The Kernel-Bridge Framework

А что ты с ним делал? И кем спалился?

 

Простите мне моё невежество, но что такое Др2?

 

1. На 2019 не собралось
2. Др - это отладочные регистры (см. интел маны)
3. Чуть позже расскажу, дел много

 

Тогда тут больше вопросов, чем ответов.

 

http://www.club155.ru/x86internalreg-dr

 

Забыл дописать в инструкции, надо клонировать с сабмодулями:
git clone --recursive https://github.com/HoShiMin/Kernel-Bridge

 

Гуд

 

О хоспаде, да я в курсе про отладочные регистры, я имел ввиду, что не понятно, что там у тебя "спалилось".

 

Отлажен был железным бряком ж, чо тут понимать?

 

Kernel-Bridge и HookLib обрели новый арктический дом!

 

HoShiMin,

И всё же. Можно крутнуть любое апп, снять всю активность, посмотреть выборку, получить трассу, снять слой протектора ?

Что есть такое hooklib я может помнил но забыл и не понимаю зачем визору какие то патчи ?

 

Перехватить некую юзермодную апишку, посмотреть аргументы, с которыми она вызывается до и/или после вызова.

Кому что, а Индию лишь бы малварь раздевать, вот это я понимаю - перданность своей аверской работе.

 

Возможность сделать - есть. Готовой реализации - нет (и не будет).
Если кому-то понадобится делать трейс через виртуализацию, VT-x это позволяет. В амдшном SVM сложнее, но тоже сделать можно.

Наоборот - гипервизор, чтобы скрывать патчи.
Не забывай, что Kernel-Bridge не столько про виртуализацию, сколько про доступ к ядру.
Виртуализация хоть и занимает в драйвере почётное место, но не является самоцелью проекта.
Считай, что гипервизор - ещё одна интересная фича, но разрабатывался драйвер не ради неё, и поэтому на звание аналога DBI он не претендует.

 

HoShiMin,

> чтобы скрывать патчи.

Можно узнать что это значит подробно технически ?

> Виртуализация хоть и занимает в драйвере почётное место, но не является самоцелью проекта.

Ну это ясно давно, то практически ничего решить нельзя применени нет выхлоп нулевой, но зато автору интересно узнать апи ядра, походу изучения собирая что то без цели в кучу. Давно всё ясно, если что то работает - есть примеры.

 

Оеп не ищет - значит вообще не проект?

 

Ну Инди) О чём спорить, если проект теперь ждёт своего часа в подземных хранилищах Свальбарда в вечной мерзлоте?

Перед лицом вечности забудем про границы применимости и решения сиюминутных задач.
Идеи - вечны

 

Вы можете быть как угодно не согласны, мне всё равно. Но если инструмент не может раскрутить какой то upx, то это не инструмент; не важно сколько туда ядерного говна напихали. Имхо, можете не отвечать это смысла не имеет.

--- Сообщение объединено, 15 авг 2020 ---

HoShiMin,

Понятия не имею что это, какой то старый проект связанный с утечкой данных Intel https://software.intel.com/content/www/us/en/develop/download/intel-trace-hub-developers-manual.html

trace hub" я полистал ман там ничего не понятно.

 

Вот наглядный пример, как это может быть реализовано, таймкод 22:30:


А вот сервис для автоматической распаковки малвари https://www.unpac.me/, там тоже гипервизор под капотом, насколько я знаю.
Еще недавно открыли исходный код вот этого чуда https://github.com/hvmi/hvmi, достаточно мощный функционал.

 

TermoSINteZ,

Оффтопит только рел, в остальном обсуждение в пределах нормы.

hiddy,

> А вот сервис для автоматической распаковки малвари

Может почитай выше.. гипервизор триггерит системные события, ловушки и тп; для депака/декрипта, короче что бы раскрутить семпл нужно его крутить, трассировать/транслировать. Системных событий не достаточно.