http://lj.rossia.org/users/herm1t/ herm1t LIVE!ng room - LJ.Rossia.org herm1t LIVE!ng room Tue, 13 Dec 2011 08:43:57 GMT LiveJournal / LJ.Rossia.org http://lj.rossia.org/userpic/172708/26445 http://lj.rossia.org/users/herm1t/ 100 100 http://lj.rossia.org/users/herm1t/64047.html Tue, 13 Dec 2011 08:43:57 GMT http://lj.rossia.org/users/herm1t/64047.html Перегоняю себе спокойненько PDF-ку в HTML, и натыкаюсь вот на такую вот фиготень:<br /><xmp><br />therefore needs to reflect the basic premises set out in the stratagems<br />of network production.<br />103<br />^L u+f0df u+f0ce u+f0cc u+f0d7 u+f0cd u+f0cc u+f0d7 u+f0dd u+f020<br />и так далее...<br /></xmp><br />Пидорасы. Накодил быстренько "расшифровщик".<lj-cut><xmp><br />int main(int argc, char **argv)<br />{<br /> int c, s = 0;<br /> unsigned int x;<br /> while ((c = getchar()) != EOF) {<br /> if (s == 0 && c &lt; 0x80) {<br /> putchar(c);<br /> continue;<br /> }<br /> if (c == 0xef)<br /> s = 1;<br /> else {<br /> if (s == 1) {<br /> x = (unsigned int)c &lt;&lt; 8;<br /> s = 2;<br /> } else {<br /> x |= (unsigned int)c;<br /> s = 0;<br /> if (x &lt;= 0x82bf && x &gt;= 0x82a0) {<br /> putchar('a' - (x - 0x82bf));<br /> } else<br /> if (x &lt;= 0x839f && x &gt;= (0x839f - 26)) {<br /> putchar('A' - (x - 0x839f));<br /> } else<br /> if (x &gt;= 0x83a7 && x &lt;= 0x83b0) {<br /> putchar('0' - (x - 0x83b0));<br /> } else<br /> switch(x) {<br /> case 0x83a1: putchar('?'); break;<br /> case 0x8383: putchar(']'); break;<br />........................................<wbr />......................................<br /> case 0x83a5: putchar(';'); break;<br /> default:<br /> printf("[##%04x]", x);<br /> break;<br /> } <br /> x = 0;<br /> }<br /> }<br /> }<br />}<br /></xmp><br />$subj :-E<br /><p>А, собственно, книга ("The Spam Book: On Viruses, Porn and Other Anomalies From the Dark Side of Digital Culture") - лютейший пиздец. Чуть ли не каждый абзац снабжен ссылкой (а че, солидно же выглядит?), но авторов нисколько не интересует ни источник, ни его содержание. Непрерывный, галюциногенный поток больного сознания, щедро разбавленный Лаканом, Дерридой, Делезом и прочими деятелями. Социолухи. Стараюсь не читать верстаемое, а то после упоминаний о 64-битном IPV6, символизирующем разрыв непрерывности IPV4, и отказ от соединений точка-точка; или NFA, который должен перестать подавлять свой внутренний DFA, у меня просто врывается мозг. Случайная цитата:<br /><blockquote><br />n a way, Monty Python suggests an anti-Aristotelian move, at least in<br />the sense proposed by Paul Virilio: that is a need to reverse the idea<br />of accidents<br />as contingent and substances as absolute and necessary. Virilio's apocalyptic<br />take on Western media culture argues for the inclusion of the potential<br />(and gradual actualization) of the general accident that relates to a larger<br />ontological shift undermining the spatio-temporal coordinates of culture. In<br />a more narrow sense, Virilio has argued that accidents should be seen<br />as incidental<br />to technologies and modernity. This stance recapitulates the idea that<br />modern accidents do not happen through the force of an external influence,<br />like a storm, but are much more accurately follow-ups or at least functionally<br />connected with, the original design of that technology. In this way,<br />Virilio claimed that Aristotelian substances do not come without their<br />accidents,<br />and breakdowns are not the absence of the presumed order, but are<br />rational, real and designed parts of a media cultural condition: the "normal"<br />state of things operating smoothly.28 With Monty Python, as with Deleuze,<br />the structures of anticipation and accidentality are not simply reversed, but<br />the anomalous communication event itself emerges from within a largely<br />accidental or inessential environment.xxix</blockquote><br />Бесспорно, их всех нужно убить.<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/64047.html"><img src="http://lj.rossia.org/numreplies/herm1t/64047" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/64047.html pdf Après moi, le Deleuze bitchy http://lj.rossia.org/users/herm1t/63873.html Wed, 16 Nov 2011 11:10:31 GMT http://lj.rossia.org/users/herm1t/63873.html Сайт провалялся всю ночь - на сервере закончилось место, вставил еще два винта по терабайту. Пока хватит, но дальше винты вставлять уже некуда.<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/63873.html"><img src="http://lj.rossia.org/numreplies/herm1t/63873" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/63873.html blah http://lj.rossia.org/users/herm1t/63622.html Mon, 07 Nov 2011 08:01:12 GMT http://lj.rossia.org/users/herm1t/63622.html Выложил книжку <a href="http://vx.netlux.org/lib/avd00.html">Принцип Касперского: телохранитель Интернета</a>. Меня тошнит прямо на свежесверстанный файл, так что я выскажусь по этому поводу как-нибудь в другой раз.<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/63622.html"><img src="http://lj.rossia.org/numreplies/herm1t/63622" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/63622.html Принцип Касперского: телохранитель Интер http://lj.rossia.org/users/herm1t/63402.html Tue, 01 Nov 2011 11:55:29 GMT http://lj.rossia.org/users/herm1t/63402.html <img src="http://vx.netlux.org/herm1t/kas/cover.png" align="right" width="100" /><br /><small><strong>В. Дорофеев, Т. Костылева "Принцип Касперского: телохранитель Интернета" — М.: Эксмо, 2011. — 320 с.: ил., ISBN 978-5-699-49120-9</strong></small><br /><br /><p style="text-align:justify;text-indent: 1.5em; margin: 0;"><br /><a href="http://lj.rossia.org/users/herm1t/44405.html">Я когда-то сожалел</a> о том, что г-ин Касперский пишет (а делать он этого не умеет), и<br />более того пишет о том, в чем не хочет разбираться. Последняя книга должна была (по идее)<br />ликвидировать оба этих недостатка: во-первых, книга написана двумя журналистами Коммерсанта,<br />во-вторых, она не о вирусах, а о бизнесе. Безусловно - это большой прогресс, по сравнению с<br />предыдущими адскими высерами, которые Е.К. клепал сам, но, похоже, что с книжками Евгению<br />Валентиновичу не судьба. В следующий раз пусть наймет кого-нибудь другого.<br /></p><br /><br /><p style="text-align:justify;text-indent: 1.5em; margin: 0;"><br />Уже после беглого пролистывания нашлись печальные лулзы. Меня поразил замечательный англо-латинизм<br />"<em>alter ago</em>" (и это не опечатка, в книге он встречается не менее трех раз). Развеселила, повторенная<br />Е.К., цитата из Ерофеева, вынесенная на врезку, так будто бы это слова самого Е.К. Пять редакторов<br />Эксмо и Коммерсанта, а так же двое корректоров заслуживают почетных мест в расстрельном списке grammar nazi.<br /></p><br /><p style="text-align:justify;text-indent: 1.5em; margin: 0;"><br />Но дела издадетелей меня не очень интересуют, после нескольких вводных глав, в которых излагается<br />биография дяди Жени, градус неадеквата начинает медленно подниматься, и где-то к середине книги,<br />автор (если он конечно автор, а не вывеска для PR-отдела КЛ) переходит от глубокого минета к безудержному<br />флюродросу своего подопечного. Впрочем, информации к размышлению довольно много, особенно если вовремя<br />стряхивать лапшу с ушей.<br /></p><br /><br /><p style="text-align:justify;text-indent: 1.5em; margin: 0;"><br />Я уже <a href="http://vx.netlux.org/herm1t/kas/" title="Полный текст книги &#39;Принцип Касперского: телохранитель Интернета&#39; скачать&#39;">отсканировал несколько глав</a>, и добавлю еще пару слов об этой книге, после того, как закончу<br />сканирование.<br /></p><br /><strong>UPD(7)</strong> готово. Если будете читать книжку и встретите опечатки, напишите камент или мылом. Спасибо.<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/63402.html"><img src="http://lj.rossia.org/numreplies/herm1t/63402" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/63402.html isbn 978-5-699-49120-9 Дорофеев Касперский КоммерсантЪ Костылева Принцип Касперского: телохранитель Интер Эксмо идиоты книги http://lj.rossia.org/users/herm1t/63208.html Thu, 20 Oct 2011 09:49:10 GMT http://lj.rossia.org/users/herm1t/63208.html <b>Indy</b> предложил интересную идею для LDE - вместо того, чтобы парсить инструкции, пытаться исполнять их на границе двух страниц (RWX и NOACCESS), и по генерируемым исключениям определять длину. Скачать Индин код можно <a href="http://vx.netlux.org/vx.php?id=ei03">здесь</a> Написал приблизительную реализацию для Linux:<lj-cut><pre style="color:#000000;background:#cccccc;">uint32_t esp<span style="color:#808030; ">,</span> feip<span style="color:#808030; ">,</span> fcr2<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">extern</span> <span style="color:#800000; font-weight:bold; ">void</span> restore<span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">void</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> lde_handler<span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">int</span> n<span style="color:#808030; ">,</span> <span style="color:#800000; font-weight:bold; ">volatile</span> <span style="color:#800000; font-weight:bold; ">struct</span> sigcontext ctx<span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> feip <span style="color:#808030; ">=</span> ctx<span style="color:#808030; ">.