполнить шелкод 5) каким то образом узнать о том, что код выполнился. С виду всё просто, но на практике столкнулся с несколькими жопными моментами - таких как попадание в контекст процесса, и запуск нужного нам кода. А теперь оп парядку как всё было реализовано 1) Попадание в контекст процесса... [Далее] | |
| Comments: 0 | |
| Снятие с QIP проверки CRC | SLESH /2009-02-15 06:48:23/ |
Снятие с QIP проверки CRCБывает такое, что необходимо чтото подправить в интерфейсе QIP. И вот вы берете какой нибудь редактор ресурсов типа ResHack, подправляете то, что вам нужно, сохраняете и.... при запуске qip орет Sorry, qip.exe file is corruptedДля того чтобы снять проверку CRC нам потребуются 2 вещи: 1) Cам qip.exe 2) Отладчик OllyDbg Для теста был взят QIP 8080 И так, одеваем белые халаты и в путь... Шаг 1: Открываем qip.exe в OllyDbg. Ждем, пока пройдет анализ кода и нас не кинет на точку входа в программу. Шаг 2: Необходимо найти часть, где располагается сообщение об ошибке в памяти. Для этого в окне CPU нажимаем комбинацию клавиш Ctrl+B (поиск бинарных данных). В открывшемся окне в поле ASCII вписываем текст Sorry, qip.exe file is corrupted и нажимаем OK. Результатом выполнения будет код на экране примерно таков: Код: ... [Далее] | |
| Comments: 0 | |