#dll — Public Fediverse posts

TLCBanking-Trojaner bedroht aktuell mehrheitlich brasilianische Nutzer:innen. Aber die hohe Anpassungsfähigkeit lässt erwarten, dass diese Bedrohung auch nach Europa schwappt.
Mehr: https://maniabel.work/archiv/1569

#Banking #DLL-Sideloading #Malware #MSI-Installer #Outlook #Trojaner #WhatsApp #Windows

TLCBanking-Trojaner bedroht aktuell mehrheitlich brasilianische Nutzer:innen. Aber die hohe Anpassungsfähigkeit lässt erwarten, dass diese Bedrohung auch nach Europa schwappt.
Mehr: https://maniabel.work/archiv/1569

#Banking #DLL-Sideloading #Malware #MSI-Installer #Outlook #Trojaner #WhatsApp #Windows

TLCBanking-Trojaner bedroht aktuell mehrheitlich brasilianische Nutzer:innen. Aber die hohe Anpassungsfähigkeit lässt erwarten, dass diese Bedrohung auch nach Europa schwappt.
Mehr: https://maniabel.work/archiv/1569

#Banking #DLL-Sideloading #Malware #MSI-Installer #Outlook #Trojaner #WhatsApp #Windows

TLCBanking-Trojaner bedroht aktuell mehrheitlich brasilianische Nutzer:innen. Aber die hohe Anpassungsfähigkeit lässt erwarten, dass diese Bedrohung auch nach Europa schwappt.
Mehr: https://maniabel.work/archiv/1569

#Banking #DLL-Sideloading #Malware #MSI-Installer #Outlook #Trojaner #WhatsApp #Windows

TLCBanking-Trojaner bedroht aktuell mehrheitlich brasilianische Nutzer:innen. Aber die hohe Anpassungsfähigkeit lässt erwarten, dass diese Bedrohung auch nach Europa schwappt.
Mehr: https://maniabel.work/archiv/1569

#Banking #DLL-Sideloading #Malware #MSI-Installer #Outlook #Trojaner #WhatsApp #Windows

Реверс — это сканворд. Как я впервые нормально понял Ghidra

Привет, Хабр. У меня бывают неожиданные заказы, из неожиданных сфер на фрилансе. Недавно писал про то как прилетел большой проект по классификатору фоток. А теперь пришел запрос на реверс! Не могу вдаваться в подробности проекта - много конфиденциального - но я расскажу про конкретный разбор одного .dll файла. Открыл Ghidra, кликнул на функцию, включил декомпилятор - и передо мной встала стена. Не метафорическая стена. Прям реально стена! И вот пока я эту функцию ковырял, переименовывал переменные, ходил по ссылкам, открывал соседние функции, смотрел строки, в какой-то момент меня щёлкнуло. Это же сканворд.

https://habr.com/ru/articles/1029296/

#reverse_engineering #ghidra #реверсинжиниринг #binary_analysis #dll #decompilation #xrefs #static_analysis #reverse #binary_parsing

Реверс — это сканворд. Как я впервые нормально понял Ghidra

Привет, Хабр. У меня бывают неожиданные заказы, из неожиданных сфер на фрилансе. Недавно писал про то как прилетел большой проект по классификатору фоток. А теперь пришел запрос на реверс! Не могу вдаваться в подробности проекта - много конфиденциального - но я расскажу про конкретный разбор одного .dll файла. Открыл Ghidra, кликнул на функцию, включил декомпилятор - и передо мной встала стена. Не метафорическая стена. Прям реально стена! И вот пока я эту функцию ковырял, переименовывал переменные, ходил по ссылкам, открывал соседние функции, смотрел строки, в какой-то момент меня щёлкнуло. Это же сканворд.

https://habr.com/ru/articles/1029296/

#reverse_engineering #ghidra #реверсинжиниринг #binary_analysis #dll #decompilation #xrefs #static_analysis #reverse #binary_parsing

