Сейчас на форуме: Kybyx (+1 невидимый пользователь)

 [email protected] —› Оффтоп —› Итоги 2019 и ожидания от 2020
<< . 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

Создано: 30 декабря 2019 19:24
· Личное сообщение · #1

Итоги 2019 и ожидания от 2020

Предлагаю в этой теме подвести итоги 2019 года в области реверс-инжиниринга в целом и иисследований программ в частности.
Дополнительно интересно узать ожидания участников exelab.ru от 2020 года (и далее).

Возможные темы для обсуждения:

Софт реверсера
- Публикация Гидры (GHIDRA), нового публичного и бесплатного конкурента IDA. Регулярные обновления. Движок декомпилятора Гидры прикручивают к другим инструментам
- Вскрытие инсталяторов IDA через атаки на алгоритмы рандома из стандартных библиотек
- Cutter (radare2) получил поддержку отладки

Утечки
- Постоянные утечки персональных данных у крупных операторов персональных данных, включая государственные (Сбербанк)

Защита и виртуализация
- VMProtect научился виртуализировать C#
- Девиртуализатор VMProtect и DENUVO

Россия
- Чебурнет

Добавляйте, что особенно запомнилось вам, добавлю в список.
В конце следующего года можно будет сверить ожидания с реальностью.

-----
EnJoy!




Ранг: 63.5 (постоянный), 35thx
Активность: 0.280.96
Статус: Участник

Создано: 04 января 2020 06:13
· Личное сообщение · #2

Реверсировать отсутствующий код методом спиритического вангования?
Проще с нуля написать




Ранг: 59.5 (постоянный), 326thx
Активность: 0.170.76
Статус: Участник

Создано: 04 января 2020 11:02
· Личное сообщение · #3

Спасибо, но я не хочу Z80 учить, старьё такое, что там один аккумулятор помойму да?



Ранг: 63.5 (постоянный), 35thx
Активность: 0.280.96
Статус: Участник

Создано: 04 января 2020 11:45
· Личное сообщение · #4

И тот щелочной

| Сообщение посчитали полезным: yashechka


Ранг: 324.3 (мудрец), 221thx
Активность: 0.480.37
Статус: Участник

Создано: 04 января 2020 12:18 · Поправил: DenCoder
· Личное сообщение · #5

yashechka пишет:
Спасибо, но я не хочу Z80 учить, старьё такое, что там один аккумулятор помойму да?

В вариации, которую видел в 93 году - 2 аккумулятора (A и A'), 2 набора регистров (B, C, D, E, H, L, B', C', D', E', H', L'), из которых можно образовывать регистровые пары BC, DE, HL, BC', DE', HL' и индексовые пары IX и IY. Только один набор можно использовать единовременно, но переключаться можно без проблем.

-----
IZ.RU




Ранг: 63.5 (постоянный), 35thx
Активность: 0.280.96
Статус: Участник

Создано: 04 января 2020 13:11
· Личное сообщение · #6

Это в 8080 был один




Ранг: 59.5 (постоянный), 326thx
Активность: 0.170.76
Статус: Участник

Создано: 04 января 2020 14:14
· Личное сообщение · #7

Я был слишком мал, но смог его запомнить, он шел в моей денди, китайском клоне, назывался 6502.
Мы тогда ещё не знали даже, что такое ЦПУ, называли КРУ по русски.
https://monster6502.com/



Ранг: 63.5 (постоянный), 35thx
Активность: 0.280.96
Статус: Участник

Создано: 04 января 2020 14:28
· Личное сообщение · #8

Так там вроде написано что 68000 мотороллер




Ранг: 568.2 (!), 465thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 04 января 2020 15:15
· Личное сообщение · #9

reversecode пишет:
в каких лучах ? с кем купаюсь ?
разве что прийдешь спину потрешь

Ты что не чувствуешь как они тебя греют
А по сути твоему терпению можно позавидовать, реверсить за спавсибо это не благодарное дело........

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.





Ранг: 59.5 (постоянный), 326thx
Активность: 0.170.76
Статус: Участник

Создано: 04 января 2020 19:29
· Личное сообщение · #10

Не, 68К был у сеги.



