Вчера в самый канун НГ зарелизилось очередное обновление горячо мной почитаемого инструмента IDA Pro до версии 5.6. Не буду перечислять здесь всех улучшений, так как здесь есть полная версия фича листа.
Фичи нового релиза, которые мне показались полезными для моих проектов:
- Scriptable loaders - теперь появилась возможности реализовывать модули загрузчиков не только в виде DLL на плюсах, но и ввиде скриптов на Python. Полезность этой фичи в значительном уменьшении трудозатрат и времени на разработку собственных загрузчиков
- Значительно увеличина скорость работы загрузчика crash dump'ов для винды
- Появилась вменяемая поддержка отладки х64 приложений для Mac OS X
- Appcall - фича удобная для фазинга входных параметров вызываемых функций
- Добавлена полная поддержка CLI 2.0 иснтукций для .NET приложений, ну что сказать давно пара уже было ее добавить
- Улучшен разбор формата исполняемых файлов MACHO с использованием dylibs
четверг, 31 декабря 2009 г.
вторник, 29 декабря 2009 г.
О полезности x86emu
Решил написать об одном довольно интересном и полезном плагине для IDA, о котором почему-то не так много народу знает и еще меньше использует.
Разработчиком этого плагина, вот уже более пяти лет (разрабатывается с 2003 года), является Chris Eagle. Небезызвестный автор уникальной в своем роде книге The IDA PRO Book. На самом деле попыток реализовать эмуль в виде плагина для IDA было довольно много и даже некоторые из них были довольно удачными, но все они постепенно канули в лету. Причин для этого было много не удачная реализация и лень чего-то менять в ней, закрытые исходники и игнорирование автором просьб общественности о добавление полезного функционала и т.п.
Итак что же умеет x86emu (стандартные вещи опущу пожалуй):
- есть поддержка floating point operations
- поддержка MMX
- поддержка SSE
- парсит PE import tables
- показывает структуру PEB/TEB
- понимает SEH
- понимает специфику формата ELF (правда пока еще не все реализовано)
- эмуляция вызова некоторых WinAPI-функций
Помимо эмуляции x86-инструкций x86emu умеет эмулировать вызов довольно большого количества WinAPI-функций: список всех эмулируемых WinAPI-функций.
Этот плагин распространяется в исходных кодах, что само по себе очень ценно. Так же в стандартной поставке есть скомпилированный вариант x86emu.plw для версии IDA Pro 4.9 (freeware version). Есть некоторые нюансы при сборке плагина для новых версий IDA, поэтому я залил сюда свою сборку для IDA v5.5.
Домашняя страница проекта
Репозиторий на SourceForge
Разработчиком этого плагина, вот уже более пяти лет (разрабатывается с 2003 года), является Chris Eagle. Небезызвестный автор уникальной в своем роде книге The IDA PRO Book. На самом деле попыток реализовать эмуль в виде плагина для IDA было довольно много и даже некоторые из них были довольно удачными, но все они постепенно канули в лету. Причин для этого было много не удачная реализация и лень чего-то менять в ней, закрытые исходники и игнорирование автором просьб общественности о добавление полезного функционала и т.п.
Итак что же умеет x86emu (стандартные вещи опущу пожалуй):
- есть поддержка floating point operations
- поддержка MMX
- поддержка SSE
- парсит PE import tables
- показывает структуру PEB/TEB
- понимает SEH
- понимает специфику формата ELF (правда пока еще не все реализовано)
- эмуляция вызова некоторых WinAPI-функций
Помимо эмуляции x86-инструкций x86emu умеет эмулировать вызов довольно большого количества WinAPI-функций: список всех эмулируемых WinAPI-функций.
Этот плагин распространяется в исходных кодах, что само по себе очень ценно. Так же в стандартной поставке есть скомпилированный вариант x86emu.plw для версии IDA Pro 4.9 (freeware version). Есть некоторые нюансы при сборке плагина для новых версий IDA, поэтому я залил сюда свою сборку для IDA v5.5.
Домашняя страница проекта
Репозиторий на SourceForge
четверг, 24 декабря 2009 г.
Фича Exploit Ranking в новом Metasplot v3.3.3
Забавную фичу сделали в номом Metasplot v3.3.3 добавили фичу со странным названием Exploit Ranking, вроде как она должна помочь определиться какой сплойт вы хотите использовать.
Есть семь типов ранжирования:
ManualRanking
LowRanking
AverageRanking
NormalRanking
GoodRanking
GreatRanking
ExcellentRanking
Что в итоге из этого получится пока мне непонятно. Подробнее об этом можно почитать у авторов сего творения.
Есть семь типов ранжирования:
ManualRanking
LowRanking
AverageRanking
NormalRanking
GoodRanking
GreatRanking
ExcellentRanking
Что в итоге из этого получится пока мне непонятно. Подробнее об этом можно почитать у авторов сего творения.
вторник, 15 декабря 2009 г.
CVE-2009-4324 или очередной 0-day для Adobe
Уязвимость заключается в некорректной обработке JS метода Doc.media.newPlayer(), специально приготовленный pdf-файл может привести к выполнению произвольного кода. Подробно с кодом эксплойта можно ознакомится тут http://metasploit.com/svn/framework3/trunk/modules/exploits/windows/fileformat/adobe_media_newplayer.rb
https://www.virustotal.com/ru/analisis/503d5f7cada2c2df7497dce0765e108863cd07a986b0c3ccc23c4a3a6150115b-1260897605
Сэмпл pdf со сплойтом можно найти здесь.
После успешной атаки происходит загрузка различных вредоносных модулей с адреса foruminspace.com/documents/dprk/ab.exe, конкретно этот модуль ищет в памяти небезизвестные имена процессов.
Детектов пока почему то мало: https://www.virustotal.com/analisis/d6afb2a2e7f2afe6ca150c1fade0ea87d9b18a8e77edd7784986df55a93db985-1260858538
https://www.virustotal.com/ru/analisis/503d5f7cada2c2df7497dce0765e108863cd07a986b0c3ccc23c4a3a6150115b-1260897605
Сэмпл pdf со сплойтом можно найти здесь.
После успешной атаки происходит загрузка различных вредоносных модулей с адреса foruminspace.com/documents/dprk/ab.exe, конкретно этот модуль ищет в памяти небезизвестные имена процессов.
Детектов пока почему то мало: https://www.virustotal.com/analisis/d6afb2a2e7f2afe6ca150c1fade0ea87d9b18a8e77edd7784986df55a93db985-1260858538
воскресенье, 6 декабря 2009 г.
Gray Hat Python: Python Programming for Hackers and Reverse Engineer
Довольно интересная книжка затрагивающая широкий круг задач, связанных с автоматизацией обратного анализа на Python. Как минус многие темы рассматриваются вскользь и практически не раскрыты, но книжка все же полезная, так как по темам, которые она затрагивает не так много стоящей литературы.
Justin Seitz "Gray Hat Python: Python Programming for Hackers and Reverse Engineers"
No Starch Press | English | 2009-04-01 | ISBN: 1593271921 | 232 pages | PDF | 2,5 MB
http://www.megaupload.com/?d=5DMR8C0R
Justin Seitz "Gray Hat Python: Python Programming for Hackers and Reverse Engineers"
No Starch Press | English | 2009-04-01 | ISBN: 1593271921 | 232 pages | PDF | 2,5 MB
http://www.megaupload.com/?d=5DMR8C0R
Подписаться на:
Сообщения (Atom)