Реверс — это сканворд. Как я впервые нормально понял Ghidra

Привет, Хабр. У меня бывают неожиданные заказы, из неожиданных сфер на фрилансе. Недавно писал про то как прилетел большой проект по классификатору фоток. А теперь пришел запрос на реверс! Не могу вдаваться в подробности проекта - много конфиденциального - но я расскажу про конкретный разбор одного .dll файла. Открыл Ghidra, кликнул на функцию, включил декомпилятор - и передо мной встала стена. Не метафорическая стена. Прям реально стена! И вот пока я эту функцию ковырял, переименовывал переменные, ходил по ссылкам, открывал соседние функции, смотрел строки, в какой-то момент меня щёлкнуло. Это же сканворд.

https://habr.com/ru/articles/1029296/

#reverse_engineering #ghidra #реверсинжиниринг #binary_analysis #dll #decompilation #xrefs #static_analysis #reverse #binary_parsing

Реверс — это сканворд. Как я впервые нормально понял Ghidra

Привет, Хабр. У меня бывают неожиданные заказы, из неожиданных сфер на фрилансе. Недавно писал про то как прилетел большой проект по классификатору фоток. А теперь пришел запрос на реверс! Не могу вдаваться в подробности проекта - много конфиденциального - но я расскажу про конкретный разбор одного .dll файла. Открыл Ghidra, кликнул на функцию, включил декомпилятор - и передо мной встала стена. Не метафорическая стена. Прям реально стена! И вот пока я эту функцию ковырял, переименовывал переменные, ходил по ссылкам, открывал соседние функции, смотрел строки, в какой-то момент меня щёлкнуло. Это же сканворд.

https://habr.com/ru/articles/1029296/

#reverse_engineering #ghidra #реверсинжиниринг #binary_analysis #dll #decompilation #xrefs #static_analysis #reverse #binary_parsing

#Hackers Exploit c-ares #DLL Side-Loading to Bypass #Security and Deploy #Malware

https://thehackernews.com/2026/01/hackers-exploit-c-ares-dll-side-loading.html

TacLibrary открытая библиотека для разработки игр на Unity 3d (идея создания)

Дисклеймер. Хотя в статье представлены некоторые наработки, она не претендует на готовое решение. Её цель — описать идею и подход к созданию открытой библиотеки, а также привлечь внимание к проблемам, с которыми сталкиваются разработчики игр. Автор является профессиональным программистом, однако разработка игр остаётся для него областью хобби. Продумывая программную архитектуру различных прототипов игр на Unity 3D, решил поделится рядом соображений и заодно структурировать, и описать свой подход к реализации архитектуры. Конечно, очень редко можно договорится о соблюдении некоторой архитектуры при разработке. Тут как правило две проблемы в описании архитектуры как законченной сущности, и её понимании другими. Нам потребуется многослойное понимание проблемы, к сожалению, язык последовательно синхронный и не позволяет сразу дать всесторонние описание. Но начнем мы с более простого, с описания частной проблемы, концепции класса AgentPoint , для глубины понимания я буду давать ссылки, изучение которых позволит понять проблему детализировано. В статье же скорее останется лишь легковесное описание, не рассчитывайте на глубокое понимание, если не пройдете по ссылкам. Но тем не менее я попробую, основы объяснить прямо тут.

https://habr.com/ru/articles/983524/

#unity3d #dll #ооп_программирование #С# #архитектура #игры

Vulnerabilidad de secuestro de DLL de Notepad++ https://blog.elhacker.net/2025/09/vulnerabilidad-secuestro-dll-notepad-plus-plus.html #notepad++ #dll

Martin Fugmann (Heraeus Bildungsstiftung) & Dr. Norbert Kreutzmann: Voraussetzungen für Digital Learning Leadership (#DLL) Haltung, Fehlerkultur und ein schulweiter Konsens für agiles Handeln. #KonfBD25 #FediLZ #smj25

