Reverse Dungeon – Telegram

Reverse Dungeon

@reverse_dungeon

4.39K subscribers

733 photos

59 videos

987 files

2.28K links

Reverser's notes
The Mentor
1989

Download Telegram

About

Blog

Apps

Platform

Reverse Dungeon

4.39K subscribers

Reverse Dungeon

https://istroev.me/Server-side-template-injection-python/

249 views08:42

Reverse Dungeon

https://deusx64.ai/

Deus x64 | RET2 Systems

Deus x64 is an upcoming computer security and binary exploitation wargame by RET2 Systems

293 views17:52

Reverse Dungeon

Reverse Dungeon

#include <Windows.h> typedef int(WINAPI* ShellAboutProc)(HWND, LPCSTR, LPCSTR, HICON); typedef int(WINAPI* MessageBoxProc)(HWND, LPCSTR, LPCSTR, UINT); int main() { HMODULE hModule1 = LoadLibrary(TEXT("Shell32.dll")); HMODULE hModule2 = LoadLibrary(…

Возвращаясь к этой штуке

Сегодня посидев и поресёрчив (я там принимал не очень большое значение), итог такой:

Если библиотека грузит ещё библиотеки, они подгружаются в статическом варианте, это не то динамическое / статическое, что при линковке
Тут это просто свойство загруженного модуля
Так вот, в таком случае FreeLibrary не будет работать на выгрузку, даже если вы выгрузите все депенденси всех либ

Соответственно, возвращаясь к опыту
Если мы подгрузили динамически дллку, но ещё одна дллка подгрузила её же в своих зависимостях, загрузчик поставит ей флаг статики (перетрёт флаг динамики) и выгрузить её будет нельзя (не смотря на то, что вроде как мы её динамически руками загружали)

По этому поводу есть единственная статейка чела, которая так и называется "FreeLibrary will not unload your dll" и 2-3 коммента на форуме

https://rstforums.com/forum/topic/110743-make-your-dynamic-module-unfreeable-anti-freelibrary/

https://chat.stackoverflow.com/transcript/138448/2017/3/19/11-12

Romanian Security Team

Make Your Dynamic Module Unfreeable (Anti-FreeLibrary)

Make Your Dynamic Module Unfreeable (Anti-FreeLibrary) 1 minute read Let’s say your product injects a module into a target process, if the target process knows the existence of your module it can call FreeLibrary function to unload your module (assume that…

261 viewsedited 19:52

Reverse Dungeon

Forwarded from Zer0Day Lab

Please open Telegram to view this post

VIEW IN TELEGRAM

13:29

Reverse Dungeon

Forwarded from Zer0Day Lab

Please open Telegram to view this post

VIEW IN TELEGRAM

13:30

Reverse Dungeon

Forwarded from Zer0Day Lab

Please open Telegram to view this post

VIEW IN TELEGRAM

13:30

Reverse Dungeon

Forwarded from Zer0Day Lab

Please open Telegram to view this post

VIEW IN TELEGRAM

17:01

Reverse Dungeon

Forwarded from Zer0Day Lab

Please open Telegram to view this post

VIEW IN TELEGRAM

17:01

Reverse Dungeon

Useful API's

https://livrosdeamor.com.br/documents/winapis-for-hackers-5c8c74d09ad3a

livrosdeamor.com.br

Winapis For Hackers - ID:5c8c74d09ad3a

Winapis For Hackers - ID:5c8c74d09ad3a. Networking APIs WSAStartup socket bind listen accept connect recv send InternetOpen InternetOpenUrl InternetReadFile Cre...

281 views21:57

Reverse Dungeon

Simple example of automatic loading dll's with processes which load user32.dll

dll part of the project:

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        MessageBoxA(NULL, (LPCSTR)"hello", (LPCSTR)"world", MB_OK);
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

cpp part of the project:

#include <iostream>
#include <Windows.h>

int main() {
  HMODULE hModule = LoadLibrary(TEXT("TestDLL.dll"));

  std::cout << "aaa";
  return 0;
}

Put the dll into

C:\Windows\System32

or

C:\Windows\SysWOW64

Use the dll name in Registry

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]

Registry key if OS is 32-bit

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]

Registry key if OS is 64-bit.

Set registry key LoadAppInit_DLLs to 1

216 viewsedited 00:23

Reverse Dungeon

Some simple ways for autoexec your dll's / exe's (persistence)
https://pentestlab.blog/2020/01/14/persistence-winlogon-helper-dll/

Penetration Testing Lab

Persistence – Winlogon Helper DLL

Winlogon is a Windows component which handles various activities such as the Logon, Logoff, loading user profile during authentication, shutdown, lock screen etc. This kind of behavior is managed b…

204 views01:05

Reverse Dungeon

https://brainly.vercel.app/post/delphi-decompiler/

196 views13:32

Reverse Dungeon

Forwarded from Security Notes

#bayan #reverse #kb

https://habr.com/ru/company/dsec/blog/334832/

Избранное: ссылки по reverse engineering

Всем привет! Сегодня мы хотели бы поделиться своим списком материалов по тематике reverse engineering (RE). Перечень этот очень обширный, ведь наш исследовательский отдел в первую очередь занимается...

198 views19:48

Reverse Dungeon

Forwarded from Nullzur

https://ihatefeds.com/

2.75K views00:16

Reverse Dungeon

RobustStaticAnalysisofPEMalware.pdf

Robust Static Analysis of Portable Executable Malware

241 viewsedited 11:46

Reverse Dungeon

https://developer.ibm.com/articles/pa-dalign/

Data alignment: Straighten up and fly right

Data alignment is an important issue for all programmers who directly use memory. Data alignment affects how well your software performs, and even if your software runs at all. As this article illustrates, understanding the nature of alignment can also explain…

228 views10:02

Reverse Dungeon

https://stackoverflow.com/a/381368

Purpose of memory alignment

Admittedly I don't get it. Say you have a memory with a memory word of length of 1 byte. Why can't you access a 4 byte long variable in a single memory access on an unaligned address(i.e. not divis...

270 views10:02

Reverse Dungeon

Vectorization in gcc

http://gcc.gnu.org/projects/tree-ssa/vectorization.html

292 viewsedited 10:08

Reverse Dungeon

Forwarded from DataLeak 🇺🇦

https://drive.google.com/drive/folders/1fBZb8BcqDOioKja_m8Igs_RhrPGteJt4

Udemy | Windows Privilege Escalation

@road_oscp

224 views11:09

Reverse Dungeon

Создал гит для примеров WinAPI'х, чтобы не хранить каждый пример в сообщениях
Created git repo for WinAPI examples, so that I'd not keep each example in messages

https://github.com/TrueBad0ur/WinAPI_examples

GitHub - TrueBad0ur/WinAPI_examples: Simple examples of WinAPI functions

Simple examples of WinAPI functions. Contribute to TrueBad0ur/WinAPI_examples development by creating an account on GitHub.

280 views03:18

Reverse Dungeon

Forwarded from Malware Corporation

Как анализировать вредоносное ПО с помощью x64dbg

https://habr.com/ru/post/580980/?utm_campaign=580980&utm_source=habrahabr&utm_medium=rss

Как анализировать вредоносное ПО с помощью x64dbg

Это четвертая и заключительная статья в серии публикаций, посвященных x64dbg. В этой статье мы воспользуемся полученными знаниями, чтобы продемонстрировать некоторые методы, которые можно использовать...

227 views12:00