Avanguard: The Win32 Anti-Intrusion Library

avanguard

 

galenkane,

А что даст виртуализация бинаря ?

Разве что затруднит реверс, это при условии что нет сурков, но это ведь опенсорс. Даже если нет девирта, то можно очень много инфы получить на основе динамики по выборкам в память.

Если же полностью виртуализировать апп в динамике, то это была бы сильная защита. Например можно было бы обнаружить смену контекста по предсказанию следующей инструкции транслятором. Или например передачу управления на не безопасный код. Впрочем как и отследить изменения памяти.. Только как такое реализовать, кроме локальной бинарной трансляции, изменить значе ?

HoShiMin,

Я покопался по нэйтиву 10-ки, получается следующее.

Код (Text):

1.     push Args
2.     call  ds:___guard_check_icall_fptr

Если даже загрузить на стек произвольный указатель, то передав управление на произвольную апи это приведёт к такой же проверке аргумента. Но вот что странно, найден один интересный вызов:

Код (Text):

1.     mov eax,ds:_RtlpInterceptorRoutines[eax*4]
2.     push edx
3.     call eax

- отсутствует cfg проверка. При этом в данных:

Код (Text):

1. .text:6A211988 _RtlDecompressFragmentProcs dd 0
2. .text:6A21198C                 align 10h
3. .text:6A211990                 dd offset _RtlDecompressFragmentLZNT1@32
4. .text:6A211994                 dd offset _RtlDecompressFragmentNS@32
5. .text:6A211998                 dd offset _RtlDecompressFragmentNS@32
6. .text:6A21199C _RtlpInterceptorRoutines dd offset _RtlpStackTraceDatabaseLogPrefix@16
7.  

Рядом RtlDecompressFragmentProcs:

Код (Text):

1. .text:6A2D9EFE                 mov     esi, ds:_RtlDecompressFragmentProcs[eax*4]
2. .text:6A2D9F05                 mov     ecx, esi
3. .text:6A2D9F07                 push    [ebp+final_size]
4. .text:6A2D9F0A                 push    0
5. .text:6A2D9F0C                 push    [ebp+offset]
6. .text:6A2D9F0F                 push    [ebp+compressed_size]
7. .text:6A2D9F12                 push    [ebp+compressed]
8. .text:6A2D9F15                 push    [ebp+uncompressed_size]
9. .text:6A2D9F18                 push    [ebp+uncompressed]
10. .text:6A2D9F1B                 call    ds:___guard_check_icall_fptr
11. .text:6A2D9F21                 call    esi ; _RtlDecompressFragmentProcs

- вызов как всегда с cfg.

Как такое возможно, ведь модуль собрал один линкер ?
Почему один вызов без проверки ?

 

Хм, да, собрано одним линкером. Но собиралось в инсайдерской VS, что не исключает баги в кодогенерации.
Хотя очень маловероятно, что это - баг.

На платформах AMD хостовая PTE (NPT), в отличие от интеловской EPT, не позволяет отдельно фильтровать доступ на чтение и отдельно на исполнение.
Это можно сэмулировать, но костылями, которые сильно просадят профайл - игра станет неиграбельной.
И против виртуалок есть множество детектов. Пример: замеры времени выполнения инструкций, генерирующих #VMEXIT.
Но таки да, обходы через гипервизоры сейчас мейнстрим.

 

HoShiMin,

> Хотя очень маловероятно, что это - баг.

Не похоже на баг, тоесть обычная конструкция простая. Походу лазейку оставили

 

Indy_, а скинь сэмпл, на котором у тебя виснет семёрка. Или ты его из гитхабовских сурсов собирал? Хочу сейчас посмотреть на виртуалке

 

Вот на скрине более наглядно:


- два индексируемых массива рядом. Две аналогичные конструкции, на два массива нет ссылок для перезаписи. Это намеренно помеченный вызов для создания уязвимости.

--- Сообщение объединено, 26 фев 2020 ---

HoShiMin,

Твой же семпл, я его переименовал в Tc.exe, в него все инжекты выше.

> на котором у тебя виснет семёрка.

7 у меня на варе, а 8 хостовая, висяк на двух. На XP не заведётся, так как нет там в экспорте RWL. Хотя я там по возможности всё отлаживаю 86.

 

Indy_ что значит виртуализировать в динамике? как это отличается от обычной виртуализации?