</span>eip<span style="color:#800080; ">;</span> fcr2 <span style="color:#808030; ">=</span> ctx<span style="color:#808030; ">.</span>cr2<span style="color:#800080; ">;</span> ctx<span style="color:#808030; ">.</span>eip <span style="color:#808030; ">=</span> <span style="color:#808030; ">(</span>uint32_t<span style="color:#808030; ">)</span>restore<span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> <span style="color:#800000; font-weight:bold; ">int</span> lde<span style="color:#808030; ">(</span>uint8_t <span style="color:#808030; ">*</span>op<span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> <span style="color:#800000; font-weight:bold; ">int</span> i<span style="color:#808030; ">,</span> l <span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">,</span> r <span style="color:#808030; ">=</span> <span style="color:#808030; ">-</span><span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> uint8_t <span style="color:#808030; ">*</span>m <span style="color:#808030; ">=</span> <span style="color:#7d0045; ">NULL</span><span style="color:#800080; ">;</span> m <span style="color:#808030; ">=</span> mmap<span style="color:#808030; ">(</span><span style="color:#7d0045; ">NULL</span><span style="color:#808030; ">,</span> <span style="color:#008c00; ">8192</span><span style="color:#808030; ">,</span> PROT_NONE<span style="color:#808030; ">,</span> MAP_ANONYMOUS <span style="color:#808030; ">|</span> MAP_PRIVATE<span style="color:#808030; ">,</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">,</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> mprotect<span style="color:#808030; ">(</span>m<span style="color:#808030; ">,</span> <span style="color:#008c00; ">4096</span><span style="color:#808030; ">,</span> PROT_READ<span style="color:#808030; ">|</span>PROT_WRITE<span style="color:#808030; ">|</span>PROT_EXEC<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#603000; ">signal</span><span style="color:#808030; ">(</span>SIGSEGV<span style="color:#808030; ">,</span> lde_handler<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">for</span> <span style="color:#808030; ">(</span>i <span style="color:#808030; ">=</span> <span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> i <span style="color:#808030; ">&lt;</span> <span style="color:#008c00; ">15</span> <span style="color:#808030; ">-</span> len<span style="color:#800080; ">;</span> i<span style="color:#808030; ">+</span><span style="color:#808030; ">+</span><span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> uint32_t a <span style="color:#808030; ">=</span> <span style="color:#808030; ">(</span>uint32_t<span style="color:#808030; ">)</span>m <span style="color:#808030; ">+</span> <span style="color:#008c00; ">4096</span> <span style="color:#808030; ">-</span> i<span style="color:#800080; ">;</span> <span style="color:#603000; ">memcpy</span><span style="color:#808030; ">(</span>a<span style="color:#808030; ">,</span> op<span style="color:#808030; ">,</span> i<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#004a43; ">asm</span> <span style="color:#808030; ">(</span><span style="color:#0000e6; ">"pushf; pusha; mov %%esp, esp; jmp *%%eax"</span><span style="color:#808030; ">:</span><span style="color:#808030; ">:</span><span style="color:#0000e6; ">"a"</span><span style="color:#808030; ">(</span>a<span style="color:#808030; ">)</span><span style="color:#808030; ">)</span><span style="color:#808030; ">;</span> <span style="color:#004a43; ">asm</span> <span style="color:#808030; ">(</span><span style="color:#0000e6; ">"restore: mov esp, %esp; popa; popf"</span><span style="color:#808030; ">)</span><span style="color:#808030; ">;</span> uint32_t t <span style="color:#808030; ">=</span> m <span style="color:#808030; ">+</span> <span style="color:#008c00; ">4096</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>feip <span style="color:#808030; ">=</span><span style="color:#808030; ">=</span> a <span style="color:#808030; ">&amp;</span><span style="color:#808030; ">&amp;</span> fcr2 <span style="color:#808030; ">=</span><span style="color:#808030; ">=</span> t<span style="color:#808030; ">)</span> <span style="color:#800000; font-weight:bold; ">continue</span><span style="color:#800080; ">;</span> r <span style="color:#808030; ">=</span> i <span style="color:#808030; ">+</span> l<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">break</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> <span style="color:#e34adc; ">_error:</span> munmap<span style="color:#808030; ">(</span>m<span style="color:#808030; ">,</span> <span style="color:#008c00; ">8192</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">return</span> r<span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> </pre><br />Попытка определить длину int3 закончится плавчевно конечно же, но не суть.<br /><br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/63208.html"><img src="http://lj.rossia.org/numreplies/herm1t/63208" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/63208.html disassembler exception indy lde linux rootkits.su signal http://lj.rossia.org/users/herm1t/62931.html Fri, 07 Oct 2011 18:17:34 GMT http://lj.rossia.org/users/herm1t/62931.html &laquo;Система Kaspersky DDoS Prevention способна эффективно отражать DDoS-атаки практически любой мощности ...&raquo;<br /><lj-cut text="А на самом деле?"><br /><div align="center"><img src="http://vx.netlux.org/herm1t/lj/kdd.png" width="500" /><br /></div><br />А это просто так:<br /><div align="center"><img src="http://vx.netlux.org/herm1t/lj/fdd.png" width="500" /></div><br />И немного смешного:<br /><div align="center"><img src="http://vx.netlux.org/herm1t/lj/mrtg-kf.png" /></div><br />Первый провал - это ФСБ, второй провал - это Касперский.<br /><br /><em>На правах рекламы</em> У <a href="http://buynet.in/">товарища Velson</a> такого добра - хоть залейся. Вот уж не знаю, грустить или радоваться по этому поводу.<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/62931.html"><img src="http://lj.rossia.org/numreplies/herm1t/62931" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/62931.html ddos dns kaspersky ФСБ тупой http://lj.rossia.org/users/herm1t/62477.html Thu, 06 Oct 2011 06:01:21 GMT http://lj.rossia.org/users/herm1t/62477.html VX сейчас доступен и как <a href="http://vx.i2p/">vx.i2p</a>. Добавил на сайт <a href="http://www.vxheavens.com/vx.php?id=zj01">25 выпусков JCompVir</a>.<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/62477.html"><img src="http://lj.rossia.org/numreplies/herm1t/62477" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/62477.html anonymous i2p jcompvir http://lj.rossia.org/users/herm1t/62260.html Thu, 29 Sep 2011 11:57:27 GMT http://lj.rossia.org/users/herm1t/62260.html <img src="http://vx.netlux.org/herm1t/lj/kasperky92-small.png" width="200" align="left" /><br /><small><strong>Касперский Е. Компьютерные вирусы в MS-DOS.</strong> М.: ЭДЕЛЬ 1992г. 176с. Картонный переплет, Обычный формат. ISBN 5-85308-001-6</small><br /><p style="padding-">Заказал и уже получил этот раритет. Приготовился расчехлить говномет, но на самом деле из всей обильной пролукции Е. К. эта книжка одна из самых приличных. Правда, о вирусах, об их истории и теории в ней ничего нет, зато есть основа будущего вируслист - описания вирусов (в то время это были последние деньки, когда описания вообще имели смысл), и немного о том, как вирусы ловить. Тех, кто интересуется варезом от дяди Жени, наверное обрадует то, что в этой самой книжке рассказывается вкратце об антивирусных базах, и о том, что грузится в Page_A, Page_C, Header. Следует так же отдать должное расчетливости и прозорливости Евгения Валентиновича - он вложился в эту книгу, как в рекламный буклет (помимо продаж, книжка поставлялась вместе с AVP), и его ожидания полностью оправдались. Win. Приметил так же целый ряд мелких забавностей, но об этом как-нибудь в другой раз.