|
|
riêng snort cũng làm ips được mà.
|
|
|
Câu hỏi có hơi lôm côm, đầu óc đang rồi quá. Ý của mình là giống với PE&COFF Specification vậy.
|
|
|
ntnguyen: đi ngủ đê, nhưng mà post hay đấy, mình thích windbg
|
|
|
Chào mọi người,
mình muốn hỏi cấu trúc của thư mục của Windows, có nghĩa là theo kiểu binary, giống như PE Specification vậy?
|
|
|
Sau khi update Kernel thì có gì thay đổi không vậy bạn?
|
|
|
Gửi địa chỉ website vào tin nhắn riêng cho tôi.
|
|
|
Tôi không nghĩ là chúng ta nên trách họ, có lẽ công việc quá căng thẳng, thành công thì khó đạt được. Nhất là công nghệ thông tin, khi tôi còn là sinh viên, ở phòng ký túc 20 người, lúc nào cũng ồn ào, đọc cái manual của Intel tôi cảm thấy phát điên lên được.
|
|
|
À, hôm qua say nên trả lời bài linh tinh rồi, cái plugin mình nói là cái từ forum woodmann đó, mình chỉ đang cảm thấy hơi lạ, ứng dụng của mình đang thử debug load không được bình thường lắm, conditional jump là không giống nhau trong các lần thực hiện chạy.
|
|
|
Cắm ơn Quy.
|
|
|
Một kernel exploit dành cho Android, code được viết trong ngôn ngữ C, và inline Assembly, code có thể được dịch bởi GCC, phần description được viết bằng tiếng
|
|
|
Có mỗi một cái link thì viết ở một phân mục thôi chứ, spam hết các phân mục rồi.
|
|
|
Mình đồng ý là sẽ rất lớn, nhưng mình được một plugin có vẻ hợp với yêu cầu của mình, nó ghi log tất cả các conditional jump trong step run, cái nào được thực thi và cái nào không. Nó có thể giảm độ lớn của log file, nhưng tốc độ vẫn là cái đáng ngại. Mình đang chạy 2 ngày, log file giờ là 36 MiB.
|
|
|
mình muốn log tất cả các giá trị của EIP khi 1 chương trình được thực thi, step-by-step, không biết có plugin nào của Ollydbg hay tools nào thực hiện điều đó không vậy?
mình xin cám ơn.
|
|
|
Chào mọi người,
Hiện tại mình đang fuzzing một ứng dụng trên Windows 7/XP, sử dụng Debugging tools for Windows để kiểm tra crashes.
Vấn đề mình đang gặp khó khăn là, sau khi fuzz được khoảng mấy trăm test-cases, ứng dụng được fuzz rơi vào trạng thái crash mà không thể phục hồi được, có nghĩa là kể cả sau khi restart hệ điều hành ứng dụng vẫn crash. Đầu tiên mình suy nghĩ vấn đề đơn giản, chắc chỉ tại log file, hay settings file nào đó của ứng dụng khiến nó crash, nhưng có lẽ không phải vậy. Mình sử dụng cả DIFF (diff command linux), handle.exe, process monitor với mục đích tìm kiếm file, thư mục gây ra crash, sử dụng reg snapshot (kiểm tra trạng thái của registry trước và sau crash) nhưng khá là vô vọng.
Sử dụng Ollydbg thử debug app (trong cả 2 trường hợp, trước và sau crash), mình có thể thấy, module(dll) gây ra crash được map lên memory ở những địa chỉ khác nhau. Với trường hợp gây ra crash, .data của module gây ra crash bị map vào một page với không permission, nghĩa là không có gì, không thể đọc, ghi, xoá. Mà ứng dụng của mình lại muốn đọc một string từ đó dẫn đến Read Access Violation.
Sử dụng handle.exe mình có thể kiểm tra được các file, nhưng đối với object manager có lỗi gì mình không thể biết được.
Câu hỏi của mình là: Debugging tools có thể khiến app mình crash như mình mô tả vì nó cài các settings không?, và ai có định hướng thì giúp mình nhé.