Защита от тёмных искусств: DLL-Hijacking

Представьте: пользователь открывает совершенно легитимную программу — скажем, видеоплеер, корпоративный мессенджер или даже встроенный в Windows инструмент. Программа запускается, выполняет свои функции. Антивирус молчит. Мониторы пользователя не показывают ничего подозрительного. Но в этот самый момент, под прикрытием доверенного процесса, в памяти компьютера уже тихо работает вредоносный код, крадущий конфиденциальные данные или готовящий почву для атаки на сеть. Как он туда попал и почему не был обнаружен? Один из возможных вариантов — использование атакующими техники DLL-Hijacking ( Mitre T1574.001 ). Я встречал мнение, что техника (а если быть точным, то это подтехника для T1574: Hijack Execution Flow ) DLL Hijacking — баян десятилетней давности и не может считаться актуальной угрозой для корпоративных Windows-сред. Затрудняюсь определить причину такого мнения, потому что атаки с использованием DLL-библиотек явно не ушли в прошлое — их по-прежнему упоминают в уважаемых отчетах по кибербезу — к примеру, здесь (Mandiant M-Trends 2024, стр.50) и здесь (Лаборатория Касперского, «Азиатские APT-группировки: тактики, техники и процедуры»). Причин широкого распространения таких атак несколько. В первую очередь, это скрытность, так как вредоносное ПО выполняется в контексте легитимного процесса, обходя сигнатурные проверки антивирусов, а для обнаружения требуется EDR и навыки работы с ним. Во-вторых, простота, так как для успеха часто достаточно лишь правильно названного файла .dll, помещенного в «нужную» папку, куда пользователь или приложение его случайно положат или откуда запустят уязвимую программу. В-третьих, техника работает на всех актуальных версиях Windows, поскольку уязвимы не столько сами ОС, сколько миллионы приложений, полагающихся на стандартный (и небезопасный по умолчанию) механизм поиска библиотек. Наконец, как мне думается, в последнее время из-за распространения нейросетей сильно упал входной порог компетенций для конструкторов вредоносов. Я не эксперт в разработке приложений, но подозреваю, что написать вредоносную dll-библиотеку с помощью ChatGPT значительно проще, чем без него. В этой статье мы: За 90 секунд освежим в памяти, что такое DLL, как работает, в чем фундаментальная уязвимость механизма загрузки. Осветим примеры атак с подменой DLL согласно их классификации. Расскажем о защитных мерах для предотвращения атак этого типа. Приведем рекомендации для SOC по обнаружению атаки (и объясним, почему цифровая подпись — не гарантия легитимности библиотеки). Итак, добро пожаловать под кат!