</p><br /><p>BTW, если кому-нибудь нужен абьюзоустойчивый VPS под коммерческие проекты, обращайтесь ICQ 372141</p><br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/62260.html"><img src="http://lj.rossia.org/numreplies/herm1t/62260" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/62260.html 5-85308-001-6 Касперский Компьютерные вирусы в MS-DOS книги http://lj.rossia.org/users/herm1t/61758.html Sun, 25 Sep 2011 09:46:10 GMT http://lj.rossia.org/users/herm1t/61758.html Dr. Web доставляет:<br /><blockquote style="border-"><br /><a href="http://news.drweb.com/?i=1815&amp;c=23&amp;lng=ru&amp;p=0">Всего за этот период ботам было передано 329 уникальных команд, большинство из которых инициировало DDoS-атаки;</a> среди жертв можно отметить сайт «Новой Газеты», журнала «Катера и яхты», несколько эскорт-агентств и интернет-магазинов, торгующих поддельными копиями швейцарских часов. Среди целей DDoS-атак значительное число составляют также серверы онлайн-игр — по всей видимости, публикация BackDoor.DarkNess в открытом доступе привела к тому, что существенной долей бот-сетей в настоящее время управляют начинающие «хакеры». Одна из перехваченных специалистами «Доктор Веб» команд, отданных бот-сети, дословно выглядела следующим образом: «когда f**av.ru включат?» — здесь речь идет о популярном в узких кругах сайте, посвященном вредоносному ПО, а горе-администратор бот-сети, по всей видимости, попросту «ошибся окошком». При этом с уверенностью можно сказать, что упомянутый сервер «DDoS-ила» как раз одна из сетей, построенных на BackDoor.DarkNess, правда, происходило это чуть позже описываемых событий. Помимо этого однажды ботнет получил команду на атаку своего же собственного командного центра, что также о многом говорит.</blockquote><br />Кстати, результат этих попыток:<br /><div align="center"><img src="http://vx.netlux.org/herm1t/lj/fuckav-ddos.png" width="580" alt="FuckAV DDoS" /></div><br />Сервер, как стоял, так и будет стоять. Я не онлайн-казино, и не "катера и яхты" :-) Я даже переборю лень, и все-таки напишу тулзень для нормальной автоматической фильтрации. $subj неверно работает by design и фильтровать его легко.<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/61758.html"><img src="http://lj.rossia.org/numreplies/herm1t/61758" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/61758.html darkness optima ddos dr. web fuckav.ru scene sw team идиоты http://lj.rossia.org/users/herm1t/61511.html Thu, 22 Sep 2011 12:19:15 GMT http://lj.rossia.org/users/herm1t/61511.html Я со скаммерсами редко разговариваю, они что все такие упоротые?<br /><pre>herm1t: Здравствуйте. SVAS: Здравствуйте herm1t: Хотел спросить, не имеете ли вы какое-нибудь отношение к DDoS на <a href="http://fuckav.ru/">fuckav.ru</a>?<lj-cut> SVAS: "Вы" - я конкретно или наша команда? И про какой конкретно ддос идет речь? И, собственно, почему вы спрашиваете herm1t: Просто слухи всякие ходят, а мне как хостеру этого сайта стало интересно. herm1t: Но если ваша команда к этому не имеет отношения, то значит я не по адресу. Извините за беспокойство. SVAS: А я сказал, что нет?)) herm1t: А "да"? herm1t: Если да, то собственно зачем? SVAS: Было дело, валили фак.ав, и все это знают. Зачем? Потому что там очень народ вольно себя чувствовал herm1t: Что значит "вольно"? SVAS: Говном наш продукт беспочвенно поливали SVAS: Плюс там было гнездо наших конкурентов herm1t: Понятно. А последняя атака (до сегодняшнего дня включительно) - ваша работа? SVAS: Увы, я мало знаю, другие люди с нашей команды этим занимаются, а у меня другая головная боль - реклама и продажа продукта herm1t: Понимаю, могу я вас попросить? Если это кто-то из ваших, пусть мне в аську стукнет. Спасибо. SVAS: Для чего? SVAS: Все вопросы решаются через меня (с клиентами). herm1t: Например от скуки. Я не ваш клиент. SVAS: Из наших вам никто не стукнет herm1t: А почему нет? Настолько все занятые? ))) SVAS: Потому что они напрямую с клиентами не работают SVAS: А если вы не клиент, то тем более herm1t: )) herm1t: Пока. SVAS: Удачи</pre><br />Кстати, если атака проводилась Оптимой, то я не рекомендовал бы этот, кгм, "продукт" - незащищенный сайт конечно же ляжет, но средней сообразительности админ сможет все это порезать. Впрочем, это же относится и к другим поделкам такого рода. Придется наверное наваять небольшую тулзу для автоматизации фильтрации.<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/61511.html"><img src="http://lj.rossia.org/numreplies/herm1t/61511" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/61511.html darkness optima ddos fuckav.ru sw team underground идиоты лог скаммерсанты http://lj.rossia.org/users/herm1t/61259.html Wed, 21 Sep 2011 10:43:26 GMT http://lj.rossia.org/users/herm1t/61259.html <a href="http://vx.netlux.org/lib/vhe10.html#c6">Вдогонку</a>. Долго вспоминал, как ставить аппаратные бряки. <lj-cut text="Где-то так"><pre style="color:#000;background:#ccc;"><span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">stdio.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">stdlib.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">stdint.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">sys/ptrace.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">sys/user.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">signal.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">wait.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#800000; font-weight:bold; ">typedef</span> <span style="color:#800000; font-weight:bold; ">enum</span> <span style="color:#800080; ">{</span> BREAK_ON_EXEC <span style="color:#808030; ">=</span> <span style="color:#008000; ">0x00</span><span style="color:#808030; ">,</span> BREAK_ON_WRITE <span style="color:#808030; ">=</span> <span style="color:#008000; ">0x01</span><span style="color:#808030; ">,</span> BREAK_ON_RW <span style="color:#808030; ">=</span> <span style="color:#008000; ">0x03</span><span style="color:#808030; ">,</span> <span style="color:#800080; ">}</span> BreakFlags<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">typedef</span> <span style="color:#800000; font-weight:bold; ">enum</span> <span style="color:#800080; ">{</span> LEN_1 <span style="color:#808030; ">=</span> <span style="color:#008000; ">0x00</span><span style="color:#808030; ">,</span> LEN_2 <span style="color:#808030; ">=</span> <span style="color:#008000; ">0x01</span><span style="color:#808030; ">,</span> LEN_4 <span style="color:#808030; ">=</span> <span style="color:#008000; ">0x03</span><span style="color:#808030; ">,</span> <span style="color:#800080; ">}</span> DataLength<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">typedef</span> <span style="color:#800000; font-weight:bold; ">struct</span> <span style="color:#800080; ">{</span> <span style="color:#800000; font-weight:bold; ">int</span> dr0_local<span style="color:#800080; ">:</span><span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> dr0_global<span style="color:#800080; ">:</span><span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> dr1_local<span style="color:#800080; ">:</span><span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> dr1_global<span style="color:#800080; ">:</span><span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> dr2_local<span style="color:#800080; ">:</span><span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> dr2_global<span style="color:#800080; ">:</span><span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> dr3_local<span style="color:#800080; ">:</span><span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> dr3_global<span style="color:#800080; ">:</span><span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> exact_local<span style="color:#800080; ">:</span><span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> exact_global<span style="color:#800080; ">:</span><span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> reserved<span style="color:#800080; ">:</span><span style="color:#008c00; ">6</span><span style="color:#800080; ">;</span> BreakFlags dr0_break<span style="color:#800080; ">:</span><span style="color:#008c00; ">2</span><span style="color:#800080; ">;</span> DataLength dr0_len<span style="color:#800080; ">:</span><span style="color:#008c00; ">2</span><span style="color:#800080; ">;</span> BreakFlags dr1_break<span style="color:#800080; ">:</span><span style="color:#008c00; ">2</span><span style="color:#800080; ">;</span> DataLength dr1_len<span style="color:#800080; ">:</span><span style="color:#008c00; ">2</span><span style="color:#800080; ">;</span> BreakFlags dr2_break<span style="color:#800080; ">:</span><span style="color:#008c00; ">2</span><span style="color:#800080; ">;</span> DataLength dr2_len<span style="color:#800080; ">:</span><span style="color:#008c00; ">2</span><span style="color:#800080; ">;</span> BreakFlags dr3_break<span style="color:#800080; ">:</span><span style="color:#008c00; ">2</span><span style="color:#800080; ">;</span> DataLength dr3_len<span style="color:#800080; ">:</span><span