Антидамп

Тема в разделе "WASM.HEAP", создана пользователем Rel, 31 дек 2020.

Статус темы:
Закрыта.
  1. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Пришлось гуглить, чтобы разобраться, что это за сказка, но как оказалось, это в точности описывает поведение пациента: https://ru.m.wikipedia.org/wiki/Докучная_сказка - будем знать, как это по научному называется.

    Да, от этого в крипторе в общем случае не уйти, нужно некий хитрый трюк выдумывать. Но если вспомнить, какой покупатель у крипторов, то может это и не нужно. Просто сбил статический детект, продал скрипткидиссу, а дальше как бы да и хер бы с ним.
     
  2. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    > напоминает сказку про белого бычка.

    Дело не в этом, тут столько инфы что это дебри лес и критерий поиска нельзя составить. Эту ссылку я искал по тэгу анклав и сообщениям термосинтеза. Довольно долго, всё же нашёл.

    Видос сохранился, я не чистил ядиск:

    https://wasm.in/threads/opredelit-ssylki-na-pamjat-v-dinamike.33497/#post-413503

    - это наглядный пример скрытия памяти.

    Есчо поиск находит такие прямые темы с семплами https://wasm.in/threads/skrytie-modulja.31872/
    https://wasm.in/threads/idp-perenapravlenie-vyborki-df-na-nuzhnoe-mesto.32862/#post-402395
    https://wasm.in/threads/the-kernel-bridge-framework.33009/page-7#post-420741
    etc тут можно поискать сотни таких сообщений, из за огромного их количества что то конкретное даже если я помню найти не реально, так как не могу сформулировать критерий поиска - всё однотипное".

    Если ты тут из столь большого количества инфы ничего не смог найти - ты просто ленивый и даже не пытался. А есчо у меня на эту тему тут публикации есть.
    --- Сообщение объединено, 1 янв 2021 ---
    Был бы какой то механизм для маркировки сообщений важных, списки и тп. А так вот если уже есть ответ, то его врядле можно найти.
     
  3. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Indy_, выделю время на днях, попробую повторить хотя бы тот пример с видео. Но сложно это все и малопонятно (мне). Если даже Синтез не понял толком (а он явно на несколько порядков грамотней меня), то что уж говорить.
     
  4. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    Ты не можешь это быстро сделать. Тебе нужен бинарный транслятор, который будет выделять выборку в память и её симулировать - декриптовать данные из хранилища. Я это всё делал через свой двиг(дий), но сейчас есть кучи всяких эмуляторов трансляторов дби даже я не знаю сколько их, может найдёшь что либо готовое.

    На счёт трансляции кстате я это тоже давно решил https://wasm.in/threads/ukazatel-v-opisatel.33644/

    ps: если ленивый, то это не значит что я сказки про бычков вещаю")
     
  5. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    так есть же Пин и подобное, или не подойдут?
    сказки про бычков - потому что уже который раз разговор был из серии "тут сокрытие модуля - покажи как - нет времени/мотивации, копай сам - так покажи как - смотри матчасть". Хождение по кругу. А хочется потестировать на авере, что будет, спалит ли говнод или виндеф эту вещь. Вот взять то, что априори палится авером, и запаковать так - что будет?
     
  6. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    Ничего не будет, тела нет в памяти сигнатуры. На твоём эксплойте несколько лет назад обсуждали и даже вроде тесты были, я не помню подробности мне и не нужно помнить. Работает это так - транслятор выделяет поток инструкций, каждая выборка в память изменяется, данные расшифровываются из хранилища. Сканер видит лишь блок памяти которого физически нет, так как это анклав(данные существуют при выборке из доверенного потока в юзер). Почитай мои публикации, там всё это подробно описано.
    --- Сообщение объединено, 1 янв 2021 ---
    M0rg0t,

    На новый год пошутить наверно можно. Это не совсем шутка, это реал. Вот выше в той теме обсуждали зачем нужны были звёзды на кл.. Так вот ты сам себе и ответил - я смог написать и отладить визор(транслятор), а они не смогли. Всё просто, потому что я знаю архитектуру, а те кто пилит крипторы это школота без понятий. Видимо по этой причине все темы по анклавам завершались всегда без ответа, реализации. Школьник который может сбилдить криптор он не способен написать транслятор, это невозможно. Может у тебя получится :)
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    > не изменилось ничего.

