EXCLUSIVE
- Статус
- Оффлайн
- Регистрация
- 21 Июн 2025
- Сообщения
- 141
- Реакции
- 35
Я не особо то и знаком с api-hashing техникой, лишнее без знаний говорить желания нет, мейби ты прав.
|
Вопрос Самописная функция GetProcAdress
- Автор темы KVANTOR815
- Дата начала
Премиум
- Статус
- Оффлайн
- Регистрация
- 22 Авг 2022
- Сообщения
- 1,137
- Реакции
- 141
я не знаю что такое люмма, 70% статей колби посвящены взломам читов, 20% рассказов о технологиях или его находках при ревёрсе, 10% что-то остальное
это в любом случае лучше чем показывать голую строку. если продукт хочет быть безопасным и оставляет такой код - значит кодер посчитал нужным его не скрывать или он попросту не может быть надёжен. я не помню что было в той статье про люмму (может я её даже и не читал), но мне хотелось бы увидеть конкретное утверждение в статье колби, что никакая виртуализация на коде не стояла
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 22 Окт 2022
- Сообщения
- 22
- Реакции
- 3
@colby57
когда ты люмму реверсил строки с апи хэшингом были открыты?
там вроде OLLVM стояла, что вообще никак не влияет на строки кроме условных переходов
Премиум
- Статус
- Оффлайн
- Регистрация
- 22 Авг 2022
- Сообщения
- 1,137
- Реакции
- 141
по моему я просил узнать был ли код виртуализирован в люмме, а не то, что ты написал
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 22 Окт 2022
- Сообщения
- 22
- Реакции
- 3
я ее вновь прочитал, нет там упоминания виртуализации
Участник
- Статус
- Оффлайн
- Регистрация
- 10 Окт 2020
- Сообщения
- 541
- Реакции
- 520
по поводу первого пункта, хэширование имени каждого экспорта (не учитывая предвычисление) + сравнение интов из результатов никогда не будет быстрее нормально имплементированной fail-fast функции сравнения строк (и даже без fail-fast, не учитывая оптимизации и векторизацию компилятора это по сути можно сузить до "много арифметики с 64b интами vs compare-loop"). тем более будет ещё быстрее если знаешь размер обеих строк и можешь юзануть std::string_view::operator== (или хотя-бы руками сравнивать размеры перед сравнением строки если string_view недоступен), его компилятор заинлайнит и оптимизирует по максимуму, но даже простой strcmp уже очень сильно выигрывает у fnv1a64 хэша.
по сути только для второго пункта это и стоит юзать конкретно в случае тса
P.S. я расписал всё по большей части не для тебя, т.к. думаю что ты всё это и так знаешь, а для других чуваков которые будут читать тред
Эксперт
Эксперт
- Статус
- Онлайн
- Регистрация
- 4 Мар 2021
- Сообщения
- 1,479
- Реакции
- 407
интуитивно то оно так, но много арифметики часто бывает быстрее компарации, и не только с большими строками. предсказатель ветвлений не любит strcmp.
да и работа с машинным словом всегда быстрее, его банально можно положить в регистр, а не читать из памяти, что как бы делает хеш функцию быстрой(как будто это не главная её задача - быть быстрой)
Участник
- Статус
- Оффлайн
- Регистрация
- 10 Окт 2020
- Сообщения
- 541
- Реакции
- 520
да, но AFAIK бранч-предиктор в максимально ванильном strcmp по сути может сработать только один раз (и то если компилятор не свернёт этот if в branchless, что, учитывая уровень оптимизации таких операций - вполне возможно), на первом несовпадении или же в конце строки. ценой за такой мисспредикт будет ~10-15 тактов, что не так уж и много в сравнении с потенциальным хэшированием всей строки (ибо без промежуточного состояния невозможно узнать не совпадает ли какой-либо символ строки) когда у строк не совпадает даже первый символ, а strcmp в это же время сделает fail-fast на первом символе.
не-не, безусловно, о простом сравнении интов и сравнении строк даже речи идти не может, тут даже обсуждать нечего, конечно оно всегда будет быстрее. я писал именно про xor & mul на каждой итерации для 64-битного инта, что в сравнении с cmp-loop будет гораздо дороже.
векторизацию и прочее я не затрагиваю, т.к. не особо разбираюсь в сабже, поэтому за это утверждать лучше ничего не буду, но просто упомяну что каждая новая итерация fnv1a зависима от результата предыдущей, поэтому я даже не понимаю как компилятор может это векторизировать, - предположу что в итоге цикл latency-boundится скоростью imul
Разработчик
Разработчик
- Статус
- Оффлайн
- Регистрация
- 18 Мар 2020
- Сообщения
- 501
- Реакции
- 1,027
привет, конкретно тот билд, что разбирался в статье не имел никакой виртуализации, единственное, там стоял доисторический оллвм с гитхаба, который похерил контрол флоу, ну и на этом всё, всё остальное изобретал уже разраб люммы сам
да в ней нет чего-то уникального и крутого, малварь-девы ей пользуются лет 10 уже, и она не прибавляет не ебаться каких-то плюсов к защите от анализа, хз с чего такой срач там возник по поводу него
Премиум
- Статус
- Оффлайн
- Регистрация
- 22 Авг 2022
- Сообщения
- 1,137
- Реакции
- 141
привет, ясно, тогда это скорее их проблема, что они оставили всё открыто
Та похуй на эту вашу оптимизацию. Нуячить и клиенту выкинуть, пусть ебется. Сейчас каждый вторая тарахтелка имеет мощность как ту-175.
Ну сгорит у чела комп ну бля анлак, это у вас чета у нас все работает выкинуть ему и всё. Мамаев же позволяет себе так делать в продукте за 20$, чем я хуже.
Ну сгорит у чела комп ну бля анлак, это у вас чета у нас все работает выкинуть ему и всё. Мамаев же позволяет себе так делать в продукте за 20$, чем я хуже.
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 22 Окт 2022
- Сообщения
- 22
- Реакции
- 3
что и следовало доказать, создатель этого стиллера да и другие малварь разрабы в первую очередь думают о доходе со своего продукта, а защита второстепенна, либо вообще ничего не стоит.
любой наложенный популярный обфускатор это + 5 детектов
Премиум
- Статус
- Оффлайн
- Регистрация
- 22 Авг 2022
- Сообщения
- 1,137
- Реакции
- 141
да откуда мне знать что это малварь? логично, что в открытом виде это никакой защиты и не даёт, кроме скрытия строки
