[0x06] Исследуем Portable Executable [DLL инъекции]
https://codeby.net/threads/0x06-issleduem-portable-executable-dll-inekcii.65872/
#dll #dllinjection
https://codeby.net/threads/0x06-issleduem-portable-executable-dll-inekcii.65872/
#dll #dllinjection
DLL библиотеки – инструкция к метле
Ещё во-времена старушки дос стало очевидно, что некоторые программные модули лучше хранить не внутри исполняемого файла, а вынести их наружу и подгружать по мере необходимости. В то время такие "прицепы" называли оверлеями и с точки зрения экономии 1М-байтного адресного пространства это было разумно – одну большую программу кромсали на мелкие части, и эти части отрабатывали в памяти по очереди ...
Читать на кодебай: https://codeby.net/threads/dll-biblioteki-instrukcija-k-metle.70177/
#asm #dll #dllmain #marylin #библиотеки
Ещё во-времена старушки дос стало очевидно, что некоторые программные модули лучше хранить не внутри исполняемого файла, а вынести их наружу и подгружать по мере необходимости. В то время такие "прицепы" называли оверлеями и с точки зрения экономии 1М-байтного адресного пространства это было разумно – одну большую программу кромсали на мелкие части, и эти части отрабатывали в памяти по очереди ...
Читать на кодебай: https://codeby.net/threads/dll-biblioteki-instrukcija-k-metle.70177/
#asm #dll #dllmain #marylin #библиотеки
DLL Hijacking
Когда программа запускается, несколько DLL загружаются в область памяти ее процесса. Windows ищет библиотеки DLL, необходимые для процесса, просматривая системные папки в определенном порядке. Перехват порядка поиска может использоваться в сценариях «красных» для определения возможности повышения привилегий и сохранения.Плоскость атаки в отношении кражи DLL огромна и зависит от версии операционной системы и установленного программного обеспечения. Однако некоторые из наиболее заметных, которые можно использовать в Windows 7 и Windows 10, описаны в этой статье.
Читать: https://codeby.net/threads/dll-hijacking.72439/
#dll #hijacking
————————————————
Фриланс Кодебай — сервис поиска удаленной работы и размещения заказов
Когда программа запускается, несколько DLL загружаются в область памяти ее процесса. Windows ищет библиотеки DLL, необходимые для процесса, просматривая системные папки в определенном порядке. Перехват порядка поиска может использоваться в сценариях «красных» для определения возможности повышения привилегий и сохранения.Плоскость атаки в отношении кражи DLL огромна и зависит от версии операционной системы и установленного программного обеспечения. Однако некоторые из наиболее заметных, которые можно использовать в Windows 7 и Windows 10, описаны в этой статье.
Читать: https://codeby.net/threads/dll-hijacking.72439/
#dll #hijacking
————————————————
Фриланс Кодебай — сервис поиска удаленной работы и размещения заказов
Как создать dll библиотеку?
Перед вами стоит задача, нужно написать программу "Супер Блокнот" которая должна сохранить все функции стандартного блокнота, но при этом иметь ряд каких-то дополнительных функций, благодаря которым, при выборе программы для работы с текстом, пользователь будет отдавать предпочтение именно вашей программе. Для этого было решено добавить несколько новых функций, одна из них, будет отвечать за подсчет и вывод количества слов в тексте.
Читать: https://codeby.net/threads/kak-sozdat-dll-biblioteku.65655/
#dll #assembly
Перед вами стоит задача, нужно написать программу "Супер Блокнот" которая должна сохранить все функции стандартного блокнота, но при этом иметь ряд каких-то дополнительных функций, благодаря которым, при выборе программы для работы с текстом, пользователь будет отдавать предпочтение именно вашей программе. Для этого было решено добавить несколько новых функций, одна из них, будет отвечать за подсчет и вывод количества слов в тексте.
