Анализ системы защиты сайта от ботов на примере letu.ru с использованием javascript reverse engineering.
![](http://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/getpro/habr/hub/fd1/301/70b/fd130170b8dcf435049bf9194d50dd3c.png)
Реверс-инжиниринг *
Расковырять и понять как работает
Новости
Скачать фильмы за креды без СМС и регистрации: история одного supply chain под Linux
В этой статье я, Леонид Безвершенко, и мой коллега, Георгий Кучерин, — Security Researcher-ы в Глобальном центре исследования и анализа угроз (GReAT) «Лаборатории Касперского» — расскажем о нашем совместном исследовании, позволяющем проследить, как жертвы, сами того не зная, устанавливали себе зараженный Debian-пакет менеджера загрузок с официального сайта.
![image](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/webt/qn/jf/dp/qnjfdp3c2czvvbzlmy9xuram5dq.png)
Наше исследование началось с того, что мы получили образ диска и дамп памяти одного ноутбука на операционной системе Linux. Предполагалось, что этот ноутбук был скомпрометирован. Нашей задачей было опровергнуть это или, наоборот, доказать, поняв, что там вообще произошло.
Когда Random совсем не случаен
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/r/w780/getpro/habr/upload_files/77c/8a6/83d/77c8a683d22667261816c77cc54be6fb.jpg)
Этот пост — рассказ об истории, случившейся больше десятка лет назад; её код был мной утерян. Поэтому прошу простить меня, если я не вспомню точно все подробности. Кроме того, некоторые подробности упрощены, чтобы от этой статьи могли получить все, кому нравится компьютерная безопасность, а не только любители World of Warcraft (хотя, полагаю, диаграмма Венна этих двух групп сильно пересекается).
Когда мне было примерно 14 лет, я узнал об игре World of Warcraft компании Blizzard Games, и она сразу же меня увлекла. Вскоре после этого я нашёл аддоны, позволявшие модифицировать внешний вид и функциональность интерфейса игры. Однако не все скачанные мной аддоны делали именно то, что мне было нужно. Мне хотелось большего, поэтому я начал разбираться, как они сделаны.
Забавно, что в моём серьёзном увлечении программированием можно обвинить World of Warcraft. Оказалось, что код был написан на языке Lua. Аддоны — это просто парочка файлов исходного кода на .lua
в папке, напрямую загружаемых в игру. Барьер входа был невероятно низок: достаточно отредактировать файл, сохранить его и перезапустить интерфейс. То, что игра загружала твой исходный код и ты мог видеть его работу, было настоящим волшебством!
Мне это невероятно нравилось, и вскоре я уже практически не играл в игру, а занимался только написанием аддонов. За следующие два года я опубликовал приличное их количество; в большинстве случаев я просто копировал чужой код и рефакторил/комбинировал/настраивал его под свои нужды.
Как нашли бэкдор в радиосвязи TETRA — подробный разбор
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/r/w780/getpro/habr/upload_files/a8e/11a/ec7/a8e11aec75fd280754e080fb1e1de899.jpeg)
Неприступных крепостей не бывает. Опасную брешь, то есть бэкдор, недавно обнаружили в шифрованном стандарте радиосвязи TETRA. А ведь он вот уже 25 лет используется военными, экстренными службами и объектами критической инфраструктуры по всему миру. Самое интересное, что на технические детали и контекст этой истории почти никто не обратил внимания.
Мы изучили статьи и доклады исследователей и собрали всю суть. Перед вами — подробная история взлома TETRA.
Истории
Пример исследовательского реверс-инжиниринга приложения Zone Launcher
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/r/w1560/getpro/habr/upload_files/eb4/f92/912/eb4f929128c9c2e3ddce2bfcd3835310.png)
Друг порекомендовал приложение, но купить его не получилось с территории России. Статья о том, как поисследовать приложение до той степени, чтобы покупка потеряла свою актуальность. Может быть полезно почитать и разработчикам, чтобы понимать, что полную версию приложение включить достаточно легко.
Reflective Injection действительно так неотразим?
