banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: computerline  XML
Profile for computerline Messages posted by computerline [ number of posts not being displayed on this page: 0 ]
 

.lht. wrote:

computerline wrote:
Thank bạn n2tforever, mình không nghĩ đến việc dùng ntoskrnl.exe là khả thi, vì theo mình được biết thì ntoskrnl đâu export ra địa chỉ nào đâu, mà việc gọi qua sysenter thì như là bị hệ điều hành nó cấm rồi hay sao đó mà ! Nhưng qua gợi ý của bạn và tìm hiểu một số thông tin thì mình tìm được một số nguồn tài liệu này, có lẽ sẽ có ích cho ai đó smilie

http://alter.org.ua/docs/nt_kernel/procaddr/
http://alter.org.ua/soft/nt_kernel/crossnt/
http://netcode.cz/img/83/nativeapi.html
http://zenwinx.sourceforge.net/doxy-doc/html/index.html
http://hex.pp.ua/nt-native-applications-shell-eng.php

Đặc biệt trong http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ có một loạt các tài liệu về Forensics và Reverse Engineering cũng có giá trị, bạn nào muốn tải có thể dùng cache của google để truy ra link tải về cache:http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ 


Chào bạn,

Về vấn đề này mình cũng từng có 1 topic nhắc đến, bạn tham khảo xem smilie

/hvaonline/posts/list/39127.html 


Thanks bạn, từ phần code của bạn mình tham khảo thêm được rất nhiều smilie
Thank bạn n2tforever, mình không nghĩ đến việc dùng ntoskrnl.exe là khả thi, vì theo mình được biết thì ntoskrnl đâu export ra địa chỉ nào đâu, mà việc gọi qua sysenter thì như là bị hệ điều hành nó cấm rồi hay sao đó mà ! Nhưng qua gợi ý của bạn và tìm hiểu một số thông tin thì mình tìm được một số nguồn tài liệu này, có lẽ sẽ có ích cho ai đó smilie

http://alter.org.ua/docs/nt_kernel/procaddr/
http://alter.org.ua/soft/nt_kernel/crossnt/
http://netcode.cz/img/83/nativeapi.html
http://zenwinx.sourceforge.net/doxy-doc/html/index.html
http://hex.pp.ua/nt-native-applications-shell-eng.php

Đặc biệt trong http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ có một loạt các tài liệu về Forensics và Reverse Engineering cũng có giá trị, bạn nào muốn tải có thể dùng cache của google để truy ra link tải về cache:http://files.keiranbolton.me/down/66.14.166.45/whitepapers/
Native thì cũng là các API trong ntdll và kernel32 export ra mà ra thôi smilie Nói chung thì cuối cùng cũng chỉ có cách ẩn đi các thư viện thôi, chứ không có cách nào mà làm cho nó không gọi thư viện được hết ^^
Google một xíu thông tin bạn xlove có thể tham khảo:
http://dev.mysql.com/doc/refman/5.0/en/gone-away.html
http://stackoverflow.com/questions/1644432/mysql-server-has-gone-away-in-exactly-60-seconds

Code:
... You are using a Windows client and the server had dropped the connection (probably because wait_timeout expired) before the command was issued..


Code:
... The mysql.connect_timeout option is the reason for this. It's not only used for connect timeout, but as well as waiting for the first answer from the server. You can increase it like this:
ini_set('mysql.connect_timeout', 300);
ini_set('default_socket_timeout', 300);
...
Có thể tìm hiểu về thêm Steath API ở trang này http://syprog.blogspot.com/2011/10/stealth-import-of-windows-api.html

p/s: blogspot.com hiện tại không truy cập được ở VN, các bạn dùng Tor Proxy hay các trang Web Proxy để vào nhé smilie
Bạn xlove dùng sai ký tự chuyển hướng "<" và ">" smilie Bạn cần đọc lại tài liệu của Linux và tài liệu của MySQL smilie

http://www.patrickpatoray.com/?Page=30
"tái tạo" ở đây theo mình có nghĩa là hiểu được kiến trúc, và xây dựng lại theo cách của mình, chứ không phải là dạng copy và dán code, còn việc đầu từ cho RCE thì tốn kém là đúng rồi, có khi tốn hơn là thuê người viết ấy chứ, nên thường chỉ RCE những thứ phức tạp và ít public thôi
Học lập trình không hẳn phải giỏi toán, nhưng là giỏi những kỹ năng mà môn toán cung cấp, như khả năng suy luận logic, khả năng trình bày. Học hiểu được cái cốt lõi, bản chất thì sẽ học rất nhanh, làm nhiều thì có được kinh nghiệm + kỹ năng. Cái quan trọng nhất là phải thật sự đam mê !