Читать: https://codeby.net/threads/kak-sozdat-dll-biblioteku.65655/
#dll #assembly
[0x07] Исследуем Portable EXEcutable [Пишем полноценный инфектор]
Доброго времени суток, форумчане! Эта статья является логическим продолжением сразу для двух статей - для статьи о DLL инъекциях и для статьи об инфицировании .exe файлов. Только задумайтесь, что будет, если смешать два этих способа? (Для полноценного понимания требуется изучение предыдущего материала, так как в нём приведены основы инфицирования, внедрения DLL и описание формата PE-файла)
Читать: https://codeby.net/threads/0x07-issleduem-portable-executable-pishem-polnocennyj-infektor.65888/
#pe #dll #malware
Доброго времени суток, форумчане! Эта статья является логическим продолжением сразу для двух статей - для статьи о DLL инъекциях и для статьи об инфицировании .exe файлов. Только задумайтесь, что будет, если смешать два этих способа? (Для полноценного понимания требуется изучение предыдущего материала, так как в нём приведены основы инфицирования, внедрения DLL и описание формата PE-файла)
Читать: https://codeby.net/threads/0x07-issleduem-portable-executable-pishem-polnocennyj-infektor.65888/
#pe #dll #malware
[0x06] Исследуем Portable Executable [DLL инъекции]
Салют, друзья! Мы с вами начинаем изучать DLL инъекции :). Не смотря на то, что эта техника уже много раз заезжена и всем известна, я всё же внесу свои 5 копеек, так как в будущих статьях мы будем частенько прибегать к этой технике и я просто не мог пропустить её.
Читать: https://codeby.net/threads/0x06-issleduem-portable-executable-dll-inekcii.65872/
#exe #pe #dll
Салют, друзья! Мы с вами начинаем изучать DLL инъекции :). Не смотря на то, что эта техника уже много раз заезжена и всем известна, я всё же внесу свои 5 копеек, так как в будущих статьях мы будем частенько прибегать к этой технике и я просто не мог пропустить её.
Читать: https://codeby.net/threads/0x06-issleduem-portable-executable-dll-inekcii.65872/
#exe #pe #dll
WinHook – легальный шпионаж
Порой логика инженеров Microsoft не выдерживает никакой критики. В священных войнах с хакерами они сами вручают им мандат на использование уязвимых функций, после чего отлавливают их-же с претензиями на взлом. Из большого числа подобных API на передний план буйком выплывает SetWindowsHookEx(), при помощи которой одним кликом мыши можно внедрить "творческую" свою DLL сразу во все активные процессы системы. В итоге, даже обычный юзверь может перехватить любые действия пользователя, вплоть до логирования клавиатурного ввода. И что особенно важно, ничего криминального в этом нет, поскольку мелкософт сама предлагает нам эту функцию, оформив ей прописку в библиотеке user32.dll. Чем они руководствовались остаётся для нас загадкой, но функция есть, а значит имеет смысл рассмотреть подробно её реализацию.
Читать: https://codeby.net/threads/winhook-legalnyj-shpionazh.76505/
#winhook #asm #dll
Порой логика инженеров Microsoft не выдерживает никакой критики. В священных войнах с хакерами они сами вручают им мандат на использование уязвимых функций, после чего отлавливают их-же с претензиями на взлом. Из большого числа подобных API на передний план буйком выплывает SetWindowsHookEx(), при помощи которой одним кликом мыши можно внедрить "творческую" свою DLL сразу во все активные процессы системы. В итоге, даже обычный юзверь может перехватить любые действия пользователя, вплоть до логирования клавиатурного ввода. И что особенно важно, ничего криминального в этом нет, поскольку мелкософт сама предлагает нам эту функцию, оформив ей прописку в библиотеке user32.dll. Чем они руководствовались остаётся для нас загадкой, но функция есть, а значит имеет смысл рассмотреть подробно её реализацию.
Читать: https://codeby.net/threads/winhook-legalnyj-shpionazh.76505/
#winhook #asm #dll
Пишем дизассемблер из библиотеки Dbgeng.dll
Одним из приоритетных направлений в разработке любого продукта является его отладка. Ведь мало написать удовлетворяющий требованиям исправно работающий код, так нужно ещё и протестить его в "токсических условиях", на предмет выявления всевозможных ошибок. Для этих целей, инженеры Microsoft включили в состав ОС полноценный механизм дебага в виде двух библиотек пользовательского режима: это Dbgeng.dll – основной движок отладки (Debug Engine), и Dbghelp.dll – вспомогательный процессор отладочных символов PDB (Program Database).
