#reverse_engineering — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #reverse_engineering, aggregated by home.social.
-
Реверс — это сканворд. Как я впервые нормально понял Ghidra
Привет, Хабр. У меня бывают неожиданные заказы, из неожиданных сфер на фрилансе. Недавно писал про то как прилетел большой проект по классификатору фоток. А теперь пришел запрос на реверс! Не могу вдаваться в подробности проекта - много конфиденциального - но я расскажу про конкретный разбор одного .dll файла. Открыл Ghidra, кликнул на функцию, включил декомпилятор - и передо мной встала стена. Не метафорическая стена. Прям реально стена! И вот пока я эту функцию ковырял, переименовывал переменные, ходил по ссылкам, открывал соседние функции, смотрел строки, в какой-то момент меня щёлкнуло. Это же сканворд.
https://habr.com/ru/articles/1029296/
#reverse_engineering #ghidra #реверсинжиниринг #binary_analysis #dll #decompilation #xrefs #static_analysis #reverse #binary_parsing
-
Охота на CVE в Cursor IDE: полный технический разбор безопасности AI-редактора
Cursor — AI-powered IDE на базе VS Code, которая обрабатывает миллионы строк кода разработчиков через свои серверы. Когда я задумался о безопасности этого продукта, возник вопрос: насколько надёжна серверная модель авторизации, которая стоит между бесплатным пользователем и Claude 4 Opus?
https://habr.com/ru/articles/1028196/
#cursor_ide #security_research #prototype_pollution #protobuf #grpc #connectrpc #cve #reverse_engineering #ai_security #bug_bounty
-
Охота на CVE в Cursor IDE: полный технический разбор безопасности AI-редактора
Cursor — AI-powered IDE на базе VS Code, которая обрабатывает миллионы строк кода разработчиков через свои серверы. Когда я задумался о безопасности этого продукта, возник вопрос: насколько надёжна серверная модель авторизации, которая стоит между бесплатным пользователем и Claude 4 Opus?
https://habr.com/ru/articles/1028196/
#cursor_ide #security_research #prototype_pollution #protobuf #grpc #connectrpc #cve #reverse_engineering #ai_security #bug_bounty
-
Охота на CVE в Cursor IDE: полный технический разбор безопасности AI-редактора
Cursor — AI-powered IDE на базе VS Code, которая обрабатывает миллионы строк кода разработчиков через свои серверы. Когда я задумался о безопасности этого продукта, возник вопрос: насколько надёжна серверная модель авторизации, которая стоит между бесплатным пользователем и Claude 4 Opus?
https://habr.com/ru/articles/1028196/
#cursor_ide #security_research #prototype_pollution #protobuf #grpc #connectrpc #cve #reverse_engineering #ai_security #bug_bounty
-
Охота на CVE в Cursor IDE: полный технический разбор безопасности AI-редактора
Cursor — AI-powered IDE на базе VS Code, которая обрабатывает миллионы строк кода разработчиков через свои серверы. Когда я задумался о безопасности этого продукта, возник вопрос: насколько надёжна серверная модель авторизации, которая стоит между бесплатным пользователем и Claude 4 Opus?
https://habr.com/ru/articles/1028196/
#cursor_ide #security_research #prototype_pollution #protobuf #grpc #connectrpc #cve #reverse_engineering #ai_security #bug_bounty
-
Лечим загрузчик часов Redmi Watch 5 от падений
Разбираюсь с очередной моделью Xiaomi, отличная система, неплохой по железу девайс, но как всегда не идеален. Попытки обновить китайскую версию на глобальную, или перепрошивка демо часов вводят часы в состояние, которую обычный пользователь может назвать труп. Под капотом оказывается не совсем так, я покажу что происходит с прошивкой и почему выбранные архитектурные решения приводят к такому результату, а также покажу как исправить эту ситуацию.