Cám ơn mọi người.
|
|
|
Dạo trước thấy share một số công cụ để diệt virus dùng dos mấy trang mạng, mình thấy như vậy là đủ rồi, không cần chia sẻ mã độc hại.
|
|
|
Chào bạn,
Một bài từ Synmantec thế là quá hay rồi, cảm ơn bạn rất nhiều về tài liệu. Nếu là một đề tài khoa học, mình cũng không biết là một đề tài tầm cỡ thế nào?. Bạn cũng nên tham khảo Bkav Pro 2014, code khá hay, có thể nhờ họ tư vấn xem thế nào.
|
|
|
Nghe cứ như kiểu một bài luận trong đại học, và bạn đang yêu cầu mọi người làm bài hộ cho bạn vậy.
|
|
|
Cảm thấy thật thiếu sót về kiến thức, không có thời gian nghiên cứu mấy thứ mặc dù là sở thích, nhưng lại không đem lại tiền cho mình, nên cũng chả dám nói nhiều.
|
|
|
Chào panfider,
Mình nhớ có một nick rất giỏi, rất giống nick của bạn, hình như là panfinder thì phải ở trong diễn đàn này.
Theo những gì mình biết, nếu nói paging là quản lý bộ nhớ thì cũng không chính xác, và nói "vì không có tài liệu nào của intel hay arm hoặc ibm nói chính xác về mmu." thì lại càng không chính xác.
Về Arm thì mình không nghiên cứu bao giờ nên không biết, còn đối với Intel, mấy cuốn manuals nói rất kỹ về vấn đề này. Không chỉ về cách quản lý bộ nhớ mà có rất nhiều thứ khác, tất cả đều rất phức tạp, và có liên quan chặt chẽ đến nhau. Ví dụ như bạn nói về "Paging" vậy, Paging chỉ được sử dụng khi Processor(s) chạy trong protected-mode, chế độ mà các hệ điều hành Windows, và *nix ngày nay đang chạy, còn trong real-mode, không có khái niệm "Paging", tất cả processes của ứng dụng và hệ điều hành đều chạy trong một address space. Để học được những khái niệm này tương đối vất vả và điên cuồng, còn nhiều thứ khác như IDT, GDT, ... . Mình cũng không nắm rõ lắm nên chỉ trả lời câu hỏi của bạn như vậy. Nếu bạn muốn thực hành thì điều kiện tốt nhất có lẽ là học cách lập trình cho Linux Kernel.
|
|
|
Làm sao mình biết nó viết bằng ngôn ngữ AutoIt vậy bạn? mình cảm thấy tò mò.
|
|
|
Có quyển sách rất khó kiếm, cảm ơn bạn.
|
|
|
"Access Violation" - cũng chẳng biết là thế nào.
|
|
|
Download về thôi nào, đang nan giải cái khoản kernel debug, cần cái sách nào chỉ tận nơi.
|
|
|
Chào mọi người,
Mình đang cần quyển sách "Windows NT Device Driver Development", viêt bởi Peter G. Viscarola (Author), W. Anthony Mason (Author), sách hơi cũ nên khó kiếm.
Link Amazon: http://www.amazon.com/Windows-NT-Device-Driver-Development/dp/1578700582
Mình xin chân thành cám ơn!
|
|
|
Về cái khoản Unicode này mình rất mù mờ, đọc tài liệu mà hoa cả mắt, chắc bữa sau phải bỏ ra tầm 3, 4 ngày để đọc tài liệu thì may ra.
App này viết bằng C++ cho Windows, nên mình nghĩ là cứ 2 Bytes vậy.
Thôi vậy, chắc có lẽ google cho cái phần Unicode tiếng việt implementation trong Windows chắc ra ngay.
|
|
|
Chào mọi người, có lẽ cũng không thích hợp lắm cho phân mục này, chẳng qua cũng chỉ disassembly bằng IDA.
Mình có disassemnly một app có song ngữ tiếng việt/tiếng anh.