Читать: https://codeby.net/threads/pishem-dizassembler-iz-biblioteki-dbgeng-dll.76880/
#disassembler #windbg #dll
Одним из приоритетных направлений в разработке любого продукта является его отладка. Ведь мало написать удовлетворяющий требованиям исправно работающий код, так нужно ещё и протестить его в "токсических условиях", на предмет выявления всевозможных ошибок. Для этих целей, инженеры Microsoft включили в состав ОС полноценный механизм дебага в виде двух библиотек пользовательского режима: это Dbgeng.dll – основной движок отладки (Debug Engine), и Dbghelp.dll – вспомогательный процессор отладочных символов PDB (Program Database).
Читать: https://codeby.net/threads/pishem-dizassembler-iz-biblioteki-dbgeng-dll.76880/
#disassembler #windbg #dll
DLL Hijacking
Когда программа запускается, несколько DLL загружаются в область памяти ее процесса. Windows ищет библиотеки DLL, необходимые для процесса, просматривая системные папки в определенном порядке. Перехват порядка поиска может использоваться в сценариях «красных» для определения возможности повышения привилегий и сохранения.
Читать: https://codeby.net/threads/dll-hijacking.72439/
#dll #hijacking
Когда программа запускается, несколько DLL загружаются в область памяти ее процесса. Windows ищет библиотеки DLL, необходимые для процесса, просматривая системные папки в определенном порядке. Перехват порядка поиска может использоваться в сценариях «красных» для определения возможности повышения привилегий и сохранения.
Читать: https://codeby.net/threads/dll-hijacking.72439/
#dll #hijacking
Evildll и атака dll hijacking
Добрый день, Уважаемые Форумчане и Друзья. Сегодня рассмотрим с вами интересный инструмент, автором которого является Thelinuxchoice. Не менее интересен и способ атаки, для реализации которой и появился Evildll. Компания Microsoft регулярно пытается бороться с атаками Dll Hijacking. Здесь будет представлен один из способов такой атаки. Кратко: приложение exe при запуске подгружает вредоносный файл библиотеки dll. В итоге, создаются ярлыки cmd с powershell, либо их дубликаты с последующим их вызовом и reverse shell.
Читать: https://codeby.net/threads/evildll-i-ataka-dll-hijacking.73008/
#dll #pentest #hijacking
Добрый день, Уважаемые Форумчане и Друзья. Сегодня рассмотрим с вами интересный инструмент, автором которого является Thelinuxchoice. Не менее интересен и способ атаки, для реализации которой и появился Evildll. Компания Microsoft регулярно пытается бороться с атаками Dll Hijacking. Здесь будет представлен один из способов такой атаки. Кратко: приложение exe при запуске подгружает вредоносный файл библиотеки dll. В итоге, создаются ярлыки cmd с powershell, либо их дубликаты с последующим их вызовом и reverse shell.
Читать: https://codeby.net/threads/evildll-i-ataka-dll-hijacking.73008/
#dll #pentest #hijacking
DLL библиотеки – инструкция к метле
Ещё во-времена старушки DOS стало очевидно, что некоторые программные модули лучше хранить не внутри исполняемого файла, а вынести их наружу и подгружать по мере необходимости.
📌 Читать статью: https://codeby.net/threads/dll-biblioteki-instrukcija-k-metle.70177/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#asm #dll
Ещё во-времена старушки DOS стало очевидно, что некоторые программные модули лучше хранить не внутри исполняемого файла, а вынести их наружу и подгружать по мере необходимости.
📌 Читать статью: https://codeby.net/threads/dll-biblioteki-instrukcija-k-metle.70177/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#asm #dll
Пишем дизассемблер из библиотеки Dbgeng.dll
Одним из приоритетных направлений в разработке любого продукта является его отладка. Ведь мало написать удовлетворяющий требованиям исправно работающий код, так нужно ещё и протестить его в "токсических условиях", на предмет выявления всевозможных ошибок.