style="color:#008c00; ">2</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> DR7<span style="color:#800080; ">;</span> <span style="color:#004a43; ">#</span><span style="color:#004a43; ">define</span><span style="color:#004a43; "> offsetof</span><span style="color:#808030; ">(</span><span style="color:#004a43; ">TYPE</span><span style="color:#808030; ">,</span><span style="color:#004a43; "> MEMBER</span><span style="color:#808030; ">)</span><span style="color:#004a43; "> </span><span style="color:#808030; ">(</span><span style="color:#808030; ">(</span><span style="color:#004a43; ">size_t</span><span style="color:#808030; ">)</span><span style="color:#004a43; "> </span><span style="color:#808030; ">&amp;</span><span style="color:#808030; ">(</span><span style="color:#808030; ">(</span><span style="color:#004a43; ">TYPE </span><span style="color:#808030; ">*</span><span style="color:#808030; ">)</span><span style="color:#004a43; ">0</span><span style="color:#808030; ">)</span><span style="color:#808030; ">-</span><span style="color:#808030; ">&gt;</span><span style="color:#004a43; ">MEMBER</span><span style="color:#808030; ">)</span> <span style="color:#800000; font-weight:bold; ">int</span> set_bp<span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">int</span> pid<span style="color:#808030; ">,</span> uint32_t addr<span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> uintptr_t dr0 <span style="color:#808030; ">=</span> <span style="color:#808030; ">(</span>uintptr_t<span style="color:#808030; ">)</span>addr<span style="color:#800080; ">;</span> DR7 dr7 <span style="color:#808030; ">=</span> <span style="color:#800080; ">{</span><span style="color:#008c00; ">0</span><span style="color:#800080; ">}</span><span style="color:#800080; ">;</span> dr7<span style="color:#808030; ">.</span>dr0_local <span style="color:#808030; ">=</span> <span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> dr7<span style="color:#808030; ">.</span>dr0_break <span style="color:#808030; ">=</span> BREAK_ON_EXEC<span style="color:#800080; ">;</span> dr7<span style="color:#808030; ">.</span>dr0_len <span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">return</span> ptrace<span style="color:#808030; ">(</span>PTRACE_POKEUSER<span style="color:#808030; ">,</span> pid<span style="color:#808030; ">,</span> offsetof<span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">struct</span> user<span style="color:#808030; ">,</span> u_debugreg<span style="color:#808030; ">[</span><span style="color:#008c00; ">0</span><span style="color:#808030; ">]</span><span style="color:#808030; ">)</span><span style="color:#808030; ">,</span> dr0<span style="color:#808030; ">)</span> <span style="color:#808030; ">|</span><span style="color:#808030; ">|</span> ptrace<span style="color:#808030; ">(</span>PTRACE_POKEUSER<span style="color:#808030; ">,</span> pid<span style="color:#808030; ">,</span> offsetof<span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">struct</span> user<span style="color:#808030; ">,</span> u_debugreg<span style="color:#808030; ">[</span><span style="color:#008c00; ">6</span><span style="color:#808030; ">]</span><span style="color:#808030; ">)</span><span style="color:#808030; ">,</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">)</span> <span style="color:#808030; ">|</span><span style="color:#808030; ">|</span> ptrace<span style="color:#808030; ">(</span>PTRACE_POKEUSER<span style="color:#808030; ">,</span> pid<span style="color:#808030; ">,</span> offsetof<span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">struct</span> user<span style="color:#808030; ">,</span> u_debugreg<span style="color:#808030; ">[</span><span style="color:#008c00; ">7</span><span style="color:#808030; ">]</span><span style="color:#808030; ">)</span><span style="color:#808030; ">,</span> dr7<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> <span style="color:#800000; font-weight:bold; ">void</span> action<span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">void</span><span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> printf<span style="color:#808030; ">(</span><span style="color:#800000; ">"</span><span style="color:#0000e6; ">Let's rock!</span><span style="color:#0f69ff; ">\n</span><span style="color:#800000; ">"</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> <span style="color:#800000; font-weight:bold; ">void</span> tracer<span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">void</span><span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> <span style="color:#800000; font-weight:bold; ">int</span> pid<span style="color:#808030; ">,</span> status<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">struct</span> user_regs_struct regs<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span><span style="color:#808030; ">(</span>pid <span style="color:#808030; ">=</span> fork<span style="color:#808030; ">(</span><span style="color:#808030; ">)</span><span style="color:#808030; ">)</span> <span style="color:#808030; ">=</span><span style="color:#808030; ">=</span> <span style="color:#808030; ">-</span><span style="color:#008c00; ">1</span><span style="color:#808030; ">)</span> <span style="color:#800000; font-weight:bold; ">return</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>pid <span style="color:#808030; ">=</span><span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> ptrace<span style="color:#808030; ">(</span>PTRACE_TRACEME<span style="color:#808030; ">,</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">,</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">,</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> kill<span style="color:#808030; ">(</span>getpid<span style="color:#808030; ">(</span><span style="color:#808030; ">)</span><span style="color:#808030; ">,</span> SIGINT<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> <span style="color:#800000; font-weight:bold; ">else</span> <span style="color:#800080; ">{</span> <span style="color:#800000; font-weight:bold; ">int</span> first <span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#800080; ">;</span> uint32_t next_bp <span style="color:#808030; ">=</span> <span style="color:#808030; ">(</span>uint32_t<span style="color:#808030; ">)</span>action<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">for</span> <span style="color:#808030; ">(</span><span style="color:#800080; ">;</span><span style="color:#800080; ">;</span><span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> wait<span style="color:#808030; ">(</span><span style="color:#808030; ">&amp;</span>status<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>WIFEXITED<span style="color:#808030; ">(</span>status<span style="color:#808030; ">)</span><span style="color:#808030; ">)</span> <span style="color:#800000; font-weight:bold; ">break</span><span style="color:#800080; ">;</span> ptrace<span style="color:#808030; ">(</span>PTRACE_GETREGS<span style="color:#808030; ">,</span> pid<span style="color:#808030; ">,</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">,</span> <span style="color:#808030; ">&amp;</span>regs<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>regs<span style="color:#808030; ">.</span>eip <span style="color:#808030; ">!</span><span style="color:#808030; ">=</span> next_bp<span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> puts<span style="color:#808030; ">(</span><span style="color:#800000; ">"</span><span style="color:#0000e6; ">Setting BP</span><span style="color:#800000; ">"</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> set_bp<span style="color:#808030; ">(</span>pid<span style="color:#808030; ">,</span> next_bp<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> <span style="color:#800000; font-weight:bold; ">else</span> <span style="color:#800080; ">{</span> printf<span style="color:#808030; ">(</span><span style="color:#800000; ">"</span><span style="color:#0000e6; ">Reached BP @ </span><span style="color:#0f69ff; ">%08x</span><span style="color:#0f69ff; ">\n</span><span style="color:#800000; ">"</span><span style="color:#808030; ">,</span> regs<span style="color:#808030; ">.