С развитием технологий безопасности и защиты от киберугроз, появляются различные новые методы атак. Одна из сфер которая постоянно развивается в своих возможностях, называется Code Injection. В системах под управлением Windows, это стало весьма распространённым явлением. Поэтому сегодня мы обсудим один из таких способов для инъекции кода, - Reflective Injection.
Ранее на Хабре уже обсуждался и данный способ, и различные другие, поэтому конкретно в данной статье мы затронем способ защиты от подобного метода атак.
Еще один год из жизни ReactOS
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/r/w1560/getpro/habr/upload_files/cfd/b30/010/cfdb300108caba434a881aca8120f4cd.png)
Здравствуйте, дорогие друзья!
Вот и заканчивается 2023 год. В этой статье я хочу продолжить начатую в 2021 году традицию вспоминания наиболее важных событий из жизни ReactOS за год. То что статьи не появляются на Хабре, не значит что система мертва. Медленно, но верно, в ReactOS реализуются разные фичи и исправляются баги. И в данной статье мы рассмотрим что произошло в жизни системы в 2023 году.
Process Memory Map
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/r/w1560/getpro/habr/upload_files/0d7/b89/e3e/0d7b89e3e9cd80c78c6d3994c770e62c.png)
Я программист, а то что я еще и реверсер - ну... так совпало. И как любому из людей занимающимся реверсом мне всегда не хватает функционала отладчика. Постоянно приходится допиливать под конкретную задачу какие-то утилитарные вещи и однажды...
Однажды я решил - хватит, каждый раз пилить новое достаточно утомительно, а что если взять и объединить все наработки в один инструмент и пользоваться именно им!
Это будет скорее рекламный пост - но не спешите минусовать, возможности утилиты, о которой пойдет речь, а называется она Process Memory Map, весьма обширны, и возможно вам понравится :)
Итак - что это такое? Она похожа на всем известный инструмент от Марка Руссиновича VMMap (которая кстати частично основана на коде Джефри Рихтера), её задача проанализировать сторонний процесс и вытащить из него максимум данных, о которых она знает.
Паяльная станция «Магистр НеоТерм-3Т». Что внутри?
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/webt/8q/ca/fs/8qcafss_wvlemqfyamoricbfgtq.png)
Вы любите паять? А я очень! В любом занятии важен инструмент. Вот и пайка не исключение. А если работать с другом, то всё становится гораздо интереснее и веселее. Сегодня познакомимся со станцией «НеоТерм-3Т», заглянем внутрь. Узнаем простое, но эффективное и красивое схемное решение и некоторые забавные, но весьма удобные хитрости пайки.
Реверс-инжиниринг и ремонт платы зарядного устройства
![image](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/r/w1560/getpro/habr/upload_files/a57/be5/658/a57be56586d888dad4e49c26e79cee1d.jpg)
Волею случая у меня в руках оказались две неисправные платы от зарядного устройства тяговых аккумуляторов LiFePo. Параметры платы вызывают уважение – она выдает в номинале 48 В при токе до 60 А, то есть мощность платы порядка 3 кВт. Плата подключается к однофазной сети 220/230В. Всего в зарядном устройстве стоит несколько таких плат, они все подключаются параллельно и работают на общую нагрузку. Выпускаются варианты таких зарядных устройств с разным числом плат, соответственно, на разный зарядный ток. Например, как на фото ниже — 3 платы, 180 А.
Запускаем раритетный вольтметр на газоразрядных индикаторах
Часы и термометры с индикацией на ГРИ уже давно стали своеобразным культом в мире электронщиков (а для кого-то — целым бизнесом). Тем сильнее мне хотелось заполучить в коллекцию какой-то прибор промышленного изготовления с индикацией на таких лампах.
Удивительно, но на найденный мною экземпляр в интернете оказалось очень мало информации. А это значит, что самое время поделиться тем, как его подключить и как он работает.