Ранг: 63.5 (постоянный), 35thx
Активность: 0.280.96
Статус: Участник

Создано: 04 января 2020 19:49
· Личное сообщение · #11

Земеля, ну я за что купил, за то и продаю, по твоей же ссылке написано. Или мой английский хромает?




Ранг: 271.4 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 04 января 2020 20:14
· Личное сообщение · #12

How big would a 68000 microprocessor be at the scale of the MOnSter 6502?
Also about 19 square feet (1.7 square meters).
Are you going to make a 68000 next?
No.

- Насколько большим был бы микропроцессор 68000 в масштабе монстра 6502?
- Около 19 квадратных футов(1.7 квадратных метров)
- Вы собираетесь реализовывать 68000 следующим?
- Нет

Реплики 3 и 4 юмористические, речи о том, что там 68000 нет.

-----
2 оттенка серого


| Сообщение посчитали полезным: yashechka


Ранг: 59.5 (постоянный), 326thx
Активность: 0.170.76
Статус: Участник

Создано: 04 января 2020 22:13
· Личное сообщение · #13

У сеги зилог был в качестве звукового проца.



Ранг: 54.0 (постоянный), 49thx
Активность: 0.711.1
Статус: Участник

Создано: 04 января 2020 22:52 · Поправил: SDK
· Личное сообщение · #14

_MBK_ пишет:
Реверсировать отсутствующий код методом спиритического вангования?
Проще с нуля написать
по совету друзей мы нашли копию где все кишки есть но это тестовая сырая версия с ошибками pe-файл есть и более стабильная но без конвертёра-гиф в zx-асм php.
yashechka пишет:
Спасибо, но я не хочу Z80 учить, старьё такое, что там один аккумулятор помойму да?

Как Мило Я так и думал.Поэтому В связи с Участившимися случаями попрашайничества Открываю ПрофСоюз 'Помощь Белорусским Спектрумистам" ПБС- Это вклад в прошлое чтобы увидеть будушее! Собираем кто сколько может хоть доллар хоть 3 мы рады любым долларам.Можете Передавать напрямую Нашему Общему Товарищу из БССР он распорядится по уму.



Ранг: 63.5 (постоянный), 35thx
Активность: 0.280.96
Статус: Участник

Создано: 04 января 2020 23:00
· Личное сообщение · #15

Ну извиняюсь, был пьян и неправ.
Просто как то необычно, что в описании вундервафли упоминается рарный проц в смысле возможного апгрейда... ;)




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 января 2020 01:05
· Личное сообщение · #16

ClockMan
милок, ты не обессудь
если что дедушка делает не так, так ты скажи

на дурняк за спасибо никому ничего не делаю
исходники не планируются выкладываться на паблик

| Сообщение посчитали полезным: ClockMan


Ранг: 338.5 (мудрец), 349thx
Активность: 2.112.42
Статус: Участник

Создано: 05 января 2020 01:13
· Личное сообщение · #17

reversecode

Лучше бы планировщик реверснул, было бы действительно что то интересное и годное, хотелось бы понять как он устроен. А какой толк от декомпиля автоматикой кривого отладчика, только если продать потом, но затея сомнительная, придётся всё долго отлаживать в км, а искать ошибки в не своих драйверах такого типа не очень то и просто.

-----
vx





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 января 2020 03:02 · Поправил: reversecode
· Личное сообщение · #18

чей планировщик, винды ?
реверсить ради того что бы тебе было интересно ?
погугли и понаблюдай тенденцию и что действительно другим интересно

да да, конечно конечно если в трапе нельзя поюзать ds то дебагер не возможен в принципе
в каких драйверах ?
что отлаживать ?
клерк ты не программер, поэтому в принципе не может рассуждать что сложно а что просто

ааа клерк ты просто не в курсе какого отличного качества реверса можно добиваться
и считаешь что там что то где то криво и не понятно в лапше )) лол




Ранг: 69.9 (постоянный), 82thx
Активность: 0.140.73
Статус: Участник

Создано: 05 января 2020 03:52
· Личное сообщение · #19

reversecode
а чем так хорош syser? я далек от темы ринг0 кодинга / реверса, но там же есть виндбг. Или он реально неудобен / чего-то не может?




Ранг: 568.2 (!), 465thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 05 января 2020 04:14
· Личное сообщение · #20

morgot пишет:
а чем так хорош syser?