</span>eip<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> set_bp<span style="color:#808030; ">(</span>pid<span style="color:#808030; ">,</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> ptrace<span style="color:#808030; ">(</span>PTRACE_CONT<span style="color:#808030; ">,</span> pid<span style="color:#808030; ">,</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">,</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> exit<span style="color:#808030; ">(</span><span style="color:#008c00; ">0</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> <span style="color:#800080; ">}</span> <span style="color:#800000; font-weight:bold; ">int</span> <span style="color:#400000; ">main</span><span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">int</span> argc<span style="color:#808030; ">,</span> <span style="color:#800000; font-weight:bold; ">char</span> <span style="color:#808030; ">*</span><span style="color:#808030; ">*</span>argv<span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> tracer<span style="color:#808030; ">(</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> action<span style="color:#808030; ">(</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> </pre><br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/61259.html"><img src="http://lj.rossia.org/numreplies/herm1t/61259" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/61259.html breakpoint dr0 dr6 dr7 epo linux ptrace http://lj.rossia.org/users/herm1t/60930.html Tue, 13 Sep 2011 10:24:17 GMT http://lj.rossia.org/users/herm1t/60930.html Почему эта хрень работает?<br /><lj-cut text="Хрень"><pre style="color:#000000;background:#ccc;"><span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">stdio.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">stdint.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">stdbool.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">assert.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#004a43; ">#</span><span style="color:#004a43; ">include </span><span style="color:#800000; ">&lt;</span><span style="color:#40015a; ">elf.h</span><span style="color:#800000; ">&gt;</span> <span style="color:#696969; ">/* Type for the dtv. */</span> <span style="color:#800000; font-weight:bold; ">typedef</span> <span style="color:#800000; font-weight:bold; ">union</span> dtv <span style="color:#800080; ">{</span> <span style="color:#603000; ">size_t</span> counter<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">struct</span> <span style="color:#800080; ">{</span> <span style="color:#800000; font-weight:bold; ">void</span> <span style="color:#808030; ">*</span>val<span style="color:#800080; ">;</span> bool is_static<span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> pointer<span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> dtv_t<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">typedef</span> <span style="color:#800000; font-weight:bold; ">struct</span> <span style="color:#800080; ">{</span> <span style="color:#800000; font-weight:bold; ">void</span> <span style="color:#808030; ">*</span>tcb<span style="color:#800080; ">;</span> <span style="color:#696969; ">/* Pointer to the TCB. Not necessarily the</span> <span style="color:#696969; ">&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;&#xa0;thread descriptor used by libpthread. */</span> dtv_t <span style="color:#808030; ">*</span>dtv<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">void</span> <span style="color:#808030; ">*</span>self<span style="color:#800080; ">;</span> <span style="color:#696969; ">/* Pointer to the thread descriptor. */</span> <span style="color:#800000; font-weight:bold; ">int</span> multiple_threads<span style="color:#800080; ">;</span> uintptr_t sysinfo<span style="color:#800080; ">;</span> uintptr_t stack_guard<span style="color:#800080; ">;</span> uintptr_t pointer_guard<span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> tcbhead_t<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> <span style="color:#400000; ">main</span><span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">int</span> argc<span style="color:#808030; ">,</span> <span style="color:#800000; font-weight:bold; ">char</span> <span style="color:#808030; ">*</span><span style="color:#808030; ">*</span>argv<span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> <span style="color:#800000; font-weight:bold; ">void</span> <span style="color:#808030; ">*</span>get_base<span style="color:#808030; ">(</span>uint32_t addr<span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> addr <span style="color:#808030; ">&amp;</span><span style="color:#808030; ">=</span> <span style="color:#808030; ">~</span><span style="color:#008c00; ">4095</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">while</span> <span style="color:#808030; ">(</span><span style="color:#808030; ">*</span><span style="color:#808030; ">(</span>uint32_t<span style="color:#808030; ">*</span><span style="color:#808030; ">)</span>addr <span style="color:#808030; ">!</span><span style="color:#808030; ">=</span> <span style="color:#008000; ">0x464c457f</span><span style="color:#006600; ">UL</span><span style="color:#808030; ">)</span> addr <span style="color:#808030; ">-</span><span style="color:#808030; ">=</span> <span style="color:#008c00; ">4096</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">return</span> <span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">void</span><span style="color:#808030; ">*</span><span style="color:#808030; ">)</span>addr<span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> tcbhead_t <span style="color:#808030; ">*</span>tcb<span style="color:#800080; ">;</span> <span style="color:#004a43; ">asm</span> <span style="color:#808030; ">(</span><span style="color:#0000e6; ">"mov %%gs:0x0,%%eax"</span><span style="color:#808030; ">:</span><span style="color:#0000e6; ">"=a"</span><span style="color:#808030; ">(</span>tcb<span style="color:#808030; ">)</span><span style="color:#808030; ">)</span><span style="color:#808030; ">;</span> dtv_t <span style="color:#808030; ">*</span>dtv <span style="color:#808030; ">=</span> tcb<span style="color:#808030; ">-</span><span style="color:#808030; ">&gt;</span>dtv<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>dtv<span style="color:#808030; ">-</span><span style="color:#808030; ">&gt;</span>counter <span style="color:#808030; ">&gt;</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> uint32_t <span style="color:#808030; ">*</span>tls <span style="color:#808030; ">=</span> dtv<span style="color:#808030; ">[</span><span style="color:#008c00; ">1</span><span style="color:#808030; ">]</span><span style="color:#808030; ">.</span>pointer<span style="color:#808030; ">.</span>val<span style="color:#800080; ">;</span> Elf32_Ehdr <span style="color:#808030; ">*</span>ehdr <span style="color:#808030; ">=</span> get_base<span style="color:#808030; ">(</span>tls<span style="color:#808030; ">[</span><span style="color:#008c00; ">0</span><span style="color:#808030; ">]</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> Elf32_Phdr <span style="color:#808030; ">*</span>phdr <span style="color:#808030; ">=</span> <span style="color:#808030; ">(</span>Elf32_Phdr<span style="color:#808030; ">*</span><span style="color:#808030; ">)</span><span style="color:#808030; ">(</span><span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">char</span><span style="color:#808030; ">*</span><span style="color:#808030; ">)</span>ehdr <span style="color:#808030; ">+</span> ehdr<span style="color:#808030; ">-</span><span style="color:#808030; ">&gt;</span>e_phoff<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> i<span style="color:#800080; ">;</span> Elf32_Dyn <span style="color:#808030; ">*</span>dyn <span style="color:#808030; ">=</span> <span style="color:#7d0045; ">NULL</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> delta<span style="color:#800080; ">;</span> uint32_t low<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">for</span> <span style="color:#808030; ">(</span>i <span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#800080; ">;</span> i <span style="color:#808030; ">&lt;</span> ehdr<span style="color:#808030; ">-</span><span style="color:#808030; ">&gt;</span>e_phnum<span style="color:#800080; ">;</span> i<span style="color:#808030; ">+</span><span style="color:#808030; ">+</span><span style="color:#808030; ">)</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>phdr<span style="color:#808030; ">[</span>i<span style="color:#808030; ">]</span><span style="color:#808030; ">.</span>p_type <span style="color:#808030; ">=</span><span style="color:#808030; ">=</span> PT_DYNAMIC<span style="color:#808030; ">)</span> dyn <span style="color:#808030; ">=</span> <span style="color:#808030; ">(</span>Elf32_Dyn<span style="color:#808030; ">*</span><span style="color:#808030; ">)</span>phdr<span style="color:#808030; ">[</span>i<span style="color:#808030; ">]</span><span style="color:#808030; ">.</span>p_vaddr<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">else</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>phdr<span style="color:#808030; ">[</span>i<span style="color:#808030; ">]</span><span style="color:#808030; ">.