Blog. Just Blog

Быстрый поиск

Введите фрагмент названия статьи для поиска

Использование TEB для антиотладки

18.01.2022 | Категория: Образ мышления: Assembler | Автор: ManHunter

Использование TEB для антиотладки

Структура TEB (Thread Environment Block), как и PEB (Process Environment Block), при грамотном использовании позволяет получить огромное количество полезной информации. Сегодня расскажу еще об одном малоизвестном антиотладочном трюке. Он основан на том, что при нормальном запуске приложения в поле StaticUnicodeBuffer структуры TEB не содержится ничего, а при запуске под отладчиком там обязательно оказывается название той или иной динамической библиотеки, используемой приложением.

Читать статью целиком »
Просмотров: 146 | Комментариев: 8

Uptime 1.2

12.01.2022 | Категория: Мои программы | Автор: ManHunter

Скриншот программы Uptime

Uptime - маленькая консольная программа, показывающая время аптайма системы - время, прошедшее с момента ее старта. Облегченный аналог linux-утилиты.

Ключи запуска:
-p - показать аптайм системы в словесном формате
-s - показать время старта системы в формате YYYY-MM-DD HH:MM:SS
-t - показать количество секунд с момента старта системы (timestamp)

Информация выводится на stdout, поэтому может перенаправляться стандартными средствами. Программа была написана для личных нужд, но может быть пригодится кому-нибудь еще.

Читать статью целиком »
Просмотров: 2322 | Комментариев: 16

Использование TLS для антиотладки

26.10.2021 | Категория: Образ мышления: Assembler | Автор: ManHunter

Использование TLS для антиотладки

TLS (Thread Local Storage) - локальная память потока, предназначенная для связки данных с потоком. Эта структура изначально была создана для решения проблемы совместного доступа к данным в многопоточных приложениях. TLS бывают статичными и динамическими. Углубляться в эти дебри сейчас не будем, для этого есть Джеффри Рихтер с его книгой "Windows для профессионалов". Нас интересует только тот факт, что при использовании статичной TLS появляется возможность выполнять произвольный код до передачи управления на EP. Это можно использовать для обнаружения отладчика еще до того, как он получит управление над программой.

Читать статью целиком »
Просмотров: 426 | Комментариев: 1

Использование SEH для антиотладки

18.10.2021 | Категория: Образ мышления: Assembler | Автор: ManHunter

Использование SEH для антиотладки

В сегодняшней статье разберем использование SEH в качестве антиотладочного приема. Трюк старый, как бивень мамонта, опытным реверсерам обнаружить и обойти его не составит абсолютно никакого труда, а новичкам может быть интересно. Например, в исполняемых файлах, упакованных PECompact, управление с точки входа на процедуру распаковки передается именно таким способом.

Читать статью целиком »
Просмотров: 454 | Комментариев: 0

Получение списка установленных программ

15.10.2021 | Категория: Образ мышления: Assembler | Автор: ManHunter
Как получить перечень установленных в системе программ? Наиболее правильный способ - это обработка списка зарегистрированных инсталляций в реестре. Список инсталляций представляет собой пачку ключей в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, в каждом из которых содержится набор параметров с описанием установленной программы. Тут есть имя программы и название ее разработчика, ссылки на деинсталлятор, на папку, куда она была установлена, на ее иконку, дата установки и т.п. Каких-то второстепенных параметров может и не быть, но основные всегда присутствуют.


Список установленных программ

Надо понимать, что список включает в себя не все программы, имеющиеся в системе, а только те, которые были нормально установлены и зарегистрированы. Всякие портативные программы и программы с нестандартной установкой, естественно, в этот список не попадут.

Читать статью целиком »
Просмотров: 525 | Комментариев: 1

prev 01 02 03 04 05 06 07 08 09 ... 32
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2022
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.12 сек. / MySQL: 3 (0.0491 сек.) / Память: 5 Mb
Наверх