📌 Читать статью: https://codeby.net/threads/pishem-dizassembler-iz-biblioteki-dbgeng-dll.76880/
📝 Школа Кодебай |🍿 YouTube |🌀 ВКонтакте
#asm #dll
Одним из приоритетных направлений в разработке любого продукта является его отладка. Ведь мало написать удовлетворяющий требованиям исправно работающий код, так нужно ещё и протестить его в "токсических условиях", на предмет выявления всевозможных ошибок.
📌 Читать статью: https://codeby.net/threads/pishem-dizassembler-iz-biblioteki-dbgeng-dll.76880/
📝 Школа Кодебай |🍿 YouTube |🌀 ВКонтакте
#asm #dll
👍10🔥1
DLL Hijacking
Когда программа запускается, несколько DLL загружаются в область памяти ее процесса. Windows ищет библиотеки DLL, необходимые для процесса, просматривая системные папки в определенном порядке. Перехват порядка поиска может использоваться в сценариях «красных» для определения возможности повышения привилегий и сохранения. Кроме того, в отчетах показаны распространенные вредоносные программы, которые пытаются маскироваться под DLL, отсутствуя в процессе Windows, чтобы выполнить произвольный код и остаться скрытыми. Плоскость атаки в отношении кражи DLL огромна и зависит от версии операционной системы и установленного программного обеспечения. Однако некоторые из наиболее заметных, которые можно использовать в Windows 7 и Windows 10, описаны в этой статье.
📌 Читать далее
#dll #hijacking
Когда программа запускается, несколько DLL загружаются в область памяти ее процесса. Windows ищет библиотеки DLL, необходимые для процесса, просматривая системные папки в определенном порядке. Перехват порядка поиска может использоваться в сценариях «красных» для определения возможности повышения привилегий и сохранения. Кроме того, в отчетах показаны распространенные вредоносные программы, которые пытаются маскироваться под DLL, отсутствуя в процессе Windows, чтобы выполнить произвольный код и остаться скрытыми. Плоскость атаки в отношении кражи DLL огромна и зависит от версии операционной системы и установленного программного обеспечения. Однако некоторые из наиболее заметных, которые можно использовать в Windows 7 и Windows 10, описаны в этой статье.
📌 Читать далее
#dll #hijacking
👍4
DLL библиотеки – инструкция к метле
Ещё во-времена старушки дос стало очевидно, что некоторые программные модули лучше хранить не внутри исполняемого файла, а вынести их наружу и подгружать по мере необходимости. В то время такие "прицепы" называли оверлеями и с точки зрения экономии 1М-байтного адресного пространства это было разумно – одну большую программу кромсали на мелкие части, и эти части отрабатывали в памяти по очереди. Подобная техника докатилась и до наших дней, только теперь это динамически подгружаемые DLL. По сути, нет смысла копать данную тему в очередной раз – всё давно расписано, поэтому добавим экшена и сделаем ставку на нестандартное их применение. Как показывает практика, фишка с защитой программ на основе статически прилинкованных DLL пользуется спросом среди коммерческого софта, значит пора сорвать с неё вуаль и познакомиться поближе.
📌 Читать далее
#asm #dll
Ещё во-времена старушки дос стало очевидно, что некоторые программные модули лучше хранить не внутри исполняемого файла, а вынести их наружу и подгружать по мере необходимости. В то время такие "прицепы" называли оверлеями и с точки зрения экономии 1М-байтного адресного пространства это было разумно – одну большую программу кромсали на мелкие части, и эти части отрабатывали в памяти по очереди. Подобная техника докатилась и до наших дней, только теперь это динамически подгружаемые DLL. По сути, нет смысла копать данную тему в очередной раз – всё давно расписано, поэтому добавим экшена и сделаем ставку на нестандартное их применение. Как показывает практика, фишка с защитой программ на основе статически прилинкованных DLL пользуется спросом среди коммерческого софта, значит пора сорвать с неё вуаль и познакомиться поближе.