</span>p_type <span style="color:#808030; ">=</span><span style="color:#808030; ">=</span> PT_LOAD <span style="color:#808030; ">&amp;</span><span style="color:#808030; ">&amp;</span> phdr<span style="color:#808030; ">[</span>i<span style="color:#808030; ">]</span><span style="color:#808030; ">.</span>p_offset <span style="color:#808030; ">=</span><span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">)</span> delta <span style="color:#808030; ">=</span> phdr<span style="color:#808030; ">[</span>i<span style="color:#808030; ">]</span><span style="color:#808030; ">.</span>p_vaddr<span style="color:#800080; ">;</span> delta <span style="color:#808030; ">=</span> <span style="color:#808030; ">(</span>uint32_t<span style="color:#808030; ">)</span>ehdr <span style="color:#808030; ">-</span> delta<span style="color:#800080; ">;</span> dyn <span style="color:#808030; ">=</span> <span style="color:#808030; ">(</span>Elf32_Dyn<span style="color:#808030; ">*</span><span style="color:#808030; ">)</span><span style="color:#808030; ">(</span><span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">char</span><span style="color:#808030; ">*</span><span style="color:#808030; ">)</span>dyn <span style="color:#808030; ">+</span> delta<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> assert<span style="color:#808030; ">(</span>dyn <span style="color:#808030; ">!</span><span style="color:#808030; ">=</span> <span style="color:#7d0045; ">NULL</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">char</span> <span style="color:#808030; ">*</span>strtab <span style="color:#808030; ">=</span> <span style="color:#7d0045; ">NULL</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">int</span> soname <span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">while</span> <span style="color:#808030; ">(</span>dyn<span style="color:#808030; ">-</span><span style="color:#808030; ">&gt;</span>d_tag <span style="color:#808030; ">!</span><span style="color:#808030; ">=</span> DT_NULL<span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>dyn<span style="color:#808030; ">-</span><span style="color:#808030; ">&gt;</span>d_tag <span style="color:#808030; ">=</span><span style="color:#808030; ">=</span> DT_STRTAB<span style="color:#808030; ">)</span> strtab <span style="color:#808030; ">=</span> <span style="color:#808030; ">(</span><span style="color:#800000; font-weight:bold; ">char</span><span style="color:#808030; ">*</span><span style="color:#808030; ">)</span>dyn<span style="color:#808030; ">-</span><span style="color:#808030; ">&gt;</span>d_un<span style="color:#808030; ">.</span>d_ptr<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">else</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>dyn<span style="color:#808030; ">-</span><span style="color:#808030; ">&gt;</span>d_tag <span style="color:#808030; ">=</span><span style="color:#808030; ">=</span> DT_SONAME<span style="color:#808030; ">)</span> soname <span style="color:#808030; ">=</span> dyn<span style="color:#808030; ">-</span><span style="color:#808030; ">&gt;</span>d_un<span style="color:#808030; ">.</span>d_val<span style="color:#800080; ">;</span> dyn<span style="color:#808030; ">+</span><span style="color:#808030; ">+</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> assert<span style="color:#808030; ">(</span>strtab <span style="color:#808030; ">!</span><span style="color:#808030; ">=</span> <span style="color:#7d0045; ">NULL</span> <span style="color:#808030; ">&amp;</span><span style="color:#808030; ">&amp;</span> soname <span style="color:#808030; ">!</span><span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> printf<span style="color:#808030; ">(</span><span style="color:#800000; ">"</span><span style="color:#0f69ff; ">%s</span><span style="color:#0f69ff; ">\n</span><span style="color:#800000; ">"</span><span style="color:#808030; ">,</span> soname <span style="color:#808030; ">+</span> strtab<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> <span style="color:#800080; ">}</span> </pre><br />Собственно, хрень нужна для поиска libc из инжектированного кода (даже базовый адрес процесса не известен). Имеются и ограничения - если процесс использует треды, то индекс libc TLS в DTV поменяется. Пока не придумал, как определить наверняка. Ну, или если тредов нет вообще, то тогда сами складывайте буквы А,Ж,П,О в нужном порядке.<br /><br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/60930.html"><img src="http://lj.rossia.org/numreplies/herm1t/60930" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/60930.html dtv glibc linux tcb tls http://lj.rossia.org/users/herm1t/60831.html Sun, 11 Sep 2011 08:19:22 GMT http://lj.rossia.org/users/herm1t/60831.html <a href="http://vx.netlux.org/dl/msc/Brain Searching for the first PC virus in Pakistan.mp4"><img src="http://vx.netlux.org/herm1t/lj/brain.png" alt="Authors of Brain virus - Farooq brothers" width="120" align="left" border="0" /></a><br />Читая блог Курта Висмера, наткнулся на видео об авторах Brain (MP4, 100M). Грегори Бенфорд в CACM <a href="http://vx.netlux.org/lib/mgb01.html">рассказал</a>, как он писал первого червя на Фортране. А еще, товарищ Morgot восстановил сайт <a href="http://rootkits.su/">Rootkits.SU</a>. Так же у меня хостится его же проект - <a href="http://fasm.su/">FASM.SU</a>. Любители батничков, скажите "Hi, <a href="http://corrupt_genetix.vxer.org/">cOrRuPt G3n3t!x</a>".<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/60831.html"><img src="http://lj.rossia.org/numreplies/herm1t/60831" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/60831.html benford brain corrupt g3n3t!x fasm.su rootkis.su http://lj.rossia.org/users/herm1t/60565.html Sun, 11 Sep 2011 06:53:25 GMT http://lj.rossia.org/users/herm1t/60565.html <p style="text-indent: 1.5em;text-align:justify; margin:0;"><span class='ljruser' style='white-space: nowrap;'><a href='http://lj.rossia.org/userinfo.bml?user=pr0mix'><img src='http://lj.rossia.org/img/userinfo.gif' alt='[info]' style='vertical-align: bottom; border: 0;' /></a><a href='http://lj.rossia.org/users/pr0mix/'><b>pr0mix</b></a></span> написал уже об этом на всех форумах, но я повторюсь:<br />вышел <a href="http://vx.netlux.org/vx.php?id=ze02&amp;lang=en&amp;fid=1948#f1948">третий выпуск журнала EOF</a>. При этом не обошлось без традиционной драмы (я-то думал,<br />что больше такого не увижу) izee так расстроился из-за выхода<br /><a href="http://vx.netlux.org/vx.php?id=zv18">другого журнала</a>,<br />что накинулся на SPTH, rgb и hh86, и так сердился, что даже к своему<br />журналу "забыл" написать редакторскую колонку и сделать приличную верстку.<br />fAMINE, кажется, с ним солидарен и обновленного Tristram мы так и не увидим.</p><br /><br /><p style="text-indent: 1.5em;text-align:justify; margin:0;">Из моего там <a href="http://vx.netlux.org/lib/vhe10.html">«Advanced EPO: Deeper, longer and harder (Part 1)»</a> об использовании отладки для поиска оптимальной точки для EPO. Над "Part 2" - статический анализ для тех же задач, я пока раздумываю. Меня также заинтересовали работы pr0mix и F0g. Надеюсь, что EOF нас будет радовать еще много, много лет.</p><br /><br /><p style="text-indent: 1.5em;text-align:justify; margin:0;">В последнее время стал весьма стабильно утекать свежий Virus Bulletin, и помимо "нашего преданного поклонника" Питера Ферри, в журнале есть и еще<br />интересности. Порадовала статья Джона Айкока <a href="http://vx.netlux.org/lib/mja05.html">«Stux in a rut: Why Stuxnet is boring»</a>, в которой он говорит о том, что давно уже должен был кто-то сказать: Stuxnet - это <em>скучно</em>. Тоже самое относится и к другим сильно распиареным "зловредам". Да, это все (более или менее) профессиональные проекты, да, они состоят из большого количества компонентов, но перехода количества в качество явно не наблюдается. Всё это мы уже видели по отдельности. Дальше Айкок перечисляет три критерия "прорывной" технологии: 1) Необходимость <em>существенно</em> менять средства защиты 2, 3) меняется мотивация и бизнес-модель противника.</p><br /><br /><p style="text-indent: 1.5em;text-align:justify; margin:0;">С этой точки зрения полиморфизм и макро-вирусы - являются поворотными изобретениями, а червь Морриса и метаморфизм - нет. И, наконец, то что меня заинтересовало: <q><em>"Хорошая" защита - та, что удерживает противника в "уютном месте", в котором противник достаточно преуспевает, и не слишком часто обламывается, чтобы развитие остановилось. Странно, но периодический проигрыш в состязании по безопасности может быть необходим, для того, чтобы поддерживать здоровое равновесие.