ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online

More documents

Recommendations

Info

pc_zone Крис Касперски Новые приключения Olly’ки Обзор неофициальных сборок отладчика OllyDbg OllyDbg стал стандартным user-land отладчиком, взятым на вооружение хакерами. И они тут же захотели его улучшить. Появилось множество нестандартных сборок: одни фиксят ошибки Ольги, другие расширяют функционал, третьи — скрывают ее от протекторов. Количество модов перевалило за три десятка и, чтобы помочь разобраться в этом многообразии, Крис предлагает неформальный обзор.. Откуда берутся модификации Отладчик Olly Debugger представляет собой закрытый программный продукт, распространяемый бесплатно, но без исходных текстов и права модификации двоичных файлов. Однако возможность подключения плагинов, использования скриптов и ухищрения умельцев, которые, несмотря на запреты, все-таки дизассемблируют и модифицируют код любимого отладчика, привели к появлению огромного числа модифицикаций. На официальном сайте www.ollydbg.de в настоящий момент доступна для скачивания устаревшая версия 1.08b, самая популярная — 1.10 и недоделанная 2.xx alpha, находящая в активной разработке. Последняя версия серьезно уступает по функционалу предыдущей, зато ее «движок» полностью переписан, что в перспективе сулит богатые возможности. Подавляющее большинство модов базируются именно на 1.10 версии. Некоторые (очень немногие) — на 1.08 и еще меньше — на 2.xx. В самом деле, какой смысл править бинарный файл, если с выходом очередной альфы (а выходят они чуть ли не каждую неделю), процесс создания мода необходимо начинать заново — переносить изменения из одной версии в другую приходится вручную, автоматика отдыхает. Эх, вот были бы исходные тексты… Но, увы! Их нет и, по всей видимости, не будет. Плагины и скрипты, написанные для 1.10, исправно работают в большинстве модов, однако без каких бы то ни было гарантий, особенно если создатели мода захачили его не по-детски. Хотя в таких случаях они, как правило, тестируют популярные плагины на совместимость, при необходимости внося изменения и закидывая пофиксенный плагин в дистрибутив, распространяемый вместе с модом. А вот при выходе следующей версии мода в дистрибутиве обычно оказывается лишь сам исполняемый файл. Подобный дистрибутив имеет подозрительно малый размер (метр и менее). Поэтому процедура установки выглядит так: находим базовую версию мода (занимающую самый большой размер), качаем, распаковываем архив, ставим. Находим самую последнюю версию, распаковываем в тот же самый каталог. И наслаждаемся. Иногда, правда, приходится скачивать все промежуточные версии, поскольку в них исправлены те или иные файлы. Количество одновременно используемых модов ничем не ограничено, просто ставим их в разные каталоги и все. Исключение составляют Just-In- Time-отладчики, вызываемые системой при крахе приложения. JIT-отладчик может быть только один и тут уже приходится выбирать, какой из модов 024 xàêåð 06 /114/ 08
pc_zone Большая коллекция неофициальных модов Ольги на team-x.ru/guru-exe/ Immunity Debugger — популярный Ольгин мод с поддержкой Питона (или оригинальную Ольгу) назначать на эту должность. Каталог с плагинами (за исключением тех, что «заточены» под конкретный мод) также может быть единым для всех модов — экономия дискового пространства налицо! Где искать моды Хороший вопрос… Обычно они выкладываются на файлообменники типа Рапиды, а на хакерские форумы забрасываются ссылки, действующие в течение некоторого времени, а затем тихо кончающиеся по причине удаления файла. Как говорится: кто не успел — тот опоздал, и тогда приходится искать моды на сайтах, посвященных информационной безопасности. Например, довольно