Комментарии на сайте Волчьи IT-мысли http://sww-it.ru Компьютерная безопасность, IT, антивирусная индустрия. Mon, 09 Aug 2010 10:13:01 +0000 hourly 1 http://wordpress.org/?v=abc Комментарий к записи Полезные блоги (admin) http://sww-it.ru/resources/comment-page-1#comment-3684 admin Mon, 09 Aug 2010 10:13:01 +0000 http://sww-it.ru/?page_id=226#comment-3684 Не получится, т.к. оно у меня в пакете Google Reader. Чтобы удалить ссылку, надо удалить тебя из моего списка, а я не хочу этого делать :) Писать мне можно на мыло, которое можно найти в профиле ЖЖ. Не получится, т.к. оно у меня в пакете Google Reader. Чтобы удалить ссылку, надо удалить тебя из моего списка, а я не хочу этого делать :) Писать мне можно на мыло, которое можно найти в профиле ЖЖ.

]]> Комментарий к записи Полезные блоги (kernel-net) http://sww-it.ru/resources/comment-page-1#comment-3683 kernel-net Mon, 09 Aug 2010 07:50:00 +0000 http://sww-it.ru/?page_id=226#comment-3683 А нельзя ли удалить ссылку "Windows Kernel Network" ? Блог вообще был замыслен, как "для себя" - типа узелки на память. Совершенно не против, если его читают хорошие люди, их френды, френды френдов и.т.д. Но люто, бешенно ненавижу рефералов :). По сему ссылки - зло :). Заранее прошу прощения за беспокойство :)) PS: комент тоже в топку надо отправить - не нашел просто способа отправить приватное сообщение. А нельзя ли удалить ссылку «Windows Kernel Network» ? Блог вообще был замыслен, как «для себя» – типа узелки на память. Совершенно не против, если его читают хорошие люди, их френды, френды френдов и.т.д. Но люто, бешенно ненавижу рефералов :). По сему ссылки – зло :). Заранее прошу прощения за беспокойство :))

PS: комент тоже в топку надо отправить – не нашел просто способа отправить приватное сообщение.

]]> Комментарий к записи Полезные блоги (bropsyopilino) http://sww-it.ru/resources/comment-page-1#comment-3533 bropsyopilino Fri, 23 Jul 2010 19:29:20 +0000 http://sww-it.ru/?page_id=226#comment-3533 Регистрируюсь на форуме. Регистрируюсь на форуме.

]]> Комментарий к записи Использование мэппинга драйверов (SWW) http://sww-it.ru/2010-07-08/485/comment-page-1#comment-3388 SWW Thu, 08 Jul 2010 13:46:15 +0000 http://sww-it.ru/?p=485#comment-3388 Угу, совершенно верно, можно и так. Угу, совершенно верно, можно и так.

]]> Комментарий к записи Использование мэппинга драйверов (kernel-net) http://sww-it.ru/2010-07-08/485/comment-page-1#comment-3387 kernel-net Thu, 08 Jul 2010 13:19:50 +0000 http://sww-it.ru/?p=485#comment-3387 можно прямо из отладчика: .kdfiles -m \systemroot\system32\drivers\driver32.sys C:\1\driver32.sys чтобы руки не ломать, можно сохранить: .kdfiles -s drv32 а потом загружать так: .kdfiles drv32 сбросить меппинг: .kdfiles -c если работать с несколькими драйверами, так может быть удобнее, чем в переменную окружения забивать Ну и надо помнить, что так просто с бутовыми драйверами не прокатит можно прямо из отладчика:
.kdfiles -m \systemroot\system32\drivers\driver32.sys C:\1\driver32.sys

чтобы руки не ломать, можно сохранить:
.kdfiles -s drv32

а потом загружать так:
.kdfiles drv32

сбросить меппинг:
.kdfiles -c

если работать с несколькими драйверами, так может быть удобнее, чем в переменную окружения забивать

Ну и надо помнить, что так просто с бутовыми драйверами не прокатит

]]> Комментарий к записи IDA Pro 5.7 (admin) http://sww-it.ru/2010-07-03/479/comment-page-1#comment-3374 admin Tue, 06 Jul 2010 05:53:33 +0000 http://sww-it.ru/?p=479#comment-3374 Надо бы проверить изменилось ли что-нибудь, но теперь я понял о чем речь. Да, IDA теряется довольно часто в оптимизированных функциях (sp analyze failed и т.п.). Насчет остального мяса - надо посмотреть внимательно :) <blockquote cite="comment-3373"> Зондирование XD Кроме того, забавно само наличие референса туда отсюда. </blockquote> А, ну ладно. Зато референс оттуда сюда - бан по маске :) Надо бы проверить изменилось ли что-нибудь, но теперь я понял о чем речь. Да, IDA теряется довольно часто в оптимизированных функциях (sp analyze failed и т.п.). Насчет остального мяса – надо посмотреть внимательно :)

Зондирование XD
Кроме того, забавно само наличие референса туда отсюда.