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/webt/lg/hi/qs/lghiqs3ff1qs-vdajwqhxd18d2e.jpeg)
Итак, в сегодняшней статье поговорим о щитовых приборах серии Ф294-Ф299. Узнаем, как они устроены и работают, рассмотрим такой аппарат вместе с полным комплектом, а также разберёмся, зачем ремонтировать новый прибор и как вернуть его к жизни после долгих лет простоя. Традиционно будет много интересного.
Санком. Неизвестный производитель оптических домофонов
В начале лета этого года я уже рассказывал про домофоны с оптическим ключом. И так уж вышло, что в статье речь шла исключительно про самый популярный тип ключа с пятью тройками дырочек. Но, само собой, существовали и другие устройства.
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/webt/yg/2y/f7/yg2yf70xsxh4x1ht6ojjsdntzaq.jpeg)
Итак, сегодня поговорим об оптических считывателях и домофонах ранее неизвестной мне фирмы. Узнаем, как работали их ключи и разберёмся, как всё это запустить. Традиционно будет много интересного.
Ближайшие события
![](https://webcf.waybackmachine.org/web/20240122203904/https://habrastorage.org/getpro/habr/upload_files/a19/719/53a/a1971953a01bb3c9e040f14b296e4887.jpg)
![](https://webcf.waybackmachine.org/web/20240122203904/https://habrastorage.org/getpro/habr/upload_files/5ae/80f/4f0/5ae80f4f0205a8f8159e8e67334ec2e1.png)
![](https://webcf.waybackmachine.org/web/20240122203904/https://habrastorage.org/getpro/habr/upload_files/cd2/94c/bde/cd294cbdeb47f548510f8954aa83951f.png)
![](https://webcf.waybackmachine.org/web/20240122203904/https://habrastorage.org/getpro/habr/upload_files/4b1/219/440/4b12194400681fd006dea0d865c9ea61.png)
![](https://webcf.waybackmachine.org/web/20240122203904/https://habrastorage.org/getpro/habr/upload_files/acb/295/2eb/acb2952eb49ccdc2ca5aaf80cde67c2f.jpg)
![](https://webcf.waybackmachine.org/web/20240122203904/https://habrastorage.org/getpro/habr/upload_files/634/a3a/4a0/634a3a4a0f69c625c17ba92ea45036bb.png)
Анализ виртуальной машины на примере VMProtect. Часть 1
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/r/w780/getpro/habr/upload_files/155/a58/bf2/155a58bf2a6906643f37723ed7786634.jpg)
В этой статье мы рассмотрим, как может выглядеть работа виртуальной машины VMProtect, а также посмотрим, что можно сделать для понимания защищенного функционала (в зависимости от того, как далеко вы готовы зайти в этом не всегда благодарном деле).
Ожидается, что данный материал поможет тем, кто в ходе реагирования на компьютерный инцидент или исследования какой-либо вредоносной активности столкнулся с защитой в виде виртуальной машины.
Зачем на камере и видеорегистраторе нужен криптоблок и как его восстановить
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/webt/eo/rp/ai/eorpaiuldt19i4akmenxdphdckg.png)
Представьте себе ситуацию, когда на камере наблюдения испортилась флэшка с прошивкой, и камера нуждается в ремонте. Берём копеечную флэшку и меняем, а прошивку скопируем с точно такой же камеры. Пять минут рекламы, и теперь камера работает и показывает видеопоток вновь. Но есть нюанс. Дело в том, что она теперь является полной копией камеры-донора прошивки. Это и ежу понятно, они же и были одинаковыми — возразите вы. Были одинаковыми всем, кроме таких настроек, как MAC-адрес и идентификатор в облаке, куда камера сливает свой видеопоток. А теперь они совсем близнецы.
