[0x01] Исследуем Portable Executable (EXE-файл) [Формат PE-файла]
Доброго времени суток, форумчане. Сегодня, мы немного поговорим, рассмотрим и изучим под микроскопом структуру исполняемых файлов Windows (Portable EXEcutable, или просто PE), а в следующих статьях изучим технику модифицирования (инфицирования) PE-файлов, для того, чтобы исполнять свой собственный код после запуска чужого исполняемого файла (кстати, эта техника используется многими вирусами, для собственного "паразитического" распространения) и другие "хаки" с использованием знаний о структуре PE.
Читать: https://codeby.net/threads/0x01-issleduem-portable-executable-exe-fajl-format-pe-fajla.65415/
#pe #exe
————————————————
Фриланс Кодебай — сервис поиска удаленной работы и размещения заказов
Доброго времени суток, форумчане. Сегодня, мы немного поговорим, рассмотрим и изучим под микроскопом структуру исполняемых файлов Windows (Portable EXEcutable, или просто PE), а в следующих статьях изучим технику модифицирования (инфицирования) PE-файлов, для того, чтобы исполнять свой собственный код после запуска чужого исполняемого файла (кстати, эта техника используется многими вирусами, для собственного "паразитического" распространения) и другие "хаки" с использованием знаний о структуре PE.
Читать: https://codeby.net/threads/0x01-issleduem-portable-executable-exe-fajl-format-pe-fajla.65415/
#pe #exe
————————————————
Фриланс Кодебай — сервис поиска удаленной работы и размещения заказов
[0x02] Исследуем Portable Executable [Загрузка PE-файла]
Доброго времени суток, читатели. В прошлой статье, мы поверхностно изучили строение и формат PE-файла. В этой статье, мы изучим виртуальную память, познакомимся с процессом загрузки PE-файла в память, изучим его структуру в памяти, а также изучим процесс импорта. Если вы не прочитали предыдующую статью, то обязательно прочитайте.
Читать: https://codeby.net/threads/0x02-issleduem-portable-executable-zagruzka-pe-fajla.65424/
#pe #exe #process
————————————————
Фриланс Кодебай — сервис поиска удаленной работы и размещения заказов
Доброго времени суток, читатели. В прошлой статье, мы поверхностно изучили строение и формат PE-файла. В этой статье, мы изучим виртуальную память, познакомимся с процессом загрузки PE-файла в память, изучим его структуру в памяти, а также изучим процесс импорта. Если вы не прочитали предыдующую статью, то обязательно прочитайте.
Читать: https://codeby.net/threads/0x02-issleduem-portable-executable-zagruzka-pe-fajla.65424/
#pe #exe #process
————————————————
Фриланс Кодебай — сервис поиска удаленной работы и размещения заказов
👍1
[0x03] Исследуем Portable Executable [Создаём программу без компилятора (часть 1)]
Доброго времени суток, друзья. В прошлой статье, мы изучили принципы виртуальной адресации и процесс загрузки исполняемого файла в память. Ну а эта статья (и следующая), создана для того, чтобы закрепить полученный в двух прошлых статьях материал. В этой статье нас ожидает программирование на машинных кодах, глубокая работа с памятью, сборка таблицы импорта вручную и т.д.. Сделаем мы это путём создания вручную собственного исполняемого .exe файла без использования средств сборки (компилятора и линкера), а используя только Hex-редактор. Для полноценного понимания нынешней статьи, прочитайте две предыдущих. Ну-с, приступим.
Читать: https://codeby.net/threads/0x03-issleduem-portable-executable-sozdajom-programmu-bez-kompiljatora-chast-1.65433/
#pe #reverse #exe
Доброго времени суток, друзья. В прошлой статье, мы изучили принципы виртуальной адресации и процесс загрузки исполняемого файла в память. Ну а эта статья (и следующая), создана для того, чтобы закрепить полученный в двух прошлых статьях материал. В этой статье нас ожидает программирование на машинных кодах, глубокая работа с памятью, сборка таблицы импорта вручную и т.д.. Сделаем мы это путём создания вручную собственного исполняемого .exe файла без использования средств сборки (компилятора и линкера), а используя только Hex-редактор. Для полноценного понимания нынешней статьи, прочитайте две предыдущих. Ну-с, приступим.