https://habr.com/ru/articles/1027516/
#Xiaomi #Redmi_Watch #ota #recovery #разработка #reverse_engineering #bootloader
-
Anubis: заморозка приложений по состоянию VPN
Приложения на вашем телефоне могут обнаружить VPN через SOCKS5 на localhost и слить IP-адрес сервера. Рабочий профиль (Island, Insular, Shelter) скрывает VPN от ConnectivityManager, но не от tun0, маршрутов и локальных портов. Так родился open-souce Anubis, решает проблему иначе - автоматически отключает приложения через pm disable-user при смене состояния VPN. Мёртвое приложение не может ничего детектить, потому что его не существует. Под капот Anubis
https://habr.com/ru/articles/1023352/
#Android #VPN #Shizuku #pm_disableuser #приватность #заморозка_приложений #Kotlin #Jetpack_Compose #reverse_engineering #open_source
-
Anubis: заморозка приложений по состоянию VPN
Приложения на вашем телефоне могут обнаружить VPN через SOCKS5 на localhost и слить IP-адрес сервера. Рабочий профиль (Island, Insular, Shelter) скрывает VPN от ConnectivityManager, но не от tun0, маршрутов и локальных портов. Так родился open-souce Anubis, решает проблему иначе - автоматически отключает приложения через pm disable-user при смене состояния VPN. Мёртвое приложение не может ничего детектить, потому что его не существует. Под капот Anubis
https://habr.com/ru/articles/1023352/
#Android #VPN #Shizuku #pm_disableuser #приватность #заморозка_приложений #Kotlin #Jetpack_Compose #reverse_engineering #open_source
-
Anubis: заморозка приложений по состоянию VPN
Приложения на вашем телефоне могут обнаружить VPN через SOCKS5 на localhost и слить IP-адрес сервера. Рабочий профиль (Island, Insular, Shelter) скрывает VPN от ConnectivityManager, но не от tun0, маршрутов и локальных портов. Так родился open-souce Anubis, решает проблему иначе - автоматически отключает приложения через pm disable-user при смене состояния VPN. Мёртвое приложение не может ничего детектить, потому что его не существует. Под капот Anubis
https://habr.com/ru/articles/1023352/
#Android #VPN #Shizuku #pm_disableuser #приватность #заморозка_приложений #Kotlin #Jetpack_Compose #reverse_engineering #open_source
-
Anubis: заморозка приложений по состоянию VPN
Приложения на вашем телефоне могут обнаружить VPN через SOCKS5 на localhost и слить IP-адрес сервера. Рабочий профиль (Island, Insular, Shelter) скрывает VPN от ConnectivityManager, но не от tun0, маршрутов и локальных портов. Так родился open-souce Anubis, решает проблему иначе - автоматически отключает приложения через pm disable-user при смене состояния VPN. Мёртвое приложение не может ничего детектить, потому что его не существует. Под капот Anubis
https://habr.com/ru/articles/1023352/
#Android #VPN #Shizuku #pm_disableuser #приватность #заморозка_приложений #Kotlin #Jetpack_Compose #reverse_engineering #open_source
-
Вас вычислили: как простая утилита на Go находит пользователей «Telega» в ваших чатах за считанные минуты
Знаете, что происходит, когда вы ставите Telega, «альтернативный клиент Telegram от ВКонтакте»? Ваш Telegram ID тихо уезжает в инфраструктуру OK/VK Calls. Без уведомлений. Без галочки «я согласен». Просто раз, и вы в индексе. Навсегда. Я решил проверить, сколько людей в моих чатах уже засветились. Руками долго. Через плагин exteraGram можно по одному профилю за раз. Хотелось масштаба. Так появился antitelega : Go userbot, который сканирует целый чат и выдаёт список «засвеченных» прямо в Saved Messages. А потом мой аккаунт заморозили. Но обо всём по порядку :)
https://habr.com/ru/articles/1022654/
#Telegram #Telega #VK_Calls #Go #userbot #MTProto #reverse_engineering #OK_API #privacy #антителега
-
Как я написал Go-бота, который за 5 минут находит всех пользователей Telega в Telegram-чате. И что из этого вышло
Знаете, что происходит, когда вы ставите Telega, «альтернативный клиент Telegram от ВКонтакте»? Ваш Telegram ID тихо уезжает в инфраструктуру OK/VK Calls. Без уведомлений. Без галочки «я согласен». Просто раз, и вы в индексе. Навсегда. Я решил проверить, сколько людей в моих чатах уже засветились. Руками долго. Через плагин exteraGram можно по одному профилю за раз. Хотелось масштаба. Так появился antitelega : Go userbot, который сканирует целый чат и выдаёт список «засвеченных» прямо в Saved Messages.
https://habr.com/ru/articles/1022518/
#Telegram #Telega #VK_Calls #Go #userbot #MTProto #reverse_engineering #OK_API #privacy #антителега
-
GUI ценой приватности: разбор вредоносного форка Zapret 2 GUI
Из за замедления YouTube, Discord и других популярных сервисов в РФ спровоцировало настоящий бум инструментов для обхода DPI. Флагманский проект zapret от @bol-van - мощное решение, но его консольный интерфейс пугает рядового пользователя. На этой почве выросли десятки GUI-оболочек «для домохозяек».. Однако за красивым интерфейсом и обещанием «обхода в один клик» может скрываться нечто большее, чем просто прокси-клиент. В этой статье я разберу форк «Zapret 2 GUI» (автор censorliber), который набрал сотни звезд на GitHub, но при детальном анализе оказался полноценным инструментом для шпионажа и компрометации системы..
