🤔 Как отлаживать сложный код без исходников?

Или даже так: «Как работать с закрытыми исходниками, как если бы у нас был доступ к исходному коду?».

Это достигается за счет использования инструментов декомпиляции, которые преобразуют скомпилированный код обратно в псевдокод.

В статье подробно рассматривается, как инструмент Ghidra Debugger интегрируется с Ghidra Code Browser, позволяя шаг за шагом пройти через псевдокод программы, которую вы отлаживаете.

Это позволяет лучше понять и анализировать поведение закрытых приложений, упрощая процесс отладки.

#reverse #tools

🧰 Process Memory Map: анонс инструмента для реверса, позволяющего отображать карты памяти процесса

📌 Отображает следующие данные:

• кучи процесса;
• данные по нитям, как то: стек, TEB, SEH фреймы и CallStack;
• информация по подгруженным PE файлам с разбивкой на секции, точки входа в каждый загруженный образ, их структуры;
• данные из PEB;
• данные из KUSER_SHARED_DATA;
• встроенный x86/x64 дизассемблер (на базе DiStorm).

📌 Предоставляет возможность:

• анализа памяти на предмет установленных перехватчиков в таблицах импорта/экспорта/отложенного импорта;
• анализа установленных перехватчиков в экспортируемых функциях, точках входа и TLS калбэках;
• анализа блоков памяти на основе их контрольных сумм (например отображение изменений во взломанном ПО);
• поиска в памяти процесса.

📌 Из дополнительных возможностей:

• выводит список экспортируемых функций;
• поддерживает отладочные MAP файлы. (влияет на список распознанных функций и выхлоп дизассемблера);
• отображает изменения в выделенных блоках памяти (alloc/realloc/free);
• быстрая подсказка по известным блокам памяти.

👉 Читать

#reverse #tools

🧰Расширенная шпаргалка по шорткатам IDA Pro: на заметку начинающему реверсёру

👉 Источник

#cheatsheet #reverse

🤦‍♂️🔐 1 февраля этого года компания Ivanti объявила о закрытии серьезных уязвимостей в своих продуктах Ivanti Connect Secure и Ivanti Policy Secure. Эти уязвимости, обнаруженные в декабре 2023 года, уже активно эксплуатировались злоумышленниками, представляя значительную угрозу для VPN-серверов. Сложности с разработкой патча привели к тому, что CISA потребовало отключить уязвимые решения за день до выпуска обновлений. Это уже второй серьезный инцидент с продуктами Ivanti, предыдущий произошел в августе 2023 года.

Команда Volexity обнаружила две уязвимости (CVE-2023-46805 и CVE-2024-21887) в VPN-сервере, позволяющие обходить аутентификацию и выполнять произвольные команды. После публикации информации об уязвимостях количество атак значительно увеличилось. Ivanti предложила временные решения, но некоторые из них были обойдены атакующими. В конечном итоге, для полной защиты требовалась переустановка ПО с нуля и установка патча.

Естественно, команду Assetnote эти уязвимости заинтересовали. Их исследования, реверс прошивки и многое другое — под катом:

⚡️High Signal Detection and Exploitation of Ivanti's Pulse Connect Secure Auth Bypass RCE
⚡️Ivanti's Pulse Connect Secure Auth Bypass Round Two

#pentest #reverse #CVE

😎 Indetectables Toolkit — набор инструментов (98 шт.), который охватывает все, что может понадобиться для реверса, анализа малвари и взлома приложений.

👉 GitHub

#tools #reverse #malware