Читать: https://codeby.net/threads/0x03-issleduem-portable-executable-sozdajom-programmu-bez-kompiljatora-chast-1.65433/
#pe #reverse #exe
[0x07] Исследуем Portable EXEcutable [Пишем полноценный инфектор]
Доброго времени суток, форумчане! Эта статья является логическим продолжением сразу для двух статей - для статьи о DLL инъекциях и для статьи об инфицировании .exe файлов. Только задумайтесь, что будет, если смешать два этих способа? (Для полноценного понимания требуется изучение предыдущего материала, так как в нём приведены основы инфицирования, внедрения DLL и описание формата PE-файла)
Читать: https://codeby.net/threads/0x07-issleduem-portable-executable-pishem-polnocennyj-infektor.65888/
#pe #dll #malware
Доброго времени суток, форумчане! Эта статья является логическим продолжением сразу для двух статей - для статьи о DLL инъекциях и для статьи об инфицировании .exe файлов. Только задумайтесь, что будет, если смешать два этих способа? (Для полноценного понимания требуется изучение предыдущего материала, так как в нём приведены основы инфицирования, внедрения DLL и описание формата PE-файла)
Читать: https://codeby.net/threads/0x07-issleduem-portable-executable-pishem-polnocennyj-infektor.65888/
#pe #dll #malware
[0x04] Исследуем Portable Executable [Создаём программу без компилятора (часть 2)]
Доброго времени суток, друзья. В прошлой статье, мы начали создавать простейший исполняемый модуль (.exe файл) в hex-редакторе и полностью заполнили заголовки. В этой статье, мы закончим работу над нашим исполняемым файлом и получим работоспособную программу. Приступим!
Читать: https://codeby.net/threads/0x04-issleduem-portable-executable-sozdajom-programmu-bez-kompiljatora-chast-2.65524/
#exe #pe #reverse
Доброго времени суток, друзья. В прошлой статье, мы начали создавать простейший исполняемый модуль (.exe файл) в hex-редакторе и полностью заполнили заголовки. В этой статье, мы закончим работу над нашим исполняемым файлом и получим работоспособную программу. Приступим!
Читать: https://codeby.net/threads/0x04-issleduem-portable-executable-sozdajom-programmu-bez-kompiljatora-chast-2.65524/
#exe #pe #reverse
[0x05] Исследуем Portable Executable [Инфицируем .exe файлы]
Доброго времени суток, друзья. В прошлых статьях, мы внимательно изучили строение и формат исполняемых файлов, а также закрепили эти знания на практике. Начиная с этой статьи мы начнём исследовать этот вопрос с практической точки зрения. Конкретно в этой статье мы напишем небольшой вирус, инфицирующий исполняемые файлы Windows. Для понимания данной статьи необходимо прочтение предыдущих.
Читать: https://codeby.net/threads/0x05-issleduem-portable-executable-inficiruem-exe-fajly.65632/
#exe #pe #malware
Доброго времени суток, друзья. В прошлых статьях, мы внимательно изучили строение и формат исполняемых файлов, а также закрепили эти знания на практике. Начиная с этой статьи мы начнём исследовать этот вопрос с практической точки зрения. Конкретно в этой статье мы напишем небольшой вирус, инфицирующий исполняемые файлы Windows. Для понимания данной статьи необходимо прочтение предыдущих.
Читать: https://codeby.net/threads/0x05-issleduem-portable-executable-inficiruem-exe-fajly.65632/
#exe #pe #malware
[0x06] Исследуем Portable Executable [DLL инъекции]
Салют, друзья! Мы с вами начинаем изучать DLL инъекции :). Не смотря на то, что эта техника уже много раз заезжена и всем известна, я всё же внесу свои 5 копеек, так как в будущих статьях мы будем частенько прибегать к этой технике и я просто не мог пропустить её.
Читать: https://codeby.net/threads/0x06-issleduem-portable-executable-dll-inekcii.65872/
#exe #pe #dll
Салют, друзья! Мы с вами начинаем изучать DLL инъекции :). Не смотря на то, что эта техника уже много раз заезжена и всем известна, я всё же внесу свои 5 копеек, так как в будущих статьях мы будем частенько прибегать к этой технике и я просто не мог пропустить её.
Читать: https://codeby.net/threads/0x06-issleduem-portable-executable-dll-inekcii.65872/
#exe #pe #dll
РЕ-файлы – знакомство с ресурсом "RT_VERSION"
Исполняемые файлы имеют фишку, на которую начинающие программисты редко обращают внимание – это директория "VERSION" в секции-ресурсов. Её отсутствие характеризует кодера не с лучшей стороны, если только он не упустил эту инфу умышленно, чтобы замести за собой следы. Все зарекомендовавшие себя легальные разработчики стараются полностью заполнять этот дир, ведь согласитесь, что свойства файла "OllyDbg" в правом окне рисунка ниже вызывают больше доверия, чем подноготная того-же шпиона "Kerberos" на левом..