    А что должно было измениться ?

    После рабочей реализации, той что с видосом я больше к этой теме не возвращался. По причине того, что не нашёл решение по указателям. Если такой техникой запротектить образ целиком, то появится проблема - если невалид указатель передать в ядро, то возникнет ошибка:

    https://wasm.in/threads/virusblokada-chto-za-zver-i-gde-rabotaet-inde.33845/page-2#post-421285
    https://wasm.in/threads/vypolnenie-shell-koda-s-minimalnym-rantajm-detektom.33976/#post-423678

    Были реализации есчо до введения понятия анклав и визор в виде моторов DYPEa/b/c. Это нужно на rohitab искать.
    --- Сообщение объединено, 1 янв 2021 ---
    Вот тут была попытка решения https://wasm.in/threads/avanguard-the-win32-anti-intrusion-library.33212/page-3#post-408850

    Но это уже вершина извратов с ядром.
     
  8. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Ну я про то, что нормальной документации нет, про решение указателей я и знать не знаю.

    Рохитаб загнулся к сожалению, как ты там говоришь, мол спецов там не осталось, а без спецов форум никому не нужен, или как то так. Я туда уже лет 5 не заходил, но я и не спец.
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Небыло драмы никакой, всё по тихому - модеры были не правы, все забили и ушли. Он так и висит в состоянии останова" :)
    --- Сообщение объединено, 1 янв 2021 ---
    M0rg0t,

    Я перечитал, интересная тема.

    > По факту, крипторы бесполезны.

    Хорошо что дамп кл подняли, есть куда ссылаться. Смотри https://archivevx.net/exelab/f/pages/action=vthread&forum=1&topic=25888&page=1.html#8

    - в конце тест вмп, вроде как самый мощный протектор. Но на самом деле это не так, это штатный криптор, который виртит заданные функции. По дефолту из за невозможности покрытия кода он не может покрыть виртой код. Это значит как и у любого криптора после распаковки в памяти будет оригинальный образ, частично изменённый протектором(вирта для очень малого процента процедур).

    Про простые протекторы/крипторы речь вообще не идёт, это тупо загрузчики, после отработки слоя прота тело в памяти оригинальное. Статически крипту не разобрать, авер вирту собьёт антиэмуль. Но зачем это распаковывать я до сих пор понять не могу, если после отработки криптора образ в памяти оригинальный. Походу они это никогда не понимали, поэтому каким то дрочевом занимались в виде писать анпакер, реверсить прот криптор и тп.
     
  10. galenkane

    galenkane Active Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    301
    а чо с темидой (oreans virtualizer)?
     
  11. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    galenkane,

    Ты не понимаешь суть. PE формат не содержит инфы про процедуры. В виде защиты была введена карта(cfg), но это лишь дополнение. Так вот если не известны все процедуры, то их нельзя как то менять, морф вирта - нет к чему применить. Поэтому может быть обработан экспорт, EP и вручную заданные процедуры, неважно какой протектор. Если интересно, то по ссылке подняли дамп кл, можешь посмотреть как дий крутил его, в общем все существующие протекторы были решены.
     
  12. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Поэтому это надо делать на этапе компиляции или линковки. По большому счету нет разницы, какое представление обрабатывать, можно ассемблер, можно llvm ir, можно gimple, можно сорсы (как это делает tigress например). В этом случае можно полностью виртуализировать все приложение, и тут уже визоры бессильны, тк оеп не будет.
     
    Indy_ нравится это.
  13. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Абсолютно верно, в данном случае нужно убирать ядерные вызовы(апи с прямыми ссылками для ядра) на этапе сборки что бы скрыть всё апп. Это не только для этого нужно, так же нужно маркировать что бы реализовать защиту, много это обсуждали, но это тут лишнее.
     
  14. rmn

    rmn Well-Known Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2004
    Сообщения:
    2.348
    Ну, да. Поэтому вмп берет инфу о защищаемых процедурах не из пе, а из сорцов и вспомогательных файлов, которые создают компилер