msm

2024-11-25 03:12
2009-04-24 20:30
11 406 wizyt

Wpisy msm na mikroblogu

msm

2023-09-18 21:40
8787 wyświetleń

Może kogoś zainteresuje: moja (mocno) techniczna i dość niskopoziomowa analiza ostatniej kampanii stealerów .NETowych: https://cert.pl/en/posts/2023/09/unpacking-whats-packed-dotrunpex/.

W skrócie: ostatnio analizowałem próbkę malware z jednej kampanii którą obserwowaliśmy w pracy. Okazało się że jest dość mocno obfuskowana, a nasze automaty akurat sobie nie radziły, więc trzeba było ją odpakować (zdjąć warstwę obfuskatora) samemu. Ostatecznie znalazłem dobry sposób na wypakowywanie próbek, ale tylko dynamiczny, tzn. wymagał debuggera. Umiałem to zrobić ręcznie, pozostało tylko ten proces zautomatyzować...

...Ostatecznie wyszło na to że napisałem własny debugger (no dobra, bibliotekę do debugowania) do .NETa. Wiem że brzmi absurdalnie, ale z róznych powodów żadne istniejące rozwiązanie nie spełniało moich wymagań (były dwa: żeby działał, oraz żeby dało się go zautomatyzować/oskryptować). Może i dośc niszowe narzędzie, ale też się nim podzieliliśmy: https://github.com/CERT-Polska/dbglib. Jakby ktoś przypadkiem miał kiedyś podobny problem ;).

26 głosów Obserwuj Komentuj Udostępnij

Zobacz pozostałe 5 komentarzy

junior_frontend

Ja miałem w planach stworzyć toolsy do gdb/lldb, uzupełnić te narzędzia w lepszy nowoczesny sposób analizowania procesów, brakuje tam dobrego tracingu, ogólnie wiele rzeczy jest tak upierdliwych w analizowaniu, a myślę że szło by zautomatyzować i uprościć analizę softwaru, mam kilka pomysłów co mogło by mega uprościć wszystko, jeśli nie mielibyśmy dostępu do kodu źródłowego, a chcielibyśmy wiedzieć jak coś działa.

2023-09-22 06:52
0 głosów
Odpowiedz

lgtk

@msm: kurde ciekawa robota, re mnie zawsze dość ciekawił i przy re gier się programować uczyłem, ciężko o robotę w takiej branży?

2023-09-24 12:22
0 głosów
Odpowiedz

msm

2017-07-12 10:34
122 wyświetlenia

Udało się! Po stoczeniu nierównej walki z mongodb, php, yarnem, gulpem, composerem i jeszcze kilkoma, zainstalowałem w końcu Coyote u siebie lokalnie!

AMA.

23 głosy Obserwuj Komentuj Udostępnij

Zobacz pozostałe 36 komentarzy

wiciu

Myślałem, żeby tam podesłać PR z konfiguracją dockerową, ale najpierw musiałbym lepiej zapoznać z tech stackiem, jaki jest użyty w tym projekcie. Może w wolnej chwili spróbuję się pobawić :-).

2017-07-14 14:07
0 głosów
Odpowiedz

nie100sowny

No to podpinaj domenę i robimy konkurencję :) Tylko 50000 punktów reputacji dla mnie :)

2017-07-14 17:09
0 głosów
Odpowiedz

msm

2017-04-20 20:18
89 wyświetleń

Znudzony abstrakcjami w Javie? Uważasz że C to język wysokiego poziomu? Pisanie w asemblerze jest dla Ciebie za proste? Kod maszynowy czytasz jak prozę, a tablicę opkodów znasz lepiej niż tabliczkę mnożenia?

Może czas zejść poziom niżej?

Przez święta stwierdziłem że koniec z tymi silikonowymi abstrakcjami, i czas stworzyć własne (proste) CPU- przy pomocy FPGA.
Na screenie wynik działania prostego programu, zdefiniowanego przez statyczny RAM:

Kopiuj

  signal Memory: MemoryStore := (
    0 => X"0302", -- LDL A, 2
    1 => X"0401", -- LDL B, 1
    2 => X"2334", -- ADD A, B
    3 => X"0E02", -- JMP 02
    others => X"0000"
  );

Kilka słów wytłumaczenia:

Wykonywany program to prosta pętla a=2; while (true) { a += 1}
Architektura jest 16bitowa, czyli rejestry mają po 16 bitów. Co ciekawe, technicznie w mojej architekturze bajty też są 16bitowe (najmniejsza adresowalna jednostka pamięci to 16 bitów!)
Format instrukcji jest bardzo prosty, wręcz trywialny: pierwszy nibble to opcode (typ operacji), drugi to rejestr docelowy, pozostały bajt to albo dwa rejestry źródlowe albo stała:

Kopiuj

0 -> LDL A Imm16 (load low 8 bits of register)
1 -> LDH A Imm16 (load high 8 bits of register)
2 -> ADD A B C (A = B + C)
3 -> SUB A B C (A = B - C)
4 -> MUL A B C (A = B * C)
5 -> DIV A B C (A = B / C)
6 -> XOR A B C (A = B ^ C)
7 -> OR A B C (A = B | C)
8 -> AND A B C (A = B & C)
9 -> CMV A B C (if ((C & FLAGS) != 0) { A = B; })
A -> LDM A B Imm8 (A = RAM[A + C])
B -> STM A B Imm8 (RAM[A + C] = B)

Instruction pointer to normalny rejestr (o numerze 14) (tak jak w ARM, inaczej niż w x86), więc zapis do rejestru 0xE jest równoważny skokowi. Jeszcze nie zaimplementowane, ale w planach rejestry to:

Kopiuj

0 -> NULL (jak w MIPS - zawsze zero)
1-13 -> general purpose registers
14 -> instruction pointer
15 -> flags

Procesor zajmuje 5 cykli na opcode (patrz na screenie: state, clock): FETCH -> DECODE -> REGREAD -> ARITH -> WRITEBACK. W planach jest skrócenie tego (format instrukcji jest prosty, więc DECODE jest niepotrzebne) i dodanie superskalarności (wykonywanie 2 instrukcji na raz).
Na potrzeby testów stworzylem też własny RAM - ot, magia FPGA (było to zaskakująco proste). Na drugim (prostszym) screenie, wynik testu RAMu.
Jeśli ktoś się nudzi, kod wrzuciłem na githuba: https://github.com/msm-code/msm-processing-unit. Nie jest to najaktualniejsza wersja, ale przynajmneij działa.

Morał: Można niżej niż asembler. Można niżej niż kod maszynowy. ...czy warto? Na pewno napisanie własnego procesora to ciekawe doświadczenie :P. Nie udało mi się go jeszcze wypalić na fizycznej płytce (posiadam takową - programowalną tylko z tego obrzydliwego xilinxa), razem z memory-mapped IO, ale prędzej czy później...

Zobacz całość

32 głosy Obserwuj Komentuj Udostępnij

Zobacz pozostałe 14 komentarzy

talion

Proszę Cie... o 1... nie wyjeżdżaj z tego kraju :)

2017-04-22 18:07
0 głosów
Odpowiedz

~~alagner~~

@Alag jeszcze kwestia co kto lubi. Ja akurat pracowałem na jednym i drugim i narzędzia Altery zdecydowanie bardziej mi przypasowały.

2017-04-24 12:23
0 głosów
Odpowiedz

msm

2017-01-30 14:09
84 wyświetlenia

@woolfik pisał że wpisy na mikroblogu za mało techniczne, więc pochwalę się czymś swoim: :P

analiza nymaima, popularnego ostatnio trojana bankowego: https://www.cert.pl/news/single/nymaim-atakuje-ponownie/

#malware #reverse-engineering

28 głosów Obserwuj Komentuj Udostępnij

Zobacz pozostałe 16 komentarzy

kate87

@somekind :D padłam :)

2017-02-06 10:51
1 głos
Odpowiedz

~~grzesiek51114~~

@kate87 @somekind ważne, że są szczęśliwi :)

2017-02-06 11:10
1 głos
Odpowiedz

msm

2016-03-30 12:12
68 wyświetleń

Kto jest najszczęśliwszym użytkownikiem forum? Jak bardzo postinkrementacja rozpleniła się w dziale C++? Na te i inne pytania odpowie wątek Spóźnione wykresy za 2015 rok

17 głosów Obserwuj Komentuj Udostępnij

Zobacz pozostały 1 komentarz

plx211

Ban za uzycie postinkrementacji!

2016-03-30 19:40
0 głosów
Odpowiedz

woolfik

@furious programming lepiej zmienić nazwę języka bo nawet ona jest za postinkrementacją :D

2016-03-31 06:21
0 głosów
Odpowiedz

msm

2016-01-13 14:52
64 wyświetlenia

Samodzielne IDE do C# od JetBrains (ciekawostka):

http://blog.jetbrains.com/dotnet/2016/01/13/project-rider-a-csharp-ide/

14 głosów Obserwuj Komentuj Udostępnij

Zobacz pozostałe 3 komentarze

krzysiek050

@GThoro: Bardzo ciekawe. Moja Intelij IDEA w wersji ultimate z wieloma pluginami do frameworków na start bierze 350MB.

2016-01-16 09:26
0 głosów
Odpowiedz

GThoro

@krzysiek050: No widzisz, a mój trial PHPStorm'a na start łyka 1GB. Może to taki feature triala - zniechęcić usera wysokim zużyciem pamięci :) Poza tym Android Studio też tak łyka RAM jak pelikan :/. Oba IDE oparte są IntelliJ.

2016-01-18 10:15
0 głosów
Odpowiedz

Poznaj

Szukaj pracy

Najlepsze oferty na rynku IT

Senior Full-Stack Developer (Audit & Architecture)

Libraxis AI Warsaw (100% pracy zdalnej)

22 400 - 27 200 zł

rest
graphql
python

Senior Full-Stack Developer | Libraxis AI

Libraxis AI Warsaw (100% pracy zdalnej)

12 000 - 24 000 zł

react
typescript
next.js

AI/ML Engineer | AI-Augmented Developer | Libraxis AI

Libraxis AI Warsaw (100% pracy zdalnej)

9 000 - 21 000 zł

pytorch
tensorflow
mlx

Więcej ofert pracy

Aktywność

5 pkt za Ocena postu

2024-11-25 22:02

Napisałem na ten temat 7 lat temu odpowiedź,nie zdezaktualizowała się za bardzo (poz...

5 pkt za Ocena postu

2024-11-25 16:51

Napisałem na ten temat 7 lat temu odpowiedź,nie zdezaktualizowała się za bardzo (poz...

5 pkt za Ocena postu

2024-11-25 11:45

Napisałem na ten temat 7 lat temu odpowiedź,nie zdezaktualizowała się za bardzo (poz...

5 pkt za Ocena postu

2024-11-25 10:16

Lista kroków do nauki cyberbezpieczeństwo: Przestać używać słowa cyber. Większość (w...

5 pkt za Ocena postu

2023-12-17 12:02

Ok, dostajemy program Protector.exe. On prosi o jakieś hasło, i dekryptuje bazę albo...