</em></q> Тут я подумал, что к антивирусникам это относится даже в большей степени. Образуется своеобразная спираль молчания, и "white" и "black" коммерсанты предпочитают краткосрочные вложения - в оптимизацию движков, автоматический поиск сигнатур, переписывание пакеров и крипторов. С одной стороны сто дятлов ищут на полуавтомате сигнатуры, с другой - такие же дятлы, на том же полуавтомате их чистят. Бабло течет, все довольны. Надеюсь, что любителям, академикам, и прочим товарищам, не связанным с IT Sec рынком, удастся поломать к хуям эту идиллию.</p><br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/60565.html"><img src="http://lj.rossia.org/numreplies/herm1t/60565" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/60565.html aycock eof epo izee pr0mix spiral of silence valhalla vb vx рынок http://lj.rossia.org/users/herm1t/60172.html Mon, 22 Aug 2011 09:33:25 GMT http://lj.rossia.org/users/herm1t/60172.html Захотелось посчитать энтропию в целых числах (без существенной потери точности), получилось<br /><lj-cut text="Вот так:">вот так:<br /><pre style="color:#000000;background:#aaaaaa;"><span style="color:#800000; font-weight:bold; ">int</span> mul_lb<span style="color:#808030; ">(</span>uint32_t x<span style="color:#808030; ">,</span> uint32_t a<span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> uint32_t r <span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">,</span> f <span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#808030; ">,</span> n <span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">while</span> <span style="color:#808030; ">(</span>x <span style="color:#808030; ">&gt;</span><span style="color:#808030; ">=</span> <span style="color:#008c00; ">2</span><span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> f <span style="color:#808030; ">=</span> <span style="color:#808030; ">(</span>f <span style="color:#808030; ">&gt;</span><span style="color:#808030; ">&gt;</span> <span style="color:#008c00; ">1</span><span style="color:#808030; ">)</span> <span style="color:#808030; ">|</span> <span style="color:#808030; ">(</span><span style="color:#808030; ">(</span>x <span style="color:#808030; ">&amp;</span> <span style="color:#008c00; ">1</span><span style="color:#808030; ">)</span> <span style="color:#808030; ">&lt;</span><span style="color:#808030; ">&lt;</span> <span style="color:#008c00; ">31</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> r<span style="color:#808030; ">+</span><span style="color:#808030; ">+</span><span style="color:#808030; ">,</span> n<span style="color:#808030; ">+</span><span style="color:#808030; ">+</span><span style="color:#808030; ">,</span> x <span style="color:#808030; ">&gt;</span><span style="color:#808030; ">&gt;</span><span style="color:#808030; ">=</span> <span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>n<span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span><span style="color:#808030; ">+</span><span style="color:#808030; ">+</span>n <span style="color:#808030; ">&gt;</span> <span style="color:#008c00; ">16</span><span style="color:#808030; ">)</span> n <span style="color:#808030; ">=</span> <span style="color:#008c00; ">16</span><span style="color:#800080; ">;</span> f <span style="color:#808030; ">=</span> <span style="color:#808030; ">(</span><span style="color:#808030; ">(</span>f <span style="color:#808030; ">&gt;</span><span style="color:#808030; ">&gt;</span> <span style="color:#008c00; ">1</span><span style="color:#808030; ">)</span> <span style="color:#808030; ">|</span> <span style="color:#008000; ">0x80000000</span><span style="color:#808030; ">)</span> <span style="color:#808030; ">&gt;</span><span style="color:#808030; ">&gt;</span> <span style="color:#808030; ">(</span><span style="color:#008c00; ">32</span> <span style="color:#808030; ">-</span> n<span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> r <span style="color:#808030; ">*</span><span style="color:#808030; ">=</span> a<span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">while</span> <span style="color:#808030; ">(</span>a <span style="color:#808030; ">&gt;</span> <span style="color:#008c00; ">1</span><span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> f <span style="color:#808030; ">*</span><span style="color:#808030; ">=</span> f<span style="color:#808030; ">,</span> f <span style="color:#808030; ">&gt;</span><span style="color:#808030; ">&gt;</span><span style="color:#808030; ">=</span> n<span style="color:#808030; ">,</span> a <span style="color:#808030; ">&gt;</span><span style="color:#808030; ">&gt;</span><span style="color:#808030; ">=</span> <span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span><span style="color:#808030; ">(</span>f <span style="color:#808030; ">&gt;</span><span style="color:#808030; ">&gt;</span> <span style="color:#808030; ">(</span><span style="color:#808030; ">-</span><span style="color:#808030; ">-</span>n <span style="color:#808030; ">-</span> <span style="color:#008c00; ">1</span><span style="color:#808030; ">)</span><span style="color:#808030; ">)</span> <span style="color:#808030; ">&gt;</span><span style="color:#808030; ">=</span> <span style="color:#008c00; ">2</span><span style="color:#808030; ">)</span> r <span style="color:#808030; ">+</span><span style="color:#808030; ">=</span> a<span style="color:#808030; ">,</span> f <span style="color:#808030; ">&gt;</span><span style="color:#808030; ">&gt;</span><span style="color:#808030; ">=</span> <span style="color:#008c00; ">1</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> <span style="color:#800080; ">}</span> <span style="color:#800000; font-weight:bold; ">return</span> r<span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> <span style="color:#800000; font-weight:bold; ">void</span> entropy<span style="color:#808030; ">(</span>uint8_t <span style="color:#808030; ">*</span>b<span style="color:#808030; ">,</span> <span style="color:#800000; font-weight:bold; ">int</span> l<span style="color:#808030; ">)</span> <span style="color:#800080; ">{</span> <span style="color:#800000; font-weight:bold; ">int</span> i<span style="color:#808030; ">,</span> e <span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#800080; ">;</span> uint32_t c<span style="color:#808030; ">[</span><span style="color:#008c00; ">256</span><span style="color:#808030; ">]</span><span style="color:#800080; ">;</span> bzero<span style="color:#808030; ">(</span>c<span style="color:#808030; ">,</span> <span style="color:#800000; font-weight:bold; ">sizeof</span><span style="color:#808030; ">(</span>c<span style="color:#808030; ">)</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">for</span> <span style="color:#808030; ">(</span>i <span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#800080; ">;</span> i <span style="color:#808030; ">&lt;</span> l<span style="color:#800080; ">;</span> i<span style="color:#808030; ">+</span><span style="color:#808030; ">+</span><span style="color:#808030; ">)</span> c<span style="color:#808030; ">[</span>b<span style="color:#808030; ">[</span>i<span style="color:#808030; ">]</span><span style="color:#808030; ">]</span><span style="color:#808030; ">+</span><span style="color:#808030; ">+</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">for</span> <span style="color:#808030; ">(</span>i <span style="color:#808030; ">=</span> <span style="color:#008c00; ">0</span><span style="color:#800080; ">;</span> i <span style="color:#808030; ">&lt;</span> <span style="color:#008c00; ">256</span><span style="color:#800080; ">;</span> i<span style="color:#808030; ">+</span><span style="color:#808030; ">+</span><span style="color:#808030; ">)</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>c<span style="color:#808030; ">[</span>i<span style="color:#808030; ">]</span> <span style="color:#808030; ">&gt;</span> <span style="color:#008c00; ">1</span><span style="color:#808030; ">)</span> e <span style="color:#808030; ">-</span><span style="color:#808030; ">=</span> mul_lb<span style="color:#808030; ">(</span>c<span style="color:#808030; ">[</span>i<span style="color:#808030; ">]</span><span style="color:#808030; ">,</span> c<span style="color:#808030; ">[</span>i<span style="color:#808030; ">]</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> e <span style="color:#808030; ">/</span><span style="color:#808030; ">=</span> l <span style="color:#808030; ">&gt;</span><span style="color:#808030; ">&gt;</span> <span style="color:#008c00; ">5</span><span style="color:#800080; ">;</span> e <span style="color:#808030; ">+</span><span style="color:#808030; ">=</span> mul_lb<span style="color:#808030; ">(</span>l<span style="color:#808030; ">,</span> <span style="color:#008c00; ">32</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800000; font-weight:bold; ">if</span> <span style="color:#808030; ">(</span>e <span style="color:#808030; ">&gt;</span> <span