А, ну ладно. Зато референс оттуда сюда – бан по маске :)

]]> Комментарий к записи IDA Pro 5.7 (Four Evil Monkeys) http://sww-it.ru/2010-07-03/479/comment-page-1#comment-3373 Four Evil Monkeys Tue, 06 Jul 2010 04:51:34 +0000 http://sww-it.ru/?p=479#comment-3373 Скрин? Да сколько угодно (: http://img535.imageshack.us/img535/952/72867200.png http://img59.imageshack.us/img59/3816/94497381.png http://img541.imageshack.us/img541/255/54793615.png http://img101.imageshack.us/img101/2908/70696536.png http://img59.imageshack.us/img59/1884/52648538.png http://img59.imageshack.us/img59/4586/64029854.png http://img59.imageshack.us/img59/97/58609742.png (Рандомно выбраная функция из заново созданной базы из ntdll. Для сколь-нибудь объёмных процедур из ntoskrnl получалось не лучше – это можно представить, да). Править всё это, конечно, нереально – но, благо, с публичными символами (или без оных) IDA выполняет прекрасную работу, после чего можно уже и переменные\аргументы из символов выскрипсти. Это всё к тому, что многие казалось бы базовые вещи до сего дня не получили нормальной реализации ;( >дрвеп Зондирование XD Кроме того, забавно само наличие референса туда отсюда. Скрин? Да сколько угодно (:
http://img535.imageshack.us/img535/952/72867200.png
http://img59.imageshack.us/img59/3816/94497381.png
http://img541.imageshack.us/img541/255/54793615.png
http://img101.imageshack.us/img101/2908/70696536.png
http://img59.imageshack.us/img59/1884/52648538.png
http://img59.imageshack.us/img59/4586/64029854.png
http://img59.imageshack.us/img59/97/58609742.png
(Рандомно выбраная функция из заново созданной базы из ntdll. Для сколь-нибудь объёмных процедур из ntoskrnl получалось не лучше – это можно представить, да).
Править всё это, конечно, нереально – но, благо, с публичными символами (или без оных) IDA выполняет прекрасную работу, после чего можно уже и переменные\аргументы из символов выскрипсти. Это всё к тому, что многие казалось бы базовые вещи до сего дня не получили нормальной реализации ;(

>дрвеп
Зондирование XD
Кроме того, забавно само наличие референса туда отсюда.

]]> Комментарий к записи IDA Pro 5.7 (admin) http://sww-it.ru/2010-07-03/479/comment-page-1#comment-3367 admin Mon, 05 Jul 2010 15:23:52 +0000 http://sww-it.ru/?p=479#comment-3367 Можно скрин или базу посмотреть? IDA не все может на автомате, но если показывать ей что и как ручками, то получается вполне сносно. С другой стороны, я активно пользуюсь декомпилятором Hex-Rays, а то, что он не понимает разбираю уже руками сам. И зачем было давать ссылку на дрвеп? :) Можно скрин или базу посмотреть? IDA не все может на автомате, но если показывать ей что и как ручками, то получается вполне сносно. С другой стороны, я активно пользуюсь декомпилятором Hex-Rays, а то, что он не понимает разбираю уже руками сам.

И зачем было давать ссылку на дрвеп? :)

]]> Комментарий к записи IDA Pro 5.7 (Three Evil Monkeys) http://sww-it.ru/2010-07-03/479/comment-page-1#comment-3364 Three Evil Monkeys Sun, 04 Jul 2010 14:05:18 +0000 http://sww-it.ru/?p=479#comment-3364 Написано, что улучшилась поддержка символов. Интересно как оно, больше по умолчанию не превращает более-менее серьёзные бинарники с приватной символьной информацией в дьявольскую кашу? [Модули наподобие оптимизированных с профилировщиком, со множественным переплетением функциональных хвостов и агрессивным переиспользованием пространства стекового фрейма – ntoskrnl.exe, например – после первичного анализа с _публичными символами_ сейчас во сто крат лучше выглядят, чем они же с приватными]. А то вот думается – стоит покупать сейчас, или же подождать более бесплатной версии? :D Написано, что улучшилась поддержка символов. Интересно как оно, больше по умолчанию не превращает более-менее серьёзные бинарники с приватной символьной информацией в дьявольскую кашу? [Модули наподобие оптимизированных с профилировщиком, со множественным переплетением функциональных хвостов и агрессивным переиспользованием пространства стекового фрейма – ntoskrnl.exe, например – после первичного анализа с _публичными символами_ сейчас во сто крат лучше выглядят, чем они же с приватными].
А то вот думается – стоит покупать сейчас, или же подождать более бесплатной версии? :D

]]> Комментарий к записи Рингтоны от Лаборатории Касперского (S10) http://sww-it.ru/2009-07-27/280/comment-page-1#comment-3314 S10 Tue, 29 Jun 2010 06:04:58 +0000 http://sww-it.ru/?p=280#comment-3314 Мда, текста реально уг. Мда, текста реально уг.

]]>