https://habr.com/ru/articles/1015380/
#zapret #обход_блокировок #dpi #malware #trojan #mitm #аудит_кода #ANYRUN #reverse_engineering
-
BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту
Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.
https://habr.com/ru/companies/alfa/articles/1011302/
#BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering
-
Почему половина бытовой техники на самом деле — это маленькие Linux-компьютеры
Когда я впервые подключился по UART к обычному бытовому устройству, я ожидал увидеть примитивную прошивку на микроконтроллере. Но вместо этого на экране терминала внезапно появились строки загрузки Linux. С тех пор у меня появилась странная привычка: если какое-то устройство попадает ко мне в руки, я почти автоматически ищу на плате UART, JTAG или хотя бы тестовые пины. И знаете что? Linux внутри оказывается намного чаще, чем можно ожидать. За последние пару лет я разобрал и исследовал довольно много устройств: от стиральных машин до телевизоров и сетевых камер. И каждый раз удивлялся тому, насколько мощные системы скрываются внутри обычных вещей. Попробую рассказать о десяти устройствах, внутри которых неожиданно работает Linux. Возможно, после этой статьи вы тоже начнёте подозрительно смотреть на свою бытовую технику.
https://habr.com/ru/articles/1009824/
#linux #embedded_Linux #IoT_устройства #reverse_engineering #uart #прошивки #встраиваемые_системы
-
Рвём call-graph или «Как я самому себе реверс усложнял»
Так сложилось, что меня всегда интересовала тема реверса, дизассембла и вообще того, как выглядит бинарь изнутри, особенно с точки зрения всяких кряков. Многие пользовались разным софтом, в который уже встроены обходы лицензий, а кто-то, вполне возможно, даже вспомнит тот качевый музон, который воспроизводили всякого рода KeyGen.exe . Но для того, чтобы крякнуть программу, нужно понять, что и где патчить, и какая функция отвечает за валидацию лицензии. Для этого и существуют программы вроде IDA Pro . Помимо дизассемблирования они умеют генерировать псевдокод на C , строить графы вызовов и много чего еще. И ведь никто не хочет, чтобы крякнули именно его софт? А чтобы этому противостоять, надо понимать как это работает и где можно вставить палки в колеса тем, кто будет анализировать ваш бинарь. Для этого я решил создать что-то типа небольшой лабораторной, в которой посмотрю как строят связи статические анализаторы и что можно сделать, чтобы этому противостоять.
https://habr.com/ru/articles/980816/
#C #C++ #assembler #reverseengineering #reverse_engineering #disassembling #ida
-
Моддим Wwise-озвучку God of War. Часть I — чебурашимся в файлах
Знаете, случаются в жизни иногда такие ситуации, когда человеку внезапно как вдарит что-нибудь в голову, увесистое такое, и ему захочется сотворить какую-нибудь такую несусветную чушь, какой заниматься никому в здравом уме и в голову не придет. Вот так и я решил раскопать звуковую подсистему God of war 2018 — с удивлением обнаружив, что стоящей информации по этой теме не так уж и много.
-
Моддим Wwise-озвучку God of War. Часть I — чебурашимся в файлах
Знаете, случаются в жизни иногда такие ситуации, когда человеку внезапно как вдарит что-нибудь в голову, увесистое такое, и ему захочется сотворить какую-нибудь такую несусветную чушь, какой заниматься никому в здравом уме и в голову не придет. Вот так и я решил раскопать звуковую подсистему God of war 2018 — с удивлением обнаружив, что стоящей информации по этой теме не так уж и много.
-
Моддим Wwise-озвучку God of War. Часть I — чебурашимся в файлах
Знаете, случаются в жизни иногда такие ситуации, когда человеку внезапно как вдарит что-нибудь в голову, увесистое такое, и ему захочется сотворить какую-нибудь такую несусветную чушь, какой заниматься никому в здравом уме и в голову не придет. Вот так и я решил раскопать звуковую подсистему God of war 2018 — с удивлением обнаружив, что стоящей информации по этой теме не так уж и много.
-
Моддим Wwise-озвучку God of War. Часть I — чебурашимся в файлах
Знаете, случаются в жизни иногда такие ситуации, когда человеку внезапно как вдарит что-нибудь в голову, увесистое такое, и ему захочется сотворить какую-нибудь такую несусветную чушь, какой заниматься никому в здравом уме и в голову не придет. Вот так и я решил раскопать звуковую подсистему God of war 2018 — с удивлением обнаружив, что стоящей информации по этой теме не так уж и много.