https://habr.com/ru/companies/first/articles/929734/

#DLL #dll_hijacking #dll_search #incident_response #security

Защита от тёмных искусств: DLL-Hijacking

Представьте: пользователь открывает совершенно легитимную программу — скажем, видеоплеер, корпоративный мессенджер или даже встроенный в Windows инструмент. Программа запускается, выполняет свои функции. Антивирус молчит. Мониторы пользователя не показывают ничего подозрительного. Но в этот самый момент, под прикрытием доверенного процесса, в памяти компьютера уже тихо работает вредоносный код, крадущий конфиденциальные данные или готовящий почву для атаки на сеть. Как он туда попал и почему не был обнаружен? Один из возможных вариантов — использование атакующими техники DLL-Hijacking ( Mitre T1574.001 ). Я встречал мнение, что техника (а если быть точным, то это подтехника для T1574: Hijack Execution Flow ) DLL Hijacking — баян десятилетней давности и не может считаться актуальной угрозой для корпоративных Windows-сред. Затрудняюсь определить причину такого мнения, потому что атаки с использованием DLL-библиотек явно не ушли в прошлое — их по-прежнему упоминают в уважаемых отчетах по кибербезу — к примеру, здесь (Mandiant M-Trends 2024, стр.50) и здесь (Лаборатория Касперского, «Азиатские APT-группировки: тактики, техники и процедуры»). Причин широкого распространения таких атак несколько. В первую очередь, это скрытность, так как вредоносное ПО выполняется в контексте легитимного процесса, обходя сигнатурные проверки антивирусов, а для обнаружения требуется EDR и навыки работы с ним. Во-вторых, простота, так как для успеха часто достаточно лишь правильно названного файла .dll, помещенного в «нужную» папку, куда пользователь или приложение его случайно положат или откуда запустят уязвимую программу. В-третьих, техника работает на всех актуальных версиях Windows, поскольку уязвимы не столько сами ОС, сколько миллионы приложений, полагающихся на стандартный (и небезопасный по умолчанию) механизм поиска библиотек. Наконец, как мне думается, в последнее время из-за распространения нейросетей сильно упал входной порог компетенций для конструкторов вредоносов. Я не эксперт в разработке приложений, но подозреваю, что написать вредоносную dll-библиотеку с помощью ChatGPT значительно проще, чем без него. В этой статье мы: За 90 секунд освежим в памяти, что такое DLL, как работает, в чем фундаментальная уязвимость механизма загрузки. Осветим примеры атак с подменой DLL согласно их классификации. Расскажем о защитных мерах для предотвращения атак этого типа. Приведем рекомендации для SOC по обнаружению атаки (и объясним, почему цифровая подпись — не гарантия легитимности библиотеки). Итак, добро пожаловать под кат!

https://habr.com/ru/companies/first/articles/929734/

#DLL #dll_hijacking #dll_search #incident_response #security

Защита от тёмных искусств: DLL-Hijacking

Представьте: пользователь открывает совершенно легитимную программу — скажем, видеоплеер, корпоративный мессенджер или даже встроенный в Windows инструмент. Программа запускается, выполняет свои функции. Антивирус молчит. Мониторы пользователя не показывают ничего подозрительного. Но в этот самый момент, под прикрытием доверенного процесса, в памяти компьютера уже тихо работает вредоносный код, крадущий конфиденциальные данные или готовящий почву для атаки на сеть. Как он туда попал и почему не был обнаружен? Один из возможных вариантов — использование атакующими техники DLL-Hijacking ( Mitre T1574.001 ). Я встречал мнение, что техника (а если быть точным, то это подтехника для T1574: Hijack Execution Flow ) DLL Hijacking — баян десятилетней давности и не может считаться актуальной угрозой для корпоративных Windows-сред. Затрудняюсь определить причину такого мнения, потому что атаки с использованием DLL-библиотек явно не ушли в прошлое — их по-прежнему упоминают в уважаемых отчетах по кибербезу — к примеру, здесь (Mandiant M-Trends 2024, стр.50) и здесь (Лаборатория Касперского, «Азиатские APT-группировки: тактики, техники и процедуры»). Причин широкого распространения таких атак несколько. В первую очередь, это скрытность, так как вредоносное ПО выполняется в контексте легитимного процесса, обходя сигнатурные проверки антивирусов, а для обнаружения требуется EDR и навыки работы с ним. Во-вторых, простота, так как для успеха часто достаточно лишь правильно названного файла .dll, помещенного в «нужную» папку, куда пользователь или приложение его случайно положат или откуда запустят уязвимую программу. В-третьих, техника работает на всех актуальных версиях Windows, поскольку уязвимы не столько сами ОС, сколько миллионы приложений, полагающихся на стандартный (и небезопасный по умолчанию) механизм поиска библиотек. Наконец, как мне думается, в последнее время из-за распространения нейросетей сильно упал входной порог компетенций для конструкторов вредоносов. Я не эксперт в разработке приложений, но подозреваю, что написать вредоносную dll-библиотеку с помощью ChatGPT значительно проще, чем без него. В этой статье мы: За 90 секунд освежим в памяти, что такое DLL, как работает, в чем фундаментальная уязвимость механизма загрузки. Осветим примеры атак с подменой DLL согласно их классификации. Расскажем о защитных мерах для предотвращения атак этого типа. Приведем рекомендации для SOC по обнаружению атаки (и объясним, почему цифровая подпись — не гарантия легитимности библиотеки). Итак, добро пожаловать под кат!