📌 Читать далее
#asm #dll
👍5🔥3
Windows Shellcoding x86 – поиск Kernel32.dll – часть 1
Доброго времени суток, Codeby. Для человека, который изучал Linux Shellcoding, а потом начал работать в Windows, поверьте мне, это будет намного сложнее, чем вы себе можете это представить. Ядро Windows полностью отличается от ядра Linux. Как уже говорилось, ядро Linux намного легче в понимании, чем ядро Windows, потому что оно имеет открытый исходный код и у него намного меньше свойств по сравнению с ядром Windows. С другой стороны, у Windows было столько вправок и переделывании за последние годы, в результате чего многое изменилось. Мы сконцентрируемся только на Windows 10 x86, хотя более ранние версии не намного отличаются. Есть огромное количество блогов по PEB LDR, но нет ни одного, который бы логически объяснял его важность. Многие люди просто вскользь упоминают windbg и думают, что вы моментально поймете выходной буфер. Основная причина, почему я решил написать этот блог, это пройти от С до ASM и понять, как это работает в бэкенде, когда Shellcoding в ASM x86.
📌 Читать далее
#asm #dll #shell
Доброго времени суток, Codeby. Для человека, который изучал Linux Shellcoding, а потом начал работать в Windows, поверьте мне, это будет намного сложнее, чем вы себе можете это представить. Ядро Windows полностью отличается от ядра Linux. Как уже говорилось, ядро Linux намного легче в понимании, чем ядро Windows, потому что оно имеет открытый исходный код и у него намного меньше свойств по сравнению с ядром Windows. С другой стороны, у Windows было столько вправок и переделывании за последние годы, в результате чего многое изменилось. Мы сконцентрируемся только на Windows 10 x86, хотя более ранние версии не намного отличаются. Есть огромное количество блогов по PEB LDR, но нет ни одного, который бы логически объяснял его важность. Многие люди просто вскользь упоминают windbg и думают, что вы моментально поймете выходной буфер. Основная причина, почему я решил написать этот блог, это пройти от С до ASM и понять, как это работает в бэкенде, когда Shellcoding в ASM x86.
📌 Читать далее
#asm #dll #shell
👍16🔥1
Evildll и атака dll hijacking
Добрый день, Уважаемые Форумчане и Друзья. Сегодня рассмотрим с вами интересный инструмент, автором которого является Thelinuxchoice. Не менее интересен и способ атаки, для реализации которой и появился Evildll.
📌 Читать далее
#pentest #hijacking #dll
Добрый день, Уважаемые Форумчане и Друзья. Сегодня рассмотрим с вами интересный инструмент, автором которого является Thelinuxchoice. Не менее интересен и способ атаки, для реализации которой и появился Evildll.
📌 Читать далее
#pentest #hijacking #dll
👍10🔥5
Evildll и атака dll hijacking
Добрый день, Уважаемые Форумчане и Друзья. Сегодня рассмотрим с вами интересный инструмент, автором которого является Thelinuxchoice. Не менее интересен и способ атаки, для реализации которой и появился Evildll.
📌 Читать далее
#pentest #hijacking #dll
Добрый день, Уважаемые Форумчане и Друзья. Сегодня рассмотрим с вами интересный инструмент, автором которого является Thelinuxchoice. Не менее интересен и способ атаки, для реализации которой и появился Evildll.
📌 Читать далее
#pentest #hijacking #dll
🔥12👍7❤3
Windows Shellcoding x86 – поиск Kernel32.dll – часть 1
Доброго времени суток, Codeby. Для человека, который изучал Linux Shellcoding, а потом начал работать в Windows, поверьте мне, это будет намного сложнее, чем вы себе можете это представить. Ядро Windows полностью отличается от ядра Linux. Как уже говорилось, ядро Linux намного легче в понимании, чем ядро Windows, потому что оно имеет открытый исходный код и у него намного меньше свойств по сравнению с ядром Windows. С другой стороны, у Windows было столько вправок и переделывании за последние годы, в результате чего многое изменилось.
📌 Читать далее
#asm #dll #shell
Доброго времени суток, Codeby. Для человека, который изучал Linux Shellcoding, а потом начал работать в Windows, поверьте мне, это будет намного сложнее, чем вы себе можете это представить. Ядро Windows полностью отличается от ядра Linux. Как уже говорилось, ядро Linux намного легче в понимании, чем ядро Windows, потому что оно имеет открытый исходный код и у него намного меньше свойств по сравнению с ядром Windows. С другой стороны, у Windows было столько вправок и переделывании за последние годы, в результате чего многое изменилось.
📌 Читать далее
#asm #dll #shell
🔥13👍5👎2