https://n10h0ggr.github.io/posts/IAT-Hiding/ è molto alla bella e la buona come molti blog un po' cosi di malware/re, cmq ti direi che è interessante se si vuole fare edr hiding
N10h0ggr
IAT Hiding & Obfuscation
The Import Address Table (IAT) holds crucial data about a PE file, including the functions utilized and the DLLs that export them. Such data is pivotal for signature-based detection of binaries. In this post, we’ll delve into various techniques for obscuring…
ok tra poco torna mirmir, quindi qui posto un po' i thread che ho trovato su oldnewthing per ora riguardante il tema di loader e di DLL, magari a qualcuno possono risultare utili
queste risorse riguardano generalmente come WIndows 16/32 leggono gli import ed export, come mai sono state fatte certe scelte e cosi via
Cosa molto stupida (scontata per chi ha fatto un po' di DLL) riguardante __dllexport
- https://devblogs.microsoft.com/oldnewthing/20040112-00/?p=41083
Perchè ci sono cosi tante calling convention???
- https://devblogs.microsoft.com/oldnewthing/20040102-00/?p=41213
- https://devblogs.microsoft.com/oldnewthing/20040107-00/?p=41183
- https://devblogs.microsoft.com/oldnewthing/20040108-00/?p=41163
- https://devblogs.microsoft.com/oldnewthing/20040108-00/?p=41163
- https://devblogs.microsoft.com/oldnewthing/20040113-00/?p=41073
- https://devblogs.microsoft.com/oldnewthing/20040114-00/?p=41053
Index riguardante DLL import e DLL export:
- https://devblogs.microsoft.com/oldnewthing/20060727-04/?p=30333
Comando per controllare i linkermember:
- https://www.geoffchappell.com/studies/msvc/link/dump/options/linkermember.htm
Ottimizzazioni di come Windows carica una DLL:
- https://devblogs.microsoft.com/oldnewthing/20100317-00/?p=14573
- https://devblogs.microsoft.com/oldnewthing/20100318-00/?p=14563
- https://devblogs.microsoft.com/oldnewthing/20231129-00/?p=109077
- https://devblogs.microsoft.com/oldnewthing/20231130-00/?p=109084
queste risorse riguardano generalmente come WIndows 16/32 leggono gli import ed export, come mai sono state fatte certe scelte e cosi via
Cosa molto stupida (scontata per chi ha fatto un po' di DLL) riguardante __dllexport
- https://devblogs.microsoft.com/oldnewthing/20040112-00/?p=41083
Perchè ci sono cosi tante calling convention???
- https://devblogs.microsoft.com/oldnewthing/20040102-00/?p=41213
- https://devblogs.microsoft.com/oldnewthing/20040107-00/?p=41183
- https://devblogs.microsoft.com/oldnewthing/20040108-00/?p=41163
- https://devblogs.microsoft.com/oldnewthing/20040108-00/?p=41163
- https://devblogs.microsoft.com/oldnewthing/20040113-00/?p=41073
- https://devblogs.microsoft.com/oldnewthing/20040114-00/?p=41053
Index riguardante DLL import e DLL export:
- https://devblogs.microsoft.com/oldnewthing/20060727-04/?p=30333
Comando per controllare i linkermember:
- https://www.geoffchappell.com/studies/msvc/link/dump/options/linkermember.htm
Ottimizzazioni di come Windows carica una DLL:
- https://devblogs.microsoft.com/oldnewthing/20100317-00/?p=14573
- https://devblogs.microsoft.com/oldnewthing/20100318-00/?p=14563
- https://devblogs.microsoft.com/oldnewthing/20231129-00/?p=109077
- https://devblogs.microsoft.com/oldnewthing/20231130-00/?p=109084
Diciamo che gli ordinal sono un legacy usato quasi solo per ottimizzare
TIL per mangiare devo per forza fare 6 ore di shift da engel al giorno (non li ho fatti)
La pizzeria di Christian
ok tra poco torna mirmir, quindi qui posto un po' i thread che ho trovato su oldnewthing per ora riguardante il tema di loader e di DLL, magari a qualcuno possono risultare utili queste risorse riguardano generalmente come WIndows 16/32 leggono gli import…
NON MI RICORDO PIU NIENTE DI QUELLO CHE STAVO FACENDO
😭4👍1
if hasattr(obj_inst, "__doc__"): # documentation of the class
ir.documentation = getattr(obj_inst, "__doc__")
if ir.documentation is None: # BUGFIX: Python 3.12 always defines __doc__ even when it's not defined
ir.documentation = ""
Peak python design
🤯1