https://habr.com/ru/companies/first/articles/929734/

#DLL #dll_hijacking #dll_search #incident_response #security

Защита от тёмных искусств: DLL-Hijacking

Представьте: пользователь открывает совершенно легитимную программу — скажем, видеоплеер, корпоративный мессенджер или даже встроенный в Windows инструмент. Программа запускается, выполняет свои функции. Антивирус молчит. Мониторы пользователя не показывают ничего подозрительного. Но в этот самый момент, под прикрытием доверенного процесса, в памяти компьютера уже тихо работает вредоносный код, крадущий конфиденциальные данные или готовящий почву для атаки на сеть. Как он туда попал и почему не был обнаружен? Один из возможных вариантов — использование атакующими техники DLL-Hijacking ( Mitre T1574.001 ). Я встречал мнение, что техника (а если быть точным, то это подтехника для T1574: Hijack Execution Flow ) DLL Hijacking — баян десятилетней давности и не может считаться актуальной угрозой для корпоративных Windows-сред. Затрудняюсь определить причину такого мнения, потому что атаки с использованием DLL-библиотек явно не ушли в прошлое — их по-прежнему упоминают в уважаемых отчетах по кибербезу — к примеру, здесь (Mandiant M-Trends 2024, стр.50) и здесь (Лаборатория Касперского, «Азиатские APT-группировки: тактики, техники и процедуры»). Причин широкого распространения таких атак несколько. В первую очередь, это скрытность, так как вредоносное ПО выполняется в контексте легитимного процесса, обходя сигнатурные проверки антивирусов, а для обнаружения требуется EDR и навыки работы с ним. Во-вторых, простота, так как для успеха часто достаточно лишь правильно названного файла .dll, помещенного в «нужную» папку, куда пользователь или приложение его случайно положат или откуда запустят уязвимую программу. В-третьих, техника работает на всех актуальных версиях Windows, поскольку уязвимы не столько сами ОС, сколько миллионы приложений, полагающихся на стандартный (и небезопасный по умолчанию) механизм поиска библиотек. Наконец, как мне думается, в последнее время из-за распространения нейросетей сильно упал входной порог компетенций для конструкторов вредоносов. Я не эксперт в разработке приложений, но подозреваю, что написать вредоносную dll-библиотеку с помощью ChatGPT значительно проще, чем без него. В этой статье мы: За 90 секунд освежим в памяти, что такое DLL, как работает, в чем фундаментальная уязвимость механизма загрузки. Осветим примеры атак с подменой DLL согласно их классификации. Расскажем о защитных мерах для предотвращения атак этого типа. Приведем рекомендации для SOC по обнаружению атаки (и объясним, почему цифровая подпись — не гарантия легитимности библиотеки). Итак, добро пожаловать под кат!

https://habr.com/ru/companies/first/articles/929734/

#DLL #dll_hijacking #dll_search #incident_response #security

What were the MS-DOS programs that the moricons.dll icons were intended for?

https://devblogs.microsoft.com/oldnewthing/20250507-00/?p=111157

#HackerNews #MSDOS #Programs #moricons #DLL #Icons #Tech #History #Retro #Computing

Mavinject.exe: inyección de DLL utilizando la utilidad legítima de MS https://blog.elhacker.net/2025/04/mavinjectexe-inyeccion-de-dll.html #inyección #microsoft #Windows #dll

How ToddyCat tried to hide behind AV software – Source: securelist.com https://ciso2ciso.com/how-toddycat-tried-to-hide-behind-av-software-source-securelist-com/ #Vulnerabilitiesandexploits #AntivirusVulnerabilities #rssfeedpostgeneratorecho #zerodayvulnerabilities #APT(Targetedattacks) #MalwareDescriptions #MalwareTechnologies #CyberSecurityNews #Defenseevasion #Windowsmalware #securelistcom #Encryption #Incidents #ToddyCat #Drivers #Malware #Trojan #BYOVD #APT #CVE #DLL