Назови современный удобный отладчик ring0 ?))))
P/S
Windbg не в счёт)

Добавлено спустя 3 минуты
difexacaw
Вроде здоровый мужик а клянчишь как ребёнок у папы...... в своё время я реверснул часть кода из системной библиотеки так получил море экстаза и удовольствия советую и вам попробовать)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 января 2020 08:43 · Поправил: reversecode
· Личное сообщение · #21

сисер хорош всем

- маленьким компактным размером

- оконной универсальной мини гуи(кил 200 в бинаре) и что для ring0 очень актуально

- отладкой с сорсами(ни ollydbg ни x64dbg этого не умеют) и для ring0 тоже

- expr выражениями для наблюдения результатов(по моему это вообще ни один дебагер не умеет,только базовые выражения типа выводить регистр)
например вводим сложную формулу (ecx+*eax+2)/3 в окне вотча
и оно будет отслеживать при дебагинге что там в ecx и какое значение по адресу eax показывать результат
кроме eax ecx доступны все регистры и так же значения в памяти + брек поинты и количество срабатываний

- хорошая архитектура, можно сделать билд даже для линукса, под макось итд тем более




Ранг: 271.4 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 05 января 2020 09:14 · Поправил: f13nd
· Личное сообщение · #22

reversecode пишет:
expr выражениями для наблюдения результатов(по моему это вообще ни один дебагер не умеет,только базовые выражения типа выводить регистр)

Вообще-то умеет даже стоковая ольга, не говоря об ексодии.

-----
2 оттенка серого





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 января 2020 09:19
· Личное сообщение · #23

я знаю что все умеют простые expr
но на сложных помнится не все умеют
сложные я имею ввиду взятие значение по експрешену и дальнейшие его експрешын




Ранг: 338.5 (мудрец), 349thx
Активность: 2.112.42
Статус: Участник

Создано: 05 января 2020 13:04
· Личное сообщение · #24

ClockMan

> клянчишь

Это был просто пример, реверс чего интересно почитать. Это не означает просьбу. А реверс сиськи никто не увидит(он прошлый раз сурки заныкал, не важно были они или нет), тогда и смысла нет про него говорить.

-----
vx





Ранг: 90.1 (постоянный), 91thx
Активность: 0.290.56
Статус: Участник

Создано: 05 января 2020 14:59
· Личное сообщение · #25

reversecode пишет:
оконной универсальной мини гуи

А там на чем реализовано и насколько универсально?

-----
В облачке многоточия





Ранг: 69.9 (постоянный), 82thx
Активность: 0.140.73
Статус: Участник

Создано: 05 января 2020 19:09
· Личное сообщение · #26

ClockMan пишет:
Назови современный удобный отладчик ring0 ?))))
P/S
Windbg не в счёт)

Я писал выше, что далек от ринг0 разработки; касаемо же windbg - мне он не зашел, ни uwp версия, ни классическая с разными конфигами ; мб у меня просто мало опыта или я сильно привык к олли, но для меня виндбг - жутко кривая и неудобная вещь. С которой по уровню мазохизма может поспорить разве что линуксовый GDB.

reversecode пишет:
- отладкой с сорсами(ни ollydbg ни x64dbg этого не умеют) и для ring0 тоже

x64dbg умеет для юзермода, там есть вкладка сорцев (при наличии pdb файла вроде).
Тогда еще неясно - почему бы не купить сорцы сисера у автора? Где-то это обсуждалось? Автор умер или пропал? Знаю лишь, что это какие-то китайцы были.




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 января 2020 20:03 · Поправил: reversecode
· Личное сообщение · #27

Boostyq пишет:
А там на чем реализовано и насколько универсально?

C++ или о чем речь ?
очень универсально
нужен только фрейм буффер
и переопределить функции для получения событий от таймера и клавиатуры и мыши
либо можно чтото заигнорить если не нужно

morgot пишет:
x64dbg умеет для юзермода, там есть вкладка сорцев (при наличии pdb файла вроде).

