|
Недавнее содержимое от Kodama
-
Гайд Абьюз SMM для самых маленьких
Антивирусы вряд ли такое в ближайшем будущем детектить, на поприще киберсека такие решения ещё не эксплуатировались. Но, если так рассуждать - да, могут использовать такие же.- Kodama
- Сообщение №9
- Форум: Статьи и программы
-
Гайд Абьюз SMM для самых маленьких
Да никто и не говорит, что он может глядеть в SMRAM. Есть пара очень кривых векторов для детекта: 1. Аномально большое количество прерываний; 2. Мониторинг маппнутого образа прошивки с SPI; 3. Поиск буферов для коммуникации, если таковы имеются. Все векторы они работаю вне контекста выполнения...- Kodama
- Сообщение №7
- Форум: Статьи и программы
-
-
Гайд Абьюз SMM для самых маленьких
В последнее время (эдак год-полтора) на чит-сцене появилось несколько публичных решений для SMM (System Management Mode). Эти решения как «боевые», так и чисто исследовательские. В основном тема эксплуатации SMM с точки зрения читов обсуждается на англоязычных форумах, но на СНГ сцене как-то по... -
Вопрос Драйвер
Любая, которая позволяет в чтение и запись физических страниц в ядерном пространстве. Достаточно обращать внимание на получение хендла на "физ девайс" или вызов специфичных функций менеджера памяти (например, MmMapIoSpace). Из драйверов - уже ответили, ищутся весьма просто даже без... -
Вопрос Реверс SMM/запуск своего вредоноса на уровне ring -2
Сам Hyper-V весьма хорошо написан, найти в нём RCE/ACE не самая простая задача. Да и ещё с возможностью аллокации удовлетворяющих страниц памяти. Другое дело его компоненты, но в рядовых случаях ты их в принципе не увидишь, если сам не пользуешься предоставляемым инструментарием (ВМ и вот это...- Kodama
- Сообщение №4
- Форум: Помощь в реверсинге
-
Вопрос Реверс SMM/запуск своего вредоноса на уровне ring -2
SMM и Windows никак не связаны друг с другом, первый работает прозрачно для любой из ОС на x86_64 процессорах. Ну не грубо говоря, а буквально триггерит пин 0xB2 на чипсете (или любой другой, который указан в FADT (имеет смысл его проверять, если речь идёт о софтварных прерываниях)), из-за чего...- Kodama
- Сообщение №2
- Форум: Помощь в реверсинге
-
Фанаты частенько стесняются, когда на них обращают внимание кумиры, это как раз один из тех случаев!
Фанаты частенько стесняются, когда на них обращают внимание кумиры, это как раз один из тех случаев!- Kodama
- Комментарий к сообщению профиля
-
Эта страничка охраняется главным фанатом - @mj12
Эта страничка охраняется главным фанатом - @mj12- Kodama
- Сообщение профиля
-
Эта страничка охраняется моим главным фанатом - @mj12
Эта страничка охраняется моим главным фанатом - @mj12- Kodama
- Сообщение профиля
-
C++ Little meme
Я не говорю про процесс, который в анальных фазах инита ядра создаётся, я спрашиваю про поведение платформы в случае, если уже есть зарегистрированная WPBT таблица с бинарём, лежащим в реклейм мемори. Так-то фаза загрузки проходит через функи smss!SmpGetPlatformBinary ->... -
C++ Little meme
Это будет работать только в том случае, если WPBT (M$ распространяют это как вордовский док по каким-то причинам) ещё не зарегистрирован? Или это перезаписывает ACPI таблицу? -
Гайд Anti-debug ( PEB )
Причём тут мой пиздюган шиз ты ебучий- Kodama
- Сообщение №8
- Форум: Статьи и программы
-
Вопрос Dirbase edit
Всё ещё не вижу 4 параметра от твоего багчека. Это просто предположение, что по каким-то причинам корраптится именно _MMPFN, как обычно и бывает; по факту - может быть всё что угодно.- Kodama
- Сообщение №4
- Форум: Обход античитов