How ToddyCat tried to hide behind AV software – Source: securelist.com https://ciso2ciso.com/how-toddycat-tried-to-hide-behind-av-software-source-securelist-com/ #Vulnerabilitiesandexploits #AntivirusVulnerabilities #rssfeedpostgeneratorecho #zerodayvulnerabilities #APT(Targetedattacks) #MalwareDescriptions #MalwareTechnologies #CyberSecurityNews #Defenseevasion #Windowsmalware #securelistcom #Encryption #Incidents #ToddyCat #Drivers #Malware #Trojan #BYOVD #APT #CVE #DLL

How ToddyCat tried to hide behind AV software – Source: securelist.com https://ciso2ciso.com/how-toddycat-tried-to-hide-behind-av-software-source-securelist-com/ #Vulnerabilitiesandexploits #AntivirusVulnerabilities #rssfeedpostgeneratorecho #zerodayvulnerabilities #APT(Targetedattacks) #MalwareDescriptions #MalwareTechnologies #CyberSecurityNews #Defenseevasion #Windowsmalware #securelistcom #Encryption #Incidents #ToddyCat #Drivers #Malware #Trojan #BYOVD #APT #CVE #DLL

How ToddyCat tried to hide behind AV software – Source: securelist.com https://ciso2ciso.com/how-toddycat-tried-to-hide-behind-av-software-source-securelist-com/ #Vulnerabilitiesandexploits #AntivirusVulnerabilities #rssfeedpostgeneratorecho #zerodayvulnerabilities #APT(Targetedattacks) #MalwareDescriptions #MalwareTechnologies #CyberSecurityNews #Defenseevasion #Windowsmalware #securelistcom #Encryption #Incidents #ToddyCat #Drivers #Malware #Trojan #BYOVD #APT #CVE #DLL

👨‍💻 Oh, joy! Another thrilling deep dive into why Span<T> is the Usain Bolt of byte array comparisons, leaving poor old 'msvcrt.dll' in the dust. 🚀 Because, clearly, the world desperately needed a solution to a problem nobody was complaining about. 🙄🔍
https://richardcocks.github.io/2025-03-30-FasterThanMemCmp.html #SpanT #UsainBolt #byteArrayComparison #msvcrt #dll #techHumor #developerLife #HackerNews #ngated

StaryDobry ruins New Year’s Eve, delivering miner instead of presents – Source: securelist.com https://ciso2ciso.com/starydobry-ruins-new-years-eve-delivering-miner-instead-of-presents-source-securelist-com/ #rssfeedpostgeneratorecho #MalwareDescriptions #MalwareTechnologies #CyberSecurityNews #Financialthreats #Windowsmalware #Gamingmalware #securelistcom #spoofing #Malware #Torrent #Trojan #Miner #XMrig #DLL

StaryDobry ruins New Year’s Eve, delivering miner instead of presents – Source: securelist.com https://ciso2ciso.com/starydobry-ruins-new-years-eve-delivering-miner-instead-of-presents-source-securelist-com/ #rssfeedpostgeneratorecho #MalwareDescriptions #MalwareTechnologies #CyberSecurityNews #Financialthreats #Windowsmalware #Gamingmalware #securelistcom #spoofing #Malware #Torrent #Trojan #Miner #XMrig #DLL

StaryDobry ruins New Year’s Eve, delivering miner instead of presents – Source: securelist.com https://ciso2ciso.com/starydobry-ruins-new-years-eve-delivering-miner-instead-of-presents-source-securelist-com/ #rssfeedpostgeneratorecho #MalwareDescriptions #MalwareTechnologies #CyberSecurityNews #Financialthreats #Windowsmalware #Gamingmalware #securelistcom #spoofing #Malware #Torrent #Trojan #Miner #XMrig #DLL