внушительная коллекция находится на сервере: http://team-x.ru/guru-exe/index.phppath=Tools%2FDebuggers% 2FOllyDbg/. Поскольку создатели модов обычно не утруждают себя описаниями, что же именно было модифицировано и чем мод отличается от оригинальной Ольги, приходится качать много всякого барахла, оставляя на компьютере, в среднем, один мод из десяти. Чтобы тебе не пришлось повторять эту операцию, мыщъх решил описать самые крутые моды, которые использует и рекомендует. Immunity Debugger Известный мод одноименной фирмы, специализирующейся на безопасности и скрестившей Ольгу 1.10 с Питоном — интерпретируемым языком, на котором очень легко и быстро писать скрипты. Конечно, писать их можно прямо в Ольге, но это не слишком удобно, все приходится делать вручную и решать типовые задачи (типа поиска в памяти), которые уже давно решены. В Immunity Debugger входит множество библиотек, написанных на Python и заточенных под хакерские нужды. Библиотеки вызываются из Питоновых программ, среди которых значится и searchcrypt.py — отличное средство идентификации следующих криптографических алгоритмов: AES, BLOWFISH, CAMELLIA, CAST, MD5, RC2, RC5, RIPEMD160, SHA1, SHA256, SHA512. Immunity Debugger используют многие специалисты по безопасности, выкладывающие proof-of-concept expolit’ы, написанные на Питоне и предназначенные для работы исключительно в среде данного отладчика. И хотя хакер с головой разберется в алгоритме работы exploit’а и без Immunity Debugger’а, портируя exploit на любой другой язык, рано или поздно отладчик оказывается на компьютере, зачастую становясь основным инструментом, вытесняющим Ольгу. Скачать его (после предварительной регистрации) можно прямо с официального сайта: www.immunitysec.com/products-immdbg.shtml. YDbg Популярный и очень мощный мод, основанный на Ольге 1.10 и собравший в своем дистрибутиве огромное количество плагинов, скриптов, а также кучу xàêåð 06 /114/ 08 других полезных инструментов. В результате образовался монстр размером в целых 27 Мегабайт, но несомненно стоящий времени/трафика, потраченного на скачку. В отличие от Immunity Debugger’а, ориентированного на специалистов по безопасности, YDbg писался хакерами и для хакеров, ломающих защиты с протекторами (те активно сопротивляются такому положению дел и напичканы анти-отладочными приемами, распознающими присутствие Ольги по главному окну с ее именем и пунктам меню). Поэтому первое, что бросается в глаза при запуске YDbg (исполняемый файл которого переименован из OLLYDBG.EXE в SND.exe), — это «покореженные» пункты меню. В частности, «Memory» превратилось в «M3m0ry», «SEH chain» в «S3H chain», «Breakpoints» в «Br3akp01nts» и т. д. Словом, все «хакерские» пункты изменены — попробуй их найти (естественно, в новых версиях протекторов наверняка появится детекция YDbg, но пока он успешно скрывается от кучи защит, палящих Ольгу). Вид кнопочек на панели инструментов изменен на XP-стиль — скорее, вопрос вкуса, чем насущная необходимость. В состав дистрибутива YDbg входит 36 популярных плагинов (и не нужно теперь рыскать по Сети в их поисках). Среди них затесался настоящий бриллиант — IDA Sigs, название которого говорит само за себя. Да-да! Это плагин, поддерживающий IDA-сигнатуры и отображающий их в виде комментариев к вызываемым функциям в Ольге или в YDbg. Очень удобно! Конечно, при наличии IDA-Pro можно загрузить исследуемую программу в нее, сохранить все распознанные имена в map, подключаемый к Ольге тоже не без помощи плагинов. Но IDA-Pro есть далеко не у всех, да и муторно совершать столько лишних телодвижений. Если файл упакован, то в Ольге/YDbg мы просто распаковываем его специальным скриптом или аттачимся к уже запущенному