Для себя несколько заметок, чтоб не забыть дочитать, а вообще весьма интересно:
http://phrack.org/issues.html?issue=61&id=14#article
http://phrack.org/issues.html?issue=61&id=13#article
http://phrack.org/issues.html?issue=55&id=12#article
2009-05-18
2009-05-10
hki - кейлогер
Отладил наконец-то свой кейлогер. Работает через перехват IRP. В лог-файл (по умолчанию C:\124.txt) пишет коды клавиш, и заголовок активного окна. Тестировался на Windows Vista SP1 и Windows XP Sp2 на двухядерном прцессоре. В комплекте простой парсер лог-файлов, парсер написан на коленке и скорей всего будет передалан, но как-нибудь в другой раз. При написании парсера использовалась часть кода из r0keylog barton'а.
Конечно код далёк от совершенства, но тем-не менее, вот сcылка для скачивания:
http://cid-eea2a7c767291ff9.skydrive.live.com/self.aspx/.Public/hki.rar
Конечно код далёк от совершенства, но тем-не менее, вот сcылка для скачивания:
http://cid-eea2a7c767291ff9.skydrive.live.com/self.aspx/.Public/hki.rar
2009-05-04
blackhat style
Из исходников migbot'а, 2004-й год...
// migsys, kernel part of m1gB0t, Greg Hoglund, 2004
//
// I got the blackhat style
// my code is evil and elite
// with capitalized guile
// fuckn the welfare vendors
// and their mothefuckin deceit
// hide behind the mask of good-will-defender
// I cut like a file
// slow hone on your vulns
// This aint no fuzz
// This is deeper
// I'm in your states
// like the motherfukn Reaper
// You want something for free?
// pay naught for my pursuit?
// my mission occupation
// gonna put me in refute
// your gonna come along
// cuz this is bigger than you
// its gonna take you by balls
// your paybacks are due
2009-05-02
Пример кода epoll
Очень базовый пример обработки входящих соединений с epoll:
Сцылки по теме:
http://www.kegel.com/c10k.html
http://www.monkey.org/~provos/libevent/
http://www.xmailserver.org/linux-patches/nio-improve.html
#include <stdio.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/epoll.h>
#include <sys/socket.h>
#include <strings.h>
#define EPOLL_RUN_TIMEOUT 1000
#define MAXEVENTS 50
int got_connect(fd) {
printf("got data\n");
return 0;
}
int main(int argc, char *argv[]){
if(argc<2){
printf("Usage: %s <port>\n",argv[0]);
return -1;
}
int port=atoi(argv[1]);
int epfd = epoll_create(512);
int nfds, cs, i;
struct epoll_event ev, *events;
struct sockaddr_in serv, cli;
int connected_fd;
int listenfd=socket(AF_INET, SOCK_STREAM, 0);
bzero(&serv,sizeof(serv));
serv.sin_family = AF_INET;
serv.sin_addr.s_addr = htonl(INADDR_ANY);
serv.sin_port = htons(port);
bind(listenfd,(struct sockaddr*)&serv,sizeof(serv));
listen(listenfd, 50);
ev.events = EPOLLIN | EPOLLET | EPOLLHUP;
ev.data.fd = listenfd;
epoll_ctl(epfd, EPOLL_CTL_ADD, listenfd, &ev);
int addrlen = sizeof(cli);
while(1){
nfds = epoll_wait(epfd,events,MAXEVENTS,EPOLL_RUN_TIMEOUT);
if(nfds<0){
printf("epoll_wait error\n");
return -1;
}
for (i=0;i<nfds;++i){
if(events[i].data.fd == listenfd){
connected_fd = accept(listenfd, (struct sockaddr *) &cli,&addrlen);
printf("addr: %s\n",inet_ntoa(cli.sin_addr.s_addr));
ev.events = EPOLLIN | EPOLLET;
ev.data.fd = connected_fd;
epoll_ctl(epfd, EPOLL_CTL_ADD, connected_fd, &ev);
}
else{
got_connect(events[i].data.fd);
}
}
}
close(epfd);
return 0;
}
Сцылки по теме:
http://www.kegel.com/c10k.html
http://www.monkey.org/~provos/libevent/
http://www.xmailserver.org/linux-patches/nio-improve.html
2009-04-22
Linux kernel debugging
Всем известно, что в vmware 6-й ветки появилась возможность отлаживать ядро гостевой операционной системы. Для включения отладки необходимо в конфиг виртуальной машины (файл *.vmx) добавить строку debugStub.listen.guest32=1 либо debugStub.listen.guest64=1. Vmware откроет порт 8832 (или 8864 для 64-битных систем) на главной системе(хосте):
Как видим, подключиться можно только с локалхоста. Используеться протокол gdb, соответственно, берём gdb (версию для Windows в сети найти не трудно), и подключаемся:
Для удобного ковыряния в ядре, потребуеться собрать ядро с отладочными сиволами, обчычно ядра, установленные в различных дистрибутивах по умолчанию собраны без отладочных символов (что и не удевительно, поскольку включение символов несколько увеличивает размер образа ядра). Чтобы пересобрать ядро используя текущюю рабочюю конфигурацию, переходим в каталог исходников ядра (обычно /usr/src/linux), и выролняем:
В меню включаем отладочные символы:
или "CONFIG_DEBUG_KERNEL=y" в конфиге ядра (/usr/src/linux/.config). На стадии конфигурирования ядра желательно отключить всё лишнее (например можно отключть поддержку IPv6, если она не нужна, и ненужные драйвера), и всё что возможно вкомпилить в ядро, а не в виде модулей. Однако netfilter и драйвера сетевых интерфейсов я бы посоветовал всё-таки собрать в виде модулей. Можно вместо make oldconfig, сделать make defconfig, что-бы создать минимальный конфиг по умолчанию для данной архитектуры, а потом в make menuconfig включать необходимые опции, и добавить нужные драйвера (lspci может в этом помоч). Далее собираем ядро:
Файл /usr/src/linux/vmlinux - это несжатый образ ядра, его переносим с гостевой системы на основную. Желательно так-же иметь на основной стсиеме исходные коды ядра соответсвующей версии. Кладём файл vmlinux на основную систему в папку где находяться исходники ядра (у меня D:\kernel\). Устанавливаем новое ядро и перезагружаем гостевую систему. Теперь можно спокойно отлаживать ядро загрузив в gdb несжатый образ ядра с отладочнымм символами:
P.S.