Читать: https://codeby.net/threads/re-fajly-znakomstvo-s-resursom-rt_version.76550/
#pe #rsrc #rt_resouce
Исполняемые файлы имеют фишку, на которую начинающие программисты редко обращают внимание – это директория "VERSION" в секции-ресурсов. Её отсутствие характеризует кодера не с лучшей стороны, если только он не упустил эту инфу умышленно, чтобы замести за собой следы. Все зарекомендовавшие себя легальные разработчики стараются полностью заполнять этот дир, ведь согласитесь, что свойства файла "OllyDbg" в правом окне рисунка ниже вызывают больше доверия, чем подноготная того-же шпиона "Kerberos" на левом..
Читать: https://codeby.net/threads/re-fajly-znakomstvo-s-resursom-rt_version.76550/
#pe #rsrc #rt_resouce
Сокрытие Reverse TCP shellcode в PE-файле | Часть 1
Иноязычное описание данного метода является достаточно большим. В связи с этим, я решил разделить его на 2, более мелкие части. Приятного ознакомления. Предположим, что во время проведения тестирования на проникновение вам понадобилось получить доступ к определённому устройству исследуемой организации. На этом этапе, вы можете создать PE-файл бэкдор с помощью собственного шелл-кода, без увеличения размера исполняемого файла или изменения его предполагаемой функциональности. Как это можно реализовать и при этом не привлечь внимание антивирусов? О способе доставки и писать нечего. Смоделируем такую ситуацию: после проведения сбора информации о тестируемой организации, вы узнали, что большое количество сотрудников использует определенное программное обеспечение. Тогда, методом социальной инженерии, есть шанс проникнуть в сеть жертвы. Для этого понадобится отправить некоторому объекту (сотруднику) фишинговое сообщение с ссылкой для загрузки «Обновленной версии этой программы», которая на самом деле является бэкдор-бинарным файлом. Мы также обсудим различные методы затруднения обнаружения бэкдора в PE-файле. На каждом этапе основное внимание уделяется тому, чтобы файл с бэкдором был полностью не обнаружимым. Слово «не обнаруживаемый» здесь используется в контексте статического анализа времени сканирования. Для изучения описываемых далее действий желательно понимание формата PE-файла, сборки x86 и отладки.
Читать: https://codeby.net/threads/sokrytie-reverse-tcp-shellcode-v-pe-fajle-chast-1.76810/
#backdoor #pe #reverse
Иноязычное описание данного метода является достаточно большим. В связи с этим, я решил разделить его на 2, более мелкие части. Приятного ознакомления. Предположим, что во время проведения тестирования на проникновение вам понадобилось получить доступ к определённому устройству исследуемой организации. На этом этапе, вы можете создать PE-файл бэкдор с помощью собственного шелл-кода, без увеличения размера исполняемого файла или изменения его предполагаемой функциональности. Как это можно реализовать и при этом не привлечь внимание антивирусов? О способе доставки и писать нечего. Смоделируем такую ситуацию: после проведения сбора информации о тестируемой организации, вы узнали, что большое количество сотрудников использует определенное программное обеспечение. Тогда, методом социальной инженерии, есть шанс проникнуть в сеть жертвы. Для этого понадобится отправить некоторому объекту (сотруднику) фишинговое сообщение с ссылкой для загрузки «Обновленной версии этой программы», которая на самом деле является бэкдор-бинарным файлом. Мы также обсудим различные методы затруднения обнаружения бэкдора в PE-файле. На каждом этапе основное внимание уделяется тому, чтобы файл с бэкдором был полностью не обнаружимым. Слово «не обнаруживаемый» здесь используется в контексте статического анализа времени сканирования. Для изучения описываемых далее действий желательно понимание формата PE-файла, сборки x86 и отладки.
Читать: https://codeby.net/threads/sokrytie-reverse-tcp-shellcode-v-pe-fajle-chast-1.76810/
#backdoor #pe #reverse
Сокрытие Reverse TCP shellcode в PE-файле | Часть 2
На данный момент мы создали новый раздел заголовка, поместили в него наш шелл-код, перехватили поток выполнения и при этом достигли нормальной работы приложения. В этой части мы объединим два метода для сокрытия бэкдора от AV и постараемся устранить недостатки метода секции сумматора, описанного выше. Ниже приведены те методы, о которых сегодня пойдёт речь: Запуск шелл-кода на основе взаимодействия пользователя с определенной функцией; Поиск и использование пещер в коде (code cave).