StaryDobry ruins New Year’s Eve, delivering miner instead of presents – Source: securelist.com https://ciso2ciso.com/starydobry-ruins-new-years-eve-delivering-miner-instead-of-presents-source-securelist-com/ #rssfeedpostgeneratorecho #MalwareDescriptions #MalwareTechnologies #CyberSecurityNews #Financialthreats #Windowsmalware #Gamingmalware #securelistcom #spoofing #Malware #Torrent #Trojan #Miner #XMrig #DLL

What are the mechanisms that control exported symbols when cross-compiling a shared library for Windows using MingW? The latest build of DuckDB (our dependency) fails to export the C-API symbols (but the symbols from other objects are present). The first bad commit doesn't seem to change anything with the build. Where can we look next?

- Issue: https://github.com/duckdb/duckdb/issues/13911
- First bad commit: https://github.com/duckdb/duckdb/commit/d1ea1538c9217fb536485f1500f04a0b55b1e584
- Julia discussion: https://discourse.julialang.org/t/debugging-could-not-load-symbol-from-jll-package/125340/

#MinGW #DuckDB #CAPI #Windows #DLL

Cloud Atlas seen using a new tool in its attacks – Source: securelist.com https://ciso2ciso.com/cloud-atlas-seen-using-a-new-tool-in-its-attacks-source-securelist-com/ #rssfeedpostgeneratorecho #MalwareDescriptions #MalwareTechnologies #CyberSecurityNews #Windowsmalware #Cloudservices #securelistcom #CloudAtlas #PowerShell #datatheft #backdoor #Phishing #Telegram #Malware #DLL #HTA #VBS

Cloud Atlas seen using a new tool in its attacks – Source: securelist.com https://ciso2ciso.com/cloud-atlas-seen-using-a-new-tool-in-its-attacks-source-securelist-com/ #rssfeedpostgeneratorecho #MalwareDescriptions #MalwareTechnologies #CyberSecurityNews #Windowsmalware #Cloudservices #securelistcom #CloudAtlas #PowerShell #datatheft #backdoor #Phishing #Telegram #Malware #DLL #HTA #VBS

Cloud Atlas seen using a new tool in its attacks – Source: securelist.com https://ciso2ciso.com/cloud-atlas-seen-using-a-new-tool-in-its-attacks-source-securelist-com/ #rssfeedpostgeneratorecho #MalwareDescriptions #MalwareTechnologies #CyberSecurityNews #Windowsmalware #Cloudservices #securelistcom #CloudAtlas #PowerShell #datatheft #backdoor #Phishing #Telegram #Malware #DLL #HTA #VBS

Запускаем 64-битную библиотеку в пространстве WOW64, часть 1

Приветствую всех! Сегодня я вам представлю свои наработки по способу инжекта 64-битных DLL библиотек в процессы WOW64, сам который считал невозможным. Любителей потрогать внутренности Windows приглашаю под кат. Зайдем поглубже

https://habr.com/ru/articles/826836/

#c++ #dll #injection #wow64 #x64

Versión con malware de Notepad++ https://blog.elhacker.net/2024/04/version-con-malware-de-notepad-plus-plus.html #hijacking #notepad++ #Malware #dll

// start a second copy of or process in a suspended state so we can set up our callback safely
if (!CreateProcessA(NULL, file_path, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi)) {
printf("C() failed, error: %d\n", GetLastError());
}

// overwrite the g_ptr_table in the child process with the already initialized one
if (!WriteProcessMemory(pi.hProcess, &g_ptr_table, &g_ptr_table, sizeof(PTR_TABLE), NULL)) {
printf("Write 1 failed, error: %d\n", GetLastError());
}

// ntdll pointer are encoded using the system pointer cookie located at SharedUserData!Cookie
LPVOID callback_ptr = encode_system_ptr(&LdrGetProcedureAddressCallback);