 

Неа, не мой - там твой payload спамит в консоль. Но не суть - не воспроизводится. Запускаю сразу под олькой (именно под олькой, не x64dbg) - никаких фризов, всё работает как обычно. Поставил лицензионную Win7 x64 Pro.
¯\_(ツ)_/¯

 

HoShiMin,

Где что спамит ?
Этот семпл ты мне дал где то в начале темы. И есчо к нему есть символы(pdb).
Вывод в консоль при инжекте - я не выделял новую.

> Поставил лицензионную Win7 x64 Pro.

У меня 7-32. Но там и без того всё глючит, так как ось инфицирована(там отладка всякой малварки). Но вот текущая хостовая 8-64 чистая относительно и ядро вешает олли с твои семплом. Вероятно связано с worker factory, так как там активной нагрузки на ось больше нет.



galenkane,

> что значит виртуализировать в динамике? как это отличается от обычной виртуализации?

В статике бинарь виртуализируется, к примеру VMP. В динамике виртуализируется процессор, это VMware например.

--- Сообщение объединено, 26 фев 2020 ---

А да, забыл либу, сорян.

 

можно ли утверждать, что Themida лучше vmp? насколько помню там процессор вирт.машина

 

galenkane,

Ну а какое отношение к этой теме имеет криптование бинарей ?
Навесь три слоя крипта на сабж я всё равно лог визором по выборкам сниму, ничего не меняет.

 

на какой системе? xp?

 

galenkane,

На любой, сабж не привязан к ос. Он на всей линейке работает и в compat. mode, за исключением xp. Прекрати писать чушь.

 

если чё спросил про ваш визор

 

galenkane,

Он может не работать только если будет зависим от апи в старших версиях. Но я это никогда не использую, даже те же RWL. Если бы ты внимательно посмотрел, то заметил бы что я использую свой сурец с rwl-блокировками. Он получен пересборкой нэйтива и добавлением сигнатур для загрузки туда синхро-апи. Именно для обратной совместимости. Получен аналогично https://wasm.in/threads/avl.31736/

--- Сообщение объединено, 26 фев 2020 ---

galenkane,

> на какой системе? xp?

Кстате на счёт XP. Там можно не думать про релокацию, таким образом забивать адреса хардкодом. Ты знаешь способ отключить это на 8-10 ?

Ну и конечно если бы ты понимал что либо в реверсе, то знал что чем меньше компонент задействовано, тем проще. В нашем деле новый функционал не нужен, всё должно быть минимальным что бы исключить помехи.

 

не отрицаю, что мало знаю по реверсу

 

В идеале бы глянуть в WinDbg, чем же ядро занято в этот момент. Антиотладки там нет, тредпул не блокируется, да и с ходу я не вспомню даже целенаправленных способов подвесить ядро. Весьма и весьма интересно...

 

HoShiMin,

Я не могу хостовую систему через вд отлаживать. Поставь 8-ку на варю и посмотри. А на счёт странностей - тут их непрерывный поток, так что нечему удивляться, интересно разобраться и при этом не заблудиться в столь обширной теме

--- Сообщение объединено, 27 фев 2020 ---

Да и есчо есть один важный нюанс. Что 8-64 а олли 32. Но x64dbg-32 так же вешает. Странно как отладочный порт может вмешиваться на обработку звука(IRP..).

 

Глянул про CFG и тут же наткнулся на интересную функцию: https://docs.microsoft.com/ru-ru/windows/win32/api/memoryapi/nf-memoryapi-setprocessvalidcalltargets
Выкатили защиту и тут же дали способ её обойти

--- Сообщение объединено, 27 фев 2020 ---

В это больше верится, коль скоро отладка - глубинный ядерный механизм. Где-то что-то подвисло в ожидании на высоком IRQL - и минус звук

 

HoShiMin,

> Выкатили защиту и тут же дали способ её обойти

Это нужно что бы запускать интерпретаторы(.net). Но это не касается отсутствия проверки выше, на ту функцию множество ссылок, все из heap-rtl. Надо бы пореверсить это. Вызов в глубине нэйтива и наверно так просто вызвать не получиться, но если учитывать что это лазик, то должен быть простой путь для вызова.

> отладка - глубинный ядерный механизм.

Он не касается обработки драйверных обменов. Тут получается чем больше тестишь в не штатных ситуациях, тем больше всяких багов вылазит. Только вот все последние плавающие, та тема про wow-сегменты, анстаб с get-set-ctx etc. Проще конечно если сразу бсоднет, но вот такие они сейчас баги.