по этой ссылке http://wiki.opennet.ru/Linux_kernel_debug рекомендуют включить в ядре такие опции:
>netstat -an | grep 88
TCP 127.0.0.1:8832 0.0.0.0:0 LISTENING
Как видим, подключиться можно только с локалхоста. Используеться протокол gdb, соответственно, берём gdb (версию для Windows в сети найти не трудно), и подключаемся:
> gdb -q
(gdb) target remote localhost:8832
Для удобного ковыряния в ядре, потребуеться собрать ядро с отладочными сиволами, обчычно ядра, установленные в различных дистрибутивах по умолчанию собраны без отладочных символов (что и не удевительно, поскольку включение символов несколько увеличивает размер образа ядра). Чтобы пересобрать ядро используя текущюю рабочюю конфигурацию, переходим в каталог исходников ядра (обычно /usr/src/linux), и выролняем:
make oldconfig
make menuconfig
В меню включаем отладочные символы:
Kernel hacking --->
[*] Compile the kernel with debug info
или "CONFIG_DEBUG_KERNEL=y" в конфиге ядра (/usr/src/linux/.config). На стадии конфигурирования ядра желательно отключить всё лишнее (например можно отключть поддержку IPv6, если она не нужна, и ненужные драйвера), и всё что возможно вкомпилить в ядро, а не в виде модулей. Однако netfilter и драйвера сетевых интерфейсов я бы посоветовал всё-таки собрать в виде модулей. Можно вместо make oldconfig, сделать make defconfig, что-бы создать минимальный конфиг по умолчанию для данной архитектуры, а потом в make menuconfig включать необходимые опции, и добавить нужные драйвера (lspci может в этом помоч). Далее собираем ядро:
make
make modules_install
Файл /usr/src/linux/vmlinux - это несжатый образ ядра, его переносим с гостевой системы на основную. Желательно так-же иметь на основной стсиеме исходные коды ядра соответсвующей версии. Кладём файл vmlinux на основную систему в папку где находяться исходники ядра (у меня D:\kernel\). Устанавливаем новое ядро и перезагружаем гостевую систему. Теперь можно спокойно отлаживать ядро загрузив в gdb несжатый образ ядра с отладочнымм символами:
> gdb -q
(gdb) target remote localhost:8832
<...>
(gdb) file vmlinux
P.S.
по этой ссылке http://wiki.opennet.ru/Linux_kernel_debug рекомендуют включить в ядре такие опции:
Kernel hacking --->
[*] Compile the kernel with debug info
[*] Compile the kernel with frame pointers
2009-02-21
Права доступа Windows
Продолжаю записывать в этот блог разный мусор, который больше сохранить просто негде (потеряеться).
Измененме ACL в Windows, можно использовать когда нельзя ответить y/n (например при выполнении команд через функцию system() в php):
снятие атрибута "только чтение", который иногда очень мешает:
Измененме ACL в Windows, можно использовать когда нельзя ответить y/n (например при выполнении команд через функцию system() в php):
echo y | cacls file.txt /C /E /P Users:F
снятие атрибута "только чтение", который иногда очень мешает:
attrib -r * /S /D
2009-01-16
Юникс конфиги
Удобно так просматривать конфиги на юникс-машинах:
из вывода будут убраны все пустые строки, а так-же строки, начинающиеся с '#'.
egrep -v "^$|#" ssh_config
из вывода будут убраны все пустые строки, а так-же строки, начинающиеся с '#'.
Подписаться на:
Сообщения (Atom)