процессу (IDA-Pro в этом случае отдыхает). Сигнатуры (выдернутые из IDA-Pro) также входят в состав дистрибутива в комплекте с сигнатурами от различных защит (например, FLEXlm), которых в IDA-Pro нет. Единственный недостаток — в плагине отсутствует автоматический распознаватель сигнатур и потому версию компилятора приходится определять либо с помощью PEiD, либо последовательно перебирая различные сигнатурные базы одну за другой, пока, наконец, не найдется та, что подходит. Не такая уж большая проблема, но все-таки… Другой полезный плагин — red-hawk («красный ястреб») представляет собой панельку инструментов, позволяющую, в частности, одним движением мыши установить точки останова на нужные функции (например, в Visual Basic’е это что-то типа __vbaStrCmp или __vbaStrCopy, используемые для сравнения и копирования строк, соответственно). Начинающие хакеры просто визжат от восторга, 025
Page 1: КАК сделаТЬ Linux из Wi
Page 5 and 6: За почти уже 10 лет с
Page 8: meganews Размер имеет з
Page 12: meganews Воровать инет
Page 16 and 17: meganews Конференция reM
Page 18 and 19: ferrum Алексей Шуваев
Page 20: ferrum 800 руб. Optiarc AD-7203A
Page 24 and 25: ferrum 4 девайса 1190 руб
Page 28 and 29: pc_zone Внешний вид ло
Page 30 and 31: pc_zone Максим Соколов
Page 32: pc_zone dvd На диске пре
Page 36 and 37: pc_zone Степан «Step» Ил
Page 38 and 39: pc_zone SFU позволяет по
Page 40 and 41: взлом Easy Hack} Хакерс
Page 42 and 43: взлом не удавалось
Page 44 and 45: взлом Обзор экспло
Page 46 and 47: взлом бразды правл
Page 48 and 49: взлом МаГ Спамом по
Page 50 and 51: взлом Активация Akism
Page 52 and 53: взлом Крис Касперс
Page 54 and 55: взлом Pro-police — расш
Page 56: взлом Иллюстрация
Page 59 and 60: взлом insert into tbluser ("fl
Page 61 and 62: взлом Уязвимый код
Page 63 and 64: взлом Локальный ин
Page 65 and 66: взлом управление к
Page 67 and 68: взлом Определение
Page 69 and 70: взлом • Если веб-са
Page 71 and 72: сцена Дмитрий Голу
Page 73 and 74: сцена Никита Кисли
Page 75 and 76: сцена Команда ИТМО
Page 77 and 78:
сцена Пришли на magazi
Page 79 and 80:
сцена Phrack http://www.phrack
Page 81 and 82:
сцена K.I.L.T. http://kilt.co.
Page 83 and 84:
unixoid Репозитории па
Page 85 and 86:
unixoid links Большое кол
Page 87 and 88:
unixoid Ассортимент Linu
Page 89 and 90:
unixoid links www.x.org www.xfree86
Page 91 and 92:
coding PSPLINK in Action Порт
Page 93 and 94:
coding svn co svn://svn.ps2dev.org/
Page 95 and 96:
coding Коллекция твои
Page 97 and 98:
coding Установка непо
Page 99 and 100:
Example. zip Maximum upload rate: 2
Page 101 and 102:
+ + + + Example. zip Maximum upload
Page 103 and 104:
coding как и функции, и
Page 105 and 106:
phreaking Я Z End Схема на
Page 107 and 108:
phreaking Окончательно
Page 109 and 110:
phreaking Отпаиваем заж
Page 111 and 112:
phreaking POST-карта Маст
Page 113 and 114:
phreaking friking Последст
Page 116 and 117:
ХАКЕР.pro сергей «Grind
Page 118 and 119:
ХАКЕР.PRO Проверка н
Page 120 and 121:
ХАКЕР.pro сергей «Grind
Page 122 and 123:
ХАКЕР.PRO Диагностич
Page 124 and 125:
ХАКЕР.PRO Баннеры, за
Page 126 and 127:
ХАКЕР.pro крис каспе
Page 128 and 129:
ХАКЕР.PRO Бумага — в
Page 130 and 131:
ХАКЕР.pro ульяНа сМе
Page 132 and 133:
ХАКЕР.PRO При помощи
Page 134 and 135:
ХАКЕР.PRO user@domain.ru group
Page 136 and 137:
units Жанна «mehovushka» К
Page 138 and 139:
units Статья о метода
Page 140 and 141:
units Маг / icq 884888 / FAQ UNI
Page 142 and 143:
units • http://www.nasa.gov — N
Page 144 and 145:
x № 06(114) июнь 2008 >>WINDO
Page 146:
http:// WWW2 Удобные веб
show all

ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?

ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online