style="color:#008c00; ">255</span><span style="color:#808030; ">)</span> e <span style="color:#808030; ">=</span> <span style="color:#008c00; ">255</span><span style="color:#800080; ">;</span> printf<span style="color:#808030; ">(</span><span style="color:#800000; ">"</span><span style="color:#0000e6; ">E=</span><span style="color:#0f69ff; ">%d</span><span style="color:#0000e6; "> (</span><span style="color:#0f69ff; ">%f</span><span style="color:#0000e6; ">)</span><span style="color:#0f69ff; ">\n</span><span style="color:#800000; ">"</span><span style="color:#808030; ">,</span> e<span style="color:#808030; ">,</span> e <span style="color:#808030; ">/</span> <span style="color:#008000; ">32.0</span><span style="color:#808030; ">)</span><span style="color:#800080; ">;</span> <span style="color:#800080; ">}</span> </pre><br /><br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/60172.html"><img src="http://lj.rossia.org/numreplies/herm1t/60172" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/60172.html c энтропия accomplished http://lj.rossia.org/users/herm1t/59969.html Fri, 12 Aug 2011 10:36:23 GMT http://lj.rossia.org/users/herm1t/59969.html Только-только вернулся из отпуска. Тем не менее, как-то я не очень... из-за всяких IRL неурядиц. Пока меня не было успел выйти журнал <a href="http://vx.netlux.org/vx.php?id=zv18">Valhalla</a>, я собирался туда кое-что написать, но не успел, так что в другой раз. В Virus Bulletin вышла статья Ферри "<a href="http://vx.netlux.org/lib/apf58.html">Frankie Say Relax</a>", о <a href="http://www.vxheavens.com/src.php?info=relx.zip">RELx</a>, в EOF #3 (выход которого был отложен на месяц) будет тот же RELx, но с <a href="http://lj.rossia.org/users/herm1t/59743.html">одним занятным обновлением</a> и соответствующей статьей.<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/59969.html"><img src="http://lj.rossia.org/numreplies/herm1t/59969" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/59969.html eof ferrie relx valhalla vb bored http://lj.rossia.org/users/herm1t/59743.html Fri, 22 Jul 2011 11:48:06 GMT http://lj.rossia.org/users/herm1t/59743.html <pre>$ ./date Fri Jul 22 [ Entering tracer Work's done. Virus is OK!] 14:48:38 EEST 2011</pre><br />таки будет в EOF#3 ;-)<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/59743.html"><img src="http://lj.rossia.org/numreplies/herm1t/59743" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/59743.html eof epo linux virus content http://lj.rossia.org/users/herm1t/59434.html Fri, 22 Jul 2011 06:34:56 GMT http://lj.rossia.org/users/herm1t/59434.html Как сделать munmap на сегмент бинаря?<br /><pre>munmap(phdr-&gt;p_vaddr & ~4095, (phdr-&gt;p_filesz + 4095) & ~4095)</pre>?<br />А вот хуй!<br /><pre> elf_page_start = phdr-&gt;p_vaddr & ~4095; elf_page_offset = phdr-&gt;p_vaddr - elf_page_start; munmap(elf_page_start, phdr-&gt;p_filesz + elf_page_offset); </pre><br />Интересующимся - welcome to <a href="http://herm1t.vxer.org/2011/07/there-was-interesting-bug-with-code-i.html">binfm_elf.c</a><br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/59434.html"><img src="http://lj.rossia.org/numreplies/herm1t/59434" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/59434.html linux memory mmap munmap off-by-one process blank http://lj.rossia.org/users/herm1t/59351.html Wed, 20 Jul 2011 07:28:14 GMT http://lj.rossia.org/users/herm1t/59351.html Захотелось странного - записать, что-нибудь в исполняемый файл, который в данный момент запущен. Просто так - нельзя, open вернет ETXTBSY. Сделал так - нашел таблицу сегментов, выделил mmap()'ом память, скопировал туда код - munmap(seg1)-munmap(seg2)-open(argv[0], O_RDWR)-lseek(h,0,2)-write(h,...)-exit()<wbr />. Работает. После отмапливания всех сегментов файл освобождается и доступен для записи.<br /><p>P.S. SPTH got me to do an english translation of this blog, so you could find the code for <a href="http://herm1t.vxer.org/2011/07/writing-to-executable-and-currently.html">this entry</a> there - <a href="http://herm1t.vxer.org/">herm1t.vxer.org</a>.</p><br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/59351.html"><img src="http://lj.rossia.org/numreplies/herm1t/59351" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/59351.html working http://lj.rossia.org/users/herm1t/59045.html Mon, 18 Jul 2011 06:47:56 GMT http://lj.rossia.org/users/herm1t/59045.html Криворукие ебланы:<br /><p>149.5.168.2 - - [18/Jul/...] "GET /... HTTP/1.1" 200 77109 "-" <strong>"\"Mozilla/4.0\""</strong></p><br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/59045.html"><img src="http://lj.rossia.org/numreplies/herm1t/59045" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/59045.html tired http://lj.rossia.org/users/herm1t/58643.html Thu, 14 Jul 2011 08:36:20 GMT http://lj.rossia.org/users/herm1t/58643.html Питер по моей просьбе прислал черновик статьи о сабжевом вирусе (<a href="http://vx.netlux.org/src_view.php?file=relx.zip">сам вирус</a> написан так давно, что я уже успел забыть, что для того, чтобы запустить первую копию нужно подгрузить libc через LD_PRELOAD - лазил, как дурак с отладчиком, чтобы сгенерить пару семплов :-) Годная получилась статья. Обменяемся ошибками и зарелизим - он свою в VB, а я обновленный вариант в EOF. Такой вот союз щита и меча. :-)<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/58643.html"><img src="http://lj.rossia.org/numreplies/herm1t/58643" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/58643.html eof linker microsoft relocation relx vb awake http://lj.rossia.org/users/herm1t/58572.html Tue, 12 Jul 2011 11:23:10 GMT http://lj.rossia.org/users/herm1t/58572.html Слона-то я и не заметил, <a href="http://lj.rossia.org/users/herm1t/56916.html">это</a> еще не трудности, настоящая трудность - это callbacks.<br /><pre> void bar(void) { printf("%d\n", 42); } void foo(void(*bar)(void)) { bar(); } int main(void) { foo(bar); } </pre><br />мрак. Хотя есть идеи...<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/58572.html"><img src="http://lj.rossia.org/numreplies/herm1t/58572" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/58572.html дизассемблирование busy http://lj.rossia.org/users/herm1t/58154.html Wed, 29 Jun 2011 12:16:32 GMT http://lj.rossia.org/users/herm1t/58154.html Я <a href="http://lj.rossia.org/users/herm1t/16570.html">уже писал</a> о РедАрковской поэзии, и Игорь тогда спрятал шыдевр под замок, а потом не утерпел и снова выложил. Гениальное же, это и сам автор подчеркивает ("И псалтырь пою о себе..."). Вот еще: "Ему ты будешь верною женой / И матерью прекрасной и снохой". Так и запишем - сожительствует со своим сыном и внуком. На этот раз я сохранил себе копию - буду перечитывать в момент горестных мыслей и тяжких раздумий.<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/58154.html"><img src="http://lj.rossia.org/numreplies/herm1t/58154" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/58154.html redarc Дикшев графомания стихи тупой artistic http://lj.rossia.org/users/herm1t/57931.html Thu, 16 Jun 2011 11:26:26 GMT http://lj.rossia.org/users/herm1t/57931.html И почему никто не сказал дядьке Коэну, что его <a href="http://vx.netlux.org/lib/afc01.html#p41">"contradictory virus"</a> приводит к парадоксу Рассела? "Доказательство" в топку.<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/57931.html"><img src="http://lj.rossia.org/numreplies/herm1t/57931" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/57931.html bitchy http://lj.rossia.org/users/herm1t/57790.html Thu, 09 Jun 2011 06:54:24 GMT http://lj.rossia.org/users/herm1t/57790.html Jan Hruska (<strong>Sophos</strong>):<br /><pre> int ishexdigit(c) int c; { switch(c) { case '0': return 0; case '1': return 1; ........................... case 'f': case 'F': return 15; default: return (-1); } } </pre><br />Если за <em>это</em> не убивать, то что же тогда делать?<br /><p>P.S. Помимо очевидного решения, мне пришла в голову и такая мысль:<br /><pre>return c&gt;=48&&c&lt;128?(c=(c&223)-16)&lt;10?c:(c-=39)&240||c==9?-1:c:-1;</pre><br /><br /><p><strong>Update.</strong> Занятно, как заходит речь о какой-нибудь сложной задачке - тишина, зато сишные примитивы обсуждаются с завидным рвением. :-)<br /><p><strong>Update 2</strong> Код был взят из книги Jan Hruska <a href="http://vx.netlux.org/lib/ajh00.html">"Computer viruses and anti-virus warfare"</a>, Ellis Horwood, 1992<br /><br /><div style="text-align:left"><font size="-2"><a href="http://lj.rossia.org/users/herm1t/57790.html"><img src="http://lj.rossia.org/numreplies/herm1t/57790" border=0 width=26 height=17 alt="number of comments" style="border:0px;" /> <strong>Comments</strong></a></div> http://lj.rossia.org/users/herm1t/57790.html hruska sophos Си будни извращенцев тупой bitchy