Результати Radare Summer of Code 2014 і організація нового RSoC/GSoC 2015

По-перше, хочу відзвітувати за минулим RSoC'14, подякувати аудиторію хабра за ту допомогу, яка дозволила нам організувати цей захід.

Завдяки тому, що не було необхідності слідувати правилам Google, ми змогли змінити двох «офіційних» учасників «на льоту».
В минулому році ми вибрали двох офіційних учасників та 6 «неофіційних» (без грошової винагороди). Однак, в процесі просування кодинга залишилося лише троє неофіційних учасників. Але, так як їм успішно вдалося завершити свої завдання, ми поділили зібрані гроші порівну між ними (близько $700 на людину). Розглянемо завдання детальніше:

Два завдання не були виконані/завершені — це повний переклад всього фреймворку на використання бази даних sdb і доведення до розуму webui.

З іншого боку, три завдання були успішно завершені, і на даний момент весь код знаходиться в основній гілці.

По-перше, це підтримка парсинга складних структур і відображення їх в необхідному форматі, з допомогою команди pf і парсера опису даних на мові Сі (struct/union, etc).

По-друге, це підтримка завантаження та використання сигнатур формату FLIRT (IDA Pro), а також інтеграція з Yara. Завдяки тому, що це завдання було успішно виконано, radare2 може бути використаний для аналізу malware з використанням існуючих баз сигнатур, накопичених за роки роботи з IDA Pro і Yara. Код інтеграції з Yara винесено окремий репозиторій.

Ну і останнє успішно виконане завдання — це підтримка PDB. Основна відмінність від багатьох отладчиков і дизассемблеров (крім IDA Pro) — це парсинг формату самостійно, без використання системних викликів бібліотек Windows.

Крім того, з минулого року значно покращилася ситуація з документацією: radare.today/radare2-is-documented/

Читати далі →

Повертаємо оригінальні сторінки меню в Phoenix SCT UEFI

Здрастуйте, шановні читачі Хабра.
З вами знову я і ми продовжуємо копатися в різних реалізаціях UEFI в ім'я добра. Є у мене один старий китайський GSM-модем, який на моєму Dell Vostro 3360 визначається через раз, а на більш старих ноутбуках — нормально. Після декількох експериментів з підключенням його через перехідник до основного ПК з'ясувалося, що йому чомусь не подобається підключення через PCIe Gen2, і хотілося б перемкнути порт на Gen1, але в UEFI Setup потрібної налаштування не виявилося. Прикро, але не смертельно, адже дуже часто виробники пристроїв не видаляють оригінальні меню виробника UEFI, а просто приховують їх, або показують на їх місці свої, тому після невеликого реверс-інжинірингу оригінальне меню можна повернути на місце, що у мене і вийшло. В цей раз однією IDA Demo вже не обійтися, т. к. DXE-драйвери в більшості сучасних UEFI збираються для архітектури x86-64, тому замість неї будемо використовувати radare2.
На лаври першовідкривача не претендую і подібним модифікаціям сто років в обід, але постараюся показати, як зробити подібну модифікацію самостійно.
Якщо вам все ще цікаво — ласкаво просимо під кат.

Читати далі →

Radare2 збирає кошти на проведення свого Summer of Code

  
 
Вільний фреймворк для дизассемблирования і реверс-інжинірингу radare2 запустив краудфандінговую
кампанію
з метою зібрати 12000 EUR на проведення власного Summer of Code.
 
Цього року radare2 не пройшов відбір у Google Summer of Code, що не зупинило нас, і ми вирішили все одно виконати
задумане (web інтерфейс, бінарні шаблони, міграція на sdb, ROP-компілятор, ESIL — Evaluable
Strings Intermediate Language, парсер PDB та протоколу Windbg, сигнатурний аналіз, bokken — графічний інтерфейс на PyGtk, підтримка нових архітектур).
 
Читати далі →