Когда распространились камеры с облачным доступом, массово решились такие проблемы, как доступ к камере без внешнего IP-адреса или с динамическим адресом. Теперь стало ненужным использовать проброс портов на роутере, VPN, динамический DNS, требующие целой инфраструктуры для доступа к камере. Запускай себе приложение, и оно получит доступ к видеопотоку или к архиву через облако. Производители камер в то время пробовали различные варианты, которые часто заканчивались печальными результатами, как с камерами Foscam, связанные с тем, что производитель выбрал путь простоты и дешевизны, а пользователи за него проголосовали рублём. Камеры становились легкодоступными, дешёвыми и, в конце концов, собой просто заполонили весь мир, проникнув в магазины, детские сады, зоопарки, аэропорты, бары, подъезды, офисы, входы, выходы, проходы, пароходы и даже в спальни с туалетами. В крупнейшем каталоге камер insecam.org тогда были сотни тысяч камер со всего мира.
Старый софт: как мы обошли запрос пароля в Shadow Defender и зачем пользоваться приложением, которое не обновляется
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/r/w780/getpro/habr/upload_files/4a3/11b/e05/4a311be05d6759ab36ddbc209a9845b5.jpg)
Привет, Хабр! Меня зовут Илья Буймистров, я занимаюсь исследованиями в области инфобеза для сервиса централизованного управления уязвимостями CICADA8. Это один из проектов блока инноваций FC компании МТС RED.
Чтобы защищать пользователей, надо понимать, где слабые места в их ИТ-системах. Сегодня я расскажу, как можно обойти ввод пароля в достаточно известной программе Shadow Defender. Если вы росли в 2000-х, наверняка сталкивались с ней в компьютерных клубах и других местах, где ПК доступен большому количеству людей. Иногда её называют антивирусом, но не совсем точное определение. Обо всём по порядку.
Погружение в Smali. До и После. Decompile-Change-Build
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/r/w780/getpro/habr/upload_files/528/614/7be/5286147bec808e68f1cb68f8ca1fa894.jpg)
В этой статье я позволю себе немного отклониться от темы, непосредственно касающейся Smali. Сегодня немного о том, откуда приходит Smali и куда возвращается. Поговорим о разборке и сборке файлов APK.
Статья предназначена для людей, которые знают основы разработки приложений под OS Android. Кто считает себя "речным котиком" и "морским мурзиком" в этом деле может спокойно пропустить эту статью мимо глаз.
Оживляем индикатор давления масла из кабины «Боинга»
Не так давно я уже поднимал тему запуска стрелочных авиаприборов, а также некоторых других таких блоков. Если с отечественными всё более-менее понятно, то вот импортные (главным образом от Boeing и Airbus) представляют куда больший интерес, так как на многие из них нет никакой информации даже на зарубежных ресурсах. Так что предлагаю рассмотреть ещё один прибор. По виду он очень похож на предыдущий, но устроен совершенно иначе, так что тоже заслуживает отдельного рассмотрения.
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/webt/kj/y4/cp/kjy4cpftscdqoytxicusabarhta.jpeg)
Итак, в сегодняшней статье поговорим об аналоговых стрелочных авиаприборах. Поговорим, как их запускать и как они устроены. Традиционно будет много интересного.
Протектор и LLVM-обфускатор. Сравнение двух подходов к решению задачи запутывания кода
![](https://webcf.waybackmachine.org/web/20240122203904im_/https://habrastorage.org/r/w780/getpro/habr/upload_files/ddb/7b0/40e/ddb7b040e8f807f189b340901eb85377.jpg)
Добрый день, Хабр!
В данной заметке я постараюсь сравнить два разных подхода к задаче запутывания машинного кода – это протектор и обфускатор, построенный на базе LLVM-фреймворка. Нам пришлось с этим столкнуться, когда возникла задача защиты библиотек Guardant под разные операционные системы и разные ARM-архитектуры. Для x86/x64 мы используем протектор Guardant Armor, который является полностью нашей разработкой. В случае ARM-архитектуры было принято решение параллельно посмотреть в сторону открытых обфускаторов на базе LLVM с целью их модификации и использования для защиты своих продуктов.
Вклад авторов
-
Jeditobe 2567.8 -
ValdikSS 1468.8 -
DrMefistO 1348.0 -
15432 1194.0 -
MaFrance351 960.0 -
VEG 859.0 -
Azya 820.0 -
ID_Daemon 755.0 -
Krupnikas 683.0 -
NikitaTrophimov 578.0