гм скачал перепроверил
феил конечно
оно умеет показывать листинг сорсов
но отладка ведеться по асм коду
т.е. соурс левел дебагинг как это делает студия и как это сделано в сисере
и делать коллапс соурс лайн и видеть асм и идти отладкой по нему

в x64dbg - нет

про просмотр переменных итд сложных структур в сорс левеле для x64dbg тем более не доступно

как доставать значение по адресу в експрешине в x64dbg тоже не нашел
базовые *eax к примеру не работают

такая красота есть только в сисере




morgot пишет:
Тогда еще неясно - почему бы не купить сорцы сисера у автора? Где-то это обсуждалось? Автор умер или пропал? Знаю лишь, что это какие-то китайцы были.

так найдите китайца
поообщайтесь и купите
а то много рассуждений, а дела мало




Ранг: 69.9 (постоянный), 82thx
Активность: 0.140.73
Статус: Участник

Создано: 05 января 2020 20:22
· Личное сообщение · #28

reversecode пишет:
т.е. соурс левел дебагинг как это делает студия и как это сделано в сисере
и делать коллапс соурс лайн и видеть асм и идти отладкой по нему

Интересно, надо будет посмотреть, мб реально он для юзермода удобней будет..

reversecode пишет:
так найдите китайца
поообщайтесь и купите
а то много рассуждений, а дела мало

Так я причем, я этим сисером до ваших постов ни разу не интересовался. Знал, что был такой китайский дебагер, 2 раза на васме упоминали, что умер и все. Ну умер и умер, софтайс тоже раньше все хвалили. Просто реверснуть такого уровня софт..ну не знаю, я бы не смог. Думал, мб кто-то искал оригинального автора и причины, почему он прекратил разработку, или это контора была какая-то, или он умер.




Ранг: 90.1 (постоянный), 91thx
Активность: 0.290.56
Статус: Участник

Создано: 05 января 2020 20:23
· Личное сообщение · #29

reversecode пишет:
очень универсально
нужен только фрейм буффер
и переопределить функции для получения событий от таймера и клавиатуры и мыши
либо можно чтото заигнорить если не нужно

Т.е. там абстракция от winapi, и рисуется полигонами?
А конкретно в syser чем отрисовывается (имею ввиду какой бэкэнд, directx или opengl или еще что) и как часто (только при изменение или на каком то фпс)?
Просто здесь и подстветка синтаксиса есть и куча виджетов, если это все самописное, тогда мое почтение кодерам

-----
В облачке многоточия





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 января 2020 20:27 · Поправил: reversecode
· Личное сообщение · #30

в сисере все самописное, вся гуи в сорсах у меня заняла 600 кил
рисуется во фрейм буфер
в ядре фрейм буфер берут через хук директ икса
в юзер левеле рисуется в CreateDIBSection окна
дальше все положения мыши итд примитивы расчитываются и рисуются
в ринг0 рисуется когда что то меняется
сделали степ или нажали кнопку и что то изменилось
пошел нотифи о изменениях екрана, нотифи прошел по всем окнам
пересчитались пересечения
перерисовались
и все перенеслось во фрем буфер

в ринг3 так же
только в ринг3 еще отдельно процессинг вин апи дефолтной процедуры окна крутится
и от туда берутся все евенты мыши клавы, изменений окна




Ранг: 338.5 (мудрец), 349thx
Активность: 2.112.42
Статус: Участник

Создано: 05 января 2020 20:38 · Поправил: difexacaw
· Личное сообщение · #31

reversecode

Вот ты начал эту поделку декомпилить, утверждаешь что второй раз. Тогда скажи, что произойдёт с #GP. Я занового пролистал его ISR, без реверса просто полистал и пошёл пить пивас. Это не корректно написанная заглушка. Нет проверки на мод, а далее проверка на список процедур и в зависимости от него меняется механизм возврата из прерывания. Зная проверяемый список, те смещения в syser.sys можно выполнить передачу управления, например mov r32,n(n проверяемый адрес)/jmp r32 что приведёт к #GP, проверка пройдёт и далее в лучшем случае будет синь, а при атаке передача может быть на произвольный код.

-----
vx



<< . 1 . 2 . 3 . 4 . >>
 [email protected] —› Оффтоп —› Итоги 2019 и ожидания от 2020

У вас должно быть 20 пунктов ранга, чтобы оставлять сообщения в этом подфоруме, но у вас только 0

   Для печати Для печати