idid231 wrote:
Những khoá học sử dụng debugger/disassembler, hay nghiên cứu virus đều phải trả phí chứ không public như crack. Các bác trong nghề giải thích giùm em tại sao lại có sự khác biệt này vậy? 

Mình không làm về phân tích virus, cũng không làm RCE, nhưng theo như ý kiến riêng của mình thì:

Thứ nhất: Nói về công cụ, tất cả các công cụ dùng để Debug và Disassembler đều là các công cụ chuyên dụng và được thiết kế riêng cho một nhu cầu nào đó trong lĩnh vực RCE, vì vậy việc tìm hiểu và sử dụng công cụ thành thạo không thể chỉ là một sớm một chiều, cần phải đào sâu nghiên cứu, cũng như phải có thời gian luyện tập nhiều mới có thể sử dụng tốt được các công cụ này. Đặc biệt, một số công cụ có giá rất cao và không được public rộng rãi (như IDA chẳng hạn) thì không thể những người bình thường có thể tải về để sử dụng được.

Thứ hai: Việc phân tích Virus và hiểu được cơ chế cũng như cách thức hoạt động của nó, yêu cầu người làm việc phải có mức độ am hiểu và nghiên cứu về Coding, hệ thống, cơ chế hoạt động, cũng như các thành phần tương tác khác nhau của môi trường mà Virus lây lan, vì vậy việc phân tích virus khác xa với việc Cracking, việc Cracking chỉ là việc phá bỏ lớp bảo vệ của phần mềm, và điều hướng nó hoạt động theo ý của người Crack, trong khi RCE là việc hiểu được kiến trúc và kỹ thuật của chương trình. Những người này chắc chắn phải được đào tạo một cách bài bản, hoặc là tự đào tạo một cách có kỷ luật, thì mới có thể làm được.

Từ hai ý kiến trên, mình thấy là người làm về RCE đều phải được qua đào tạo, và phải là một chuyên gia trong lĩnh vực mà họ được đào tạo, vì vậy, không lý gì các kỹ thuật đó lại được public rộng rãi ra mà không có thu phí hết smilie
Mình mới tìm thấy trang này có cung cấp IDS cho các bản MFC mới, chia sẻ cùng các bạn ! Trang cũng có nhiều bài viết có giá trị về RE với Win8. Hi vọng hữu ích cho các bạn nghiên cứu !

http://redplait.blogspot.com/2012/03/ids-files-for-recent-mfc-versions.html
Bạn tải về hết thì nó không tương thích với phiên bản bạn đang dùng là đúng rồi, nếu bạn muốn check Symbol cho thư viện nào, bạn có thể dùng symcheck để lấy symbol cho thư viện của bạn mà. Bạn đọc cái này coi có ích gì không: http://blogs.msdn.com/b/carloc/archive/2007/09/23/why-should-we-care-about-symbols.aspx

Cơ bản bạn có thể xem hướng dẫn tại đây :

http://rootb1ez.wordpress.com/2009/12/14/rootkit-cai-d%E1%BA%B7t-windbg/
Link trên deposit tải cực chậm, mà file này tới tận 400mb smilie, nhưng mà tải về đọc thì thấy cũng đáng công sức bỏ ra ^_^
Máy của bạn nên dùng Windows XP, nếu chỉ dùng bình thường thì một bản XP đã mod là rất ổn rồi ! Dùng Win 7 với cấu hình này thì chạy rất không ổn định !
Bạn tìm hiểu về .NET Serialization http://www.codeguru.com/csharp/.net/net_framework/article.php/c19541/Serialization-in-the-NET-Framework.htm

Về cơ bản sau khi bạn đã Serialization một đối tượng, bạn có thể gởi nó theo bất cứ dạng nào mà bạn đã học về Socket