// set ntdll!AvrfpAPILookupCallbackRoutine to our encoded callback address
if (!WriteProcessMemory(pi.hProcess, (LPVOID)(avrfp_address + 8), &callback_ptr, sizeof(ULONG_PTR), NULL)) {
printf("Write 2 failed, error: %d\n", GetLastError());
}

// set ntdll!AvrfpAPILookupCallbacksEnabled to TRUE
uint8_t bool_true = 1;

if (!WriteProcessMemory(pi.hProcess, (LPVOID)avrfp_address, &bool_true, 1, NULL)) {
printf("Write 3 failed, error: %d\n", GetLastError());
}

// resume the process
ResumeThread(pi.hThread);

DLL proxying and side loading is a fun time :D

#security #cpp #codeisn'tmine #DLL #peb

Natürlich ist auch die @unileipzig diese Woche auf der #Buchmesse #Leipzig, im #Unibund mit @unijena und #UniHalle. Top-Themen wie gesellschaftlicher Zusammenhalt, das „ungebaute Leipzig“, BookTok & Bookstragram. Auch stellt die aktuelle #Tippgemeinschaft vom #Literaturinstitut #DLL ihr Buch vor. Last but not least: #Leipzigliest an/mit Uni. Übersicht: https://www.uni-leipzig.de/universitaet/service/medien-und-kommunikation/veranstaltungsportal/buchmesse

I created this video in 2022, it explores an intriguing capability of Vim: the ability to call functions from Dynamic-link libraries (DLLs). Shared libraries, commonly known as DLLs, play a crucial role in software development. Vim surprisingly allows us to invoke functions residing within these DLLs.
#vim #v_programming_language #vlang #dll
https://youtu.be/ZmC33nAnNQA

Today in BoneQuest History for February 15th 2006 "ALL IN THE GAME" https://bonequest.com/2666 #bonequest :pants: #bonequest_hi_fi #choking #dc_comics #dll #filename #fisting #funloving_nonsense #huffy_pants #modem #not_gay #pants_solo #superman #the_wire #windows #wwii

DLL proxying has been a fun learning experience :D
There are even tools that can show the exported functions of a binary so you don't have to manually figure out which functions to forward!

#security #dll #proxying #defenseevasion

Выполняем сторонние программы на микроконтроллерах с Гарвардской архитектурой: как загружать программы без знания ABI?

Зачастую в процессе разработки собственных устройств или моддинга уже существующих, встаёт задача выполнения стороннего кода: будь то ваши собственные программы с SD-флэшек, или программы, написанные другими пользователями с помощью SDK для вашего устройства. Тема компиляторов и кодогенерации достаточно сложная: чтобы просто загрузить ELF или EXE (PE) программу, вам нужно досконально разбираться в особенностях вашей архитектуры: что такое ABI, релокации, GOT, отличие -fPIE от -fPIC, как писать скрипты для ld и т. п. Недавно я копал SDK для первых версий Symbian и основываясь на решениях из этой ОС понял, каким образом можно сделать крайне «дешевую» загрузку любого нативного кода практически на любом микроконтроллере, совершенно не вникая в особенности кодогенерации под неё! Сегодня мы с вами: узнаем, что происходит в процессе загрузки программы ядром Linux, рассмотрим концепцию, предложенную Symbian Foundation и реализуем её на практике для относительно малоизвестной архитектуры — XTensa (хотя она используется в ESP32, детали её реализации «под капотом» для многих остаются загадкой). Интересно? Тогда добро пожаловать под кат!

https://habr.com/ru/companies/timeweb/articles/784408/

#timeweb_статьи #bodyawm_ништячки #микроконтроллеры #микропроцессоры #esp32 #elf #binary #бинарные_файлы #exe #dll #so #executable #исполняемый_файл #программа #программы #загрузчик #линкер #linker #ld #gnu_ld #gcc #cc #xtensa #esp8266 #avr #atmega #attiny #pic #компоновщик #C #C++ #системное_программирование