Обход Titanhide

Привет

Можно ли из usermode восстановить все хукнутые функции Titanhide?

 

galenkane,

Зачем тебе эти примитивные плаги вообще нужны, не понимаю.

> Можно ли из usermode восстановить все хукнутые функции Titanhide?

Конечно, переотобразить образ(точнее кодовую секцию); все патчи будут сняты.

Это же не защита, это примитивные фильтры для фикса самых элементарных методов обнаружения отладки.

Атаку можно провести на защиту, но это ведь не защита, это плаг к отладчику. Он вываливает в синь всю систему при простейшем вызове(обнули селектор и вызови ловушку), школьниками написано без понятия

Зачем тебе это ?

--- Сообщение объединено, 27 янв 2020 ---

Да и небольшой нюанс, если ты анмапишь нтдлл на 86 и при этом релоцируешь нэйтив, дернув ядерный сервис(через sysenter) возврат произойдёт в область с N/A. Это приведёт к ловушке, которая в той же секции, которой нет; произойдёт серия фаултов до исчерпания стека, затем процесс будет прибит ядром.

 

тут скорее вопрос - как задизармить титанхайд, если я прально понял.

 

Нет, ты просто бред пишешь. Что задизасмить, плаг не накрыт протектором, его любой школьник идой может глянуть.

 

задизармить (disarm)

товарисч, внимательнее плз
кроме того - плаг сей на гите лежит.

 

sn0w,

> задизармить (disarm)

А что это значит ?

 

Indy_
создать условия, при которых тот или иной инструмент перестал бы выполнять свои непосредственные задачи в полной мере или частично, и при этом не мог бы путём самопроверок обнаружить нарушений своей функциональности извне.

 

sn0w, ещё короче == разоружить

 

разоружить не надо, просто навсего интересно как его обойти.

То есть чтобы апп знало, когда его атакуют

 

galenkane,

Так в том и дело, что атака проводится на уязвимый обьект, но не на отладочный же плагин. Можно попытаться вывалить отладчик, как например было с дебаг строками, он не накрыт слоем вм и его очень просто разбирать листая в дизе.

В идеале атака должна приводить к получению управления, после передачи управления в атакуемый обьект управление получает полезная нагрузка. Но это же не тот случай, это примитивный кривой юзер сервисный фильтр. Он не работает удалённо, как отладчик, а загружается в процесс, примитивно там патчит сервисные шлюзы, отладчик от него изолирован. Короче вы каким то задротством занимаетесь.

 

Это как в детстве с игрушками

 

galenkane,

Это ясно, посмотри мой семпл где все ядерные плаги вываливают систему в синь парой строк. Их пишут копипастой, рипнул-сбилдил и готово. А если атака на исходный фильтр то падает всё, вся пачка плагов.

 

пока ваши семплы не потяну, я то нуб нубом. где можно про рипы почитать?

 

galenkane,

Всё очень просто, выделяй буфер в одном потоке, освобождай его в другом. Это асинхронная атака на ядерный фильтр(race condition). Реализуется в две строки

Вываливается в синь все три плага fengyue-extrem-titanhide

--- Сообщение объединено, 2 фев 2020 ---

Вот даже какие то крэшдампики откопал

Код (Text):

1. fengyue0+0x5140:
2. b19f8140 c70000000000    mov     dword ptr [eax],0    ds:0023:00403000=????????
3.  
4. extrem+0xa03:
5. f7beca03 c70000000000    mov     dword ptr [eax],0    ds:0023:00403000=????????
6.  
7. TitanHide+16d6
8. b19e26d6 c70300000000    mov     dword ptr [ebx],0
9.  
10. TRAP_FRAME:  b1bd4cac -- (.trap 0xffffffffb1bd4cac)
11. ErrCode = 00000002
12. eax=00000000 ebx=00330000 ecx=00000008 edx=804e3477 esi=00000002 edi=000007a0
13. eip=b19e26d6 esp=b1bd4d20 ebp=b1bd4d48 iopl=0         nv up ei ng nz ac po nc
14. cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010292
15. TitanHide+0x16d6:
16. b19e26d6 c70300000000    mov     dword ptr [ebx],0    ds:0023:00330000=????????

 

вы это показывали на кл
в общем буду думать как сделать такое на с++

--- Сообщение объединено, 3 фев 2020 ---

Indy_

Код (Text):

1. SyCrash proc C
2.     push ds
3.     mov ax,fs
4.     mov ds,ax
5.     mov ecx,ds:[TEB.Tib.StackLimit]
6.     mov ecx,cs:[ecx][-4]
7.     pop ds
8.     ret
9. SyCrash endp

Этого кода будет достаточно чтобы положить три плага?

 

galenkane,

> Этого кода будет достаточно чтобы положить три плага?

А где ты там поток второй обнаружил. Я же говорю, нужно понимать как оно всё работает, а не рипать чужой код. Если не разбираться как это всё работает, то зачем тебе это нужно.. постов набить для каких то комерс целей ?

 

что плохого в комерс целях не пойму, чисто на хлеб заработать прожками
веду дискуссию ведь

 

galenkane,

> что плохого в комерс целях не пойму

А почему тогда решение не купил, то что есть не понимаешь и платить не хочешь. Холявы не будет, сам реверси.

 

не видел, где продают, то есть платить изначально не хотел (стоп, чтО?)

 

galenkane,

Если сам ничего не можешь, даже если задача столь проста, тебе помогут тут https://wasm.in/forums/wasm-commerce.27/