Читать: https://codeby.net/threads/sokrytie-reverse-tcp-shellcode-v-pe-fajle-chast-2.76814/
#backdoor #pe #reverse
На данный момент мы создали новый раздел заголовка, поместили в него наш шелл-код, перехватили поток выполнения и при этом достигли нормальной работы приложения. В этой части мы объединим два метода для сокрытия бэкдора от AV и постараемся устранить недостатки метода секции сумматора, описанного выше. Ниже приведены те методы, о которых сегодня пойдёт речь: Запуск шелл-кода на основе взаимодействия пользователя с определенной функцией; Поиск и использование пещер в коде (code cave).
Читать: https://codeby.net/threads/sokrytie-reverse-tcp-shellcode-v-pe-fajle-chast-2.76814/
#backdoor #pe #reverse
По горячим следам: эпизод три - не неуловимый стиллерщик и его просчеты
И сразу же немного предыстории, давайте окунемся во вчерашний, но только для меня, день. Искали мы любого барыгу на торговой площадке, поясню за слово “барыга” - продавец краденого, если говорить проще. Визуально очень просто определить подобного персонажа: имеет он в продаже практически все виды игр и все типы аккаунтов, в основном привязка к иностранным почтам, но последнее не всегда. Также после покупки определенного товара, если вам удастся заполучить родную почту аккаунта во своё владение, вы сможете заметить какую-либо спам рассылку, так случилось и в нашем случае. Хотя случай определенно редкий, ведь обычно продавцы сами покупают логи где-то, а не распространяют обман. Попав в дискорд польской жертвы видим до боли знакомую картину маслом:
Читать: https://codeby.net/threads/po-gorjachim-sledam-ehpizod-tri-ne-neulovimyj-stillerschik-i-ego-proschety.78280/
#phishing #backdoor #pe
И сразу же немного предыстории, давайте окунемся во вчерашний, но только для меня, день. Искали мы любого барыгу на торговой площадке, поясню за слово “барыга” - продавец краденого, если говорить проще. Визуально очень просто определить подобного персонажа: имеет он в продаже практически все виды игр и все типы аккаунтов, в основном привязка к иностранным почтам, но последнее не всегда. Также после покупки определенного товара, если вам удастся заполучить родную почту аккаунта во своё владение, вы сможете заметить какую-либо спам рассылку, так случилось и в нашем случае. Хотя случай определенно редкий, ведь обычно продавцы сами покупают логи где-то, а не распространяют обман. Попав в дискорд польской жертвы видим до боли знакомую картину маслом:
Читать: https://codeby.net/threads/po-gorjachim-sledam-ehpizod-tri-ne-neulovimyj-stillerschik-i-ego-proschety.78280/
#phishing #backdoor #pe
Обзор PPEE, Инструмент для детального изучения файлов
Привет всем! Решил я тут сделать краткий обзор инструмента PPEE (Puppy). Этот инструмент предназначен для детального исследования файлов. В конце статьи будут полезные ссылки. Начнём с теории, а дальше исследуем 1 exe файл. Все параметры PE файла я описывать не буду. Только часто используемые.
Читать: https://codeby.net/threads/obzor-ppee-instrument-dlja-detalnogo-izuchenija-fajlov.75315/
#exe #pe #reverse
Привет всем! Решил я тут сделать краткий обзор инструмента PPEE (Puppy). Этот инструмент предназначен для детального исследования файлов. В конце статьи будут полезные ссылки. Начнём с теории, а дальше исследуем 1 exe файл. Все параметры PE файла я описывать не буду. Только часто используемые.
Читать: https://codeby.net/threads/obzor-ppee-instrument-dlja-detalnogo-izuchenija-fajlov.75315/
#exe #pe #reverse
ASM – Тёмная сторона РЕ-файла
Исполняемым файлом в системах класса Win является "Рortable-Еxecutable", или просто РЕ. Инженеры Microsoft потрудились на славу, чтобы предоставить нам спецификацию на него, однако некоторые "тузы в рукавах" они всё-таки припрятали. В данной статье рассматривается недокументированная часть РЕ-файла, ознакомившись с которой можно будет собирать информацию о процессе создания файлов компилятором.
📌 Читать статью: https://codeby.net/threads/asm-tjomnaja-storona-re-fajla.79133/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#asm #fasm #pe
Исполняемым файлом в системах класса Win является "Рortable-Еxecutable", или просто РЕ. Инженеры Microsoft потрудились на славу, чтобы предоставить нам спецификацию на него, однако некоторые "тузы в рукавах" они всё-таки припрятали. В данной статье рассматривается недокументированная часть РЕ-файла, ознакомившись с которой можно будет собирать информацию о процессе создания файлов компилятором.
📌 Читать статью: https://codeby.net/threads/asm-tjomnaja-storona-re-fajla.79133/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#asm #fasm #pe
👍2🔥1