Khi view data trong IDA thì có đoạn này,
Code:
.rdata:00551100 unk_551100 db 4Dh ; M ; DATA XREF: .rdata:0054FF04o
.rdata:00551101 db 0
.rdata:00551102 db 0E1h ; ß
.rdata:00551103 db 0
.rdata:00551104 db 79h ; y
.rdata:00551105 db 0
.rdata:00551106 db 20h
.rdata:00551107 db 0
.rdata:00551108 db 74h ; t
.rdata:00551109 db 0
.rdata:0055110A db 0EDh ; f
.rdata:0055110B db 0
.rdata:0055110C db 6Eh ; n
.rdata:0055110D db 0
.rdata:0055110E db 68h ; h
.rdata:0055110F db 0
.rdata:00551110 db 20h
.rdata:00551111 db 0
.rdata:00551112 db 63h ; c
.rdata:00551113 db 0
.rdata:00551114 db 0E7h ; t
.rdata:00551115 db 1Eh
.rdata:00551116 db 61h ; a
.rdata:00551117 db 0
.rdata:00551118 db 20h
.rdata:00551119 db 0
.rdata:0055111A db 62h ; b
.rdata:0055111B db 0
.rdata:0055111C db 0A1h ; í
.rdata:0055111D db 1Eh
.rdata:0055111E db 6Eh ; n
.rdata:0055111F db 0
.rdata:00551120 db 20h
.rdata:00551121 db 0
.rdata:00551122 db 11h
.rdata:00551123 db 1
.rdata:00551124 db 0E3h ; p
.rdata:00551125 db 0
.rdata:00551126 db 20h
.rdata:00551127 db 0
.rdata:00551128 db 11h
.rdata:00551129 db 1
.rdata:0055112A db 0B0h ; ¦
.rdata:0055112B db 1
.rdata:0055112C db 0E3h ; p
.rdata:0055112D db 1Eh
.rdata:0055112E db 63h ; c
.rdata:0055112F db 0
.rdata:00551130 db 20h
.rdata:00551131 db 0
.rdata:00551132 db 63h ; c
.rdata:00551133 db 0
.rdata:00551134 db 0E0h ; a
.rdata:00551135 db 0
.rdata:00551136 db 69h ; i
.rdata:00551137 db 0
.rdata:00551138 db 20h
.rdata:00551139 db 0
.rdata:0055113A db 73h ; s
.rdata:0055113B db 0
.rdata:0055113C db 0B5h ; ¦
.rdata:0055113D db 1Eh
.rdata:0055113E db 6Eh ; n
.rdata:0055113F db 0
.rdata:00551140 db 20h
.rdata:00551141 db 0
nếu mình define "unk_551100" thành Strings->Unicode, sẽ chỉ được kết quả như sau:
Code:
.rdata:00551100 aMayTbnhC: ; DATA XREF: .rdata:0054FF04o
.rdata:00551100 unicode 0, <Máy tính c>
.rdata:00551114 db 0E7h ; t
.rdata:00551115 db 1Eh
.rdata:00551116 db 61h ; a
.rdata:00551117 db 0
.rdata:00551118 db 20h
.rdata:00551119 db 0
.rdata:0055111A db 62h ; b
.rdata:0055111B db 0
.rdata:0055111C db 0A1h ; í
.rdata:0055111D db 1Eh
.rdata:0055111E db 6Eh ; n
.rdata:0055111F db 0
.rdata:00551120 db 20h
.rdata:00551121 db 0
rõ ràng vấn đề nằm ở chỗ, 0x1E, cái này mình không hiểu cho lắm, về Unicode mình quá mù mờ.
Có anh chị em nào nắm được, cho mình hỏi 0x1E là gì? và làm sao giải quyết nó cho đúng trong IDA?
|
|
|
Chào mọi người,
Mình đang tìm cách xâm nhập một wordpress được self-hosted, chỉ ngặt một nỗi các thư mục với tên mặc định như wp-content, wp-admin ... đã bị thay đổi tên.
Mình dùng thử dirBuster hơn 2 ngày, kết quả vẫn không khả quan lắm, search engine cũng không giúp ích đựoc gì nhiều.
Mình muốn hỏi là: có cách nào tìm ra tên các thư mục nhanh hơn, tốt hơn dirBuster không? (tốt nhất là cách suy luận theo logic).
PS: cụm server được cấu hình bảo mật khá kỹ với firewall, IPS đang chạy, mà mình lại gà về nmap quá nên khó tìm ra hướng xâm nhập dịch vụ khác ngoài web.
|
|
|
chuonghcm wrote:
kienmanowar wrote:
Thầy hướng dẫn nói mà không đưa ra từ khóa gợi ý để phục vụ tìm kiếm à .
Cuối cùng thì củng tìm được roài. tui nghỉ chắc bạn đã biết nó là gì rùi phải không? Hiện tại tui đã tìm được vài cuốn sách về chuyên đề đó. Phần lớn các kỹ thuật trong đó nêu mang tính chất chuyên sâu về lập trình. Bạn đã từng tìm hiểu vấn đề này chưa vậy?
Các bạn có thể tìm thấy tài liệu trên Google thông qua từ khoá Anti-Reverse-Engineering hoặc anti unpack
bác kienmanowar là siêu cao thủ bạn ạ.
|
|
|
Reversing: secrets of reverse engineering có một chương nói về cái này thì phải.
|
|
|
2 năm đầu đọc HVA thấy hơi nản, giờ thì đỡ hơn rồi
Bây giờ thì đã bắt đầu hiểu một số bài được post của các cao thủ.
|
|
|
|
|
|
|