Thân !
Để hiểu thế nào là "Lập trình Hướng đối tượng" bạn "cần" phải hiểu:

1. Phương pháp luận hướng đối tượng (Object Oriented Methodology)
2. Ngôn ngữ lập trình hướng đối tượng (Object-Oriented Programming Languages)

Hiểu được 2 vấn đề này, tự bạn sẽ hiểu thế nào là lập trình hướng đối tượng ^_^

Gợi ý một chút : Tại sao lại là "hướng đối tượng" chứ không gọi thẳng luôn là "đối tượng"

Thân !

huydd wrote:
Nếu vẫn muốn dùng wireshark cho "thân quen" thì bạn dùng trên máy ảo nhé. Đây là cách đơn giản nhất không phải cấu hình thêm driver hay các thành phần gì khác

Cách này tôi thường dùng khi phân tích các bản tin trên lớp với USB 3G 


Bạn cứ dùng NetworkMiner để capture rồi lưu lại thành tập tin PCAP, sau đó dùng Wireshark để phân tích cũng được mà smilie
WinPCap 3.1 chỉ hoạt động trên các phiên bản 2K và XP, và cũng không ổn định. Đối với phiên bản Vista, Win7 thì ko thể capture được :


Windows NT 4.0 and Windows Vista Beta 1: capturing on PPP interfaces isn't supported on these Windows versions
 
Wireshark chạy trên Windows không thấy được Interface của USB 3G đâu bạn. Để Capture gói tin có thể sử dụng NetworkMiner http://sourceforge.net/projects/networkminer/ chạy ở quyền Administrator và Capture Socket Interface của USB 3G





A Bug Hunter's Diary follows security expert Tobias Klein as he tracks down and exploits bugs in some of the world's most popular software, like Apple's iOS, the VLC media player, web browsers, and even the Mac OS X kernel. In this one-of-a-kind account, you'll see how the developers responsible for these flaws patched the bugs—or failed to respond at all. As you follow Klein on his journey, you'll gain deep technical knowledge and insight into how hackers approach difficult problems and experience the true joys (and frustrations) of bug hunting.

Along the way you'll learn how to:

  • Use field-tested techniques to find bugs, like identifying and tracing user input data and reverse engineering
  • Exploit vulnerabilities like NULL pointer dereferences, buffer overflows, and type conversion flaws
  • Develop proof of concept code that verifies the security flaw
  • Report bugs to vendors or third party brokers


A Bug Hunter's Diary is packed with real-world examples of vulnerable code and the custom programs used to find and test bugs. Whether you're hunting bugs for fun, for profit, or to make the world a safer place, you'll learn valuable new skills by looking over the shoulder of a professional bug hunter in action.

http://www.mediafire.com/?lbs7mda2bx2tza3,7d89dm5krc77zs4

Tớ đang dùng bản này, khi kiểm tra với trình của xnohat thì được thông báo là đã nhiễm virus của stl, tớ đã thử debug và extract ra nhưng không thấy có tập tin nào lạ. Bạn nào có kinh nghiệm có thể kiểm tra dùm tớ được không ?

http://www.mediafire.com/?060ym0qc59f91iw

MD5:

Code:
Unikey.exe - 6710A40E13226F1E41181D1D0462DFAC
UKHook40.dll - 263F34ABE52CC36F112DB4AD2FC53A05

xBoyx wrote:
Các bạn cho mình hỏi khi dịch ra assembly thì trên windows và linux có khác nhau không ạ? 


Tất nhiên là có khác nhau chút ít đó bạn, nhưng mà không đáng kể, vì hầu như tất cả đều tuân thủ theo một kiến trúc nhất định, chỉ có cú pháp là có khác nhau đôi chút !

quygia128 wrote:
Nghề này em nghĩ nó thú vị lắm. Nhưng với cái yêu cầu này thì chưa chắc 4 năm nữa ( = học đại học smilie ) có thể lãnh hội hết.

+ Yêu cầu:
- Có kinh nghiệm và khả năng lập trình: C/C++; ASM cho x86 (amd64).
- Kỹ năng reverse engineer và debugging.
- Kiến thức cơ bản về malware.
- Sử dụng thành thạo OllyDbg hoặc WinDbg hoặc IDA.
- Kiến thức về lập trình hệ thống cho Windows NT platform.
- Chịu được áp lực làm việc.
- Lập trình tốt bằng Python là một lợi thế.
- Đọc hiểu tài liệu tiếng Anh kĩ thuật. Sử dụng thành thạo các kỹ năng (nghe, nói, đọc, viết) tiếng anh là một lợi thế. 


Anh computerline đã 4 năm rồi mà còn nói mới bắt đầu smilie thì không biết phải bao lâu mới được gọi là có chút kinh nghiệm smilie 


Hi ! Bắt đầu của ngày hôm nay nó khác bắt đầu của ngày hôm qua mà ! Mỗi lần bắt đầu mới lại là một lần mình lại học được nhiều điều mới mẻ, có những kinh nghiệm mới mẻ ^^

kentmt wrote:
không biết sau 4 năm computerline RCE thế nào rồi smilie 


Sau 4 năm mình vẫn chỉ là người mới bắt đầu bạn à smilie
Cái này là lab và bài thực hành:
http://torrents.thepiratebay.se/5664922/Student_Resources_for_the_Book_Computer_Networking_A_Top-Down_Ap.5664922.TPB.torrent

Cái này là file tải Torrent của ebooks phiên bản 5:
http://www.mediafire.com/?oq54jb8qtbfj46q
Bạn có thể tham khảo bài này /hvaonline/posts/list/41088.html để tạo Shell trong Windows, rồi dùng Shell đó tạo tài khoản mới rồi add vào group Administrators.

Bạn có thể sử dụng đĩa Hirent Boot để tạo Shell như trong hướng dẫn ở trên !
Hiện tại liên kết torrent bên https://thepiratebay.se/torrent/7014253 không thể truy cập được, vậy bạn nào quan tâm đến mã nguồn của PcAnywhere có thể tải về từ Torrent ở địa chỉ sau : http://www.mediafire.com/?d55ehdf4ea85qms

P/S: Hiện tại theo mình biết thì chỉ có source của PcAnywhere bị công khai !
Trang http://www.wolframalpha.com/ dùng thuật toán gì mà ghê gớm quá ! Tính 1000000! trong chớp mắt !
Cái này hồi trước có viết, tính 100000! cũng được !

Code:
#include <conio.h>
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#define NMAX 4000000
unsigned int result[NMAX];
unsigned int n;
void ReadFile()
{
FILE * f = fopen("GIAITHUA.INP", "rt");
if (f != NULL)
fscanf(f, "%d", &n);
fclose(f);
}
void WriteFile()
{
FILE * f = fopen("GIAITHUA.OUT", "wt");
if (f != NULL)
{
int count = 1;
for (unsigned int i = result[0]; i >= 1; --i)
{
if (count % 80 == 0)
fprintf(f, "\n");
fprintf(f, "%d", result[i]);
count++;
}
}
fclose(f);
}
void Solve(unsigned int result[], unsigned int n) {
unsigned int remainder;
result[0] = 1;
result[1] = 1;
for (unsigned int i = 2; i <= n; ++i)
{
remainder = 0;
for (unsigned int j = 1; j <= result[0]; ++j)
{
result[j] = result[j] * i + remainder;
remainder = result[j] / 10;
result[j] = result[j] % 10;
}
while (remainder > 0)
{
++result[0];
result[result[0]] = remainder % 10;
remainder /= 10;
}
}
}
int main() {
wchar_t buff[100];
ReadFile();
DWORD dwStart = GetTickCount();
Solve(result, n);
WriteFile();
DWORD dwInterval = GetTickCount() - dwStart;
printf("The program pass %d times to complete", dwInterval);
return 0;
}
Mình cũng thật vui mừng vì từ khi mình POST bài này cũng đã 4 năm rồi, trong 4 năm đó nền công nghệ của nước mình cũng có nhiều tiến bộ vượt bực ! Nhất là đã bắt đầu thai nghén những ngành nghề mà trước kia chỉ có những dạng Senior trên thế giới mới làm ! Hi vọng sự khởi đầu này sẽ giúp cho chúng ta có những định hướng và đạt thật nhiều thành công trong tương lai !
Bạn có thể đọc tạm http://www.mediafire.com/?1svvd31ockw4sy3
 
Go to Page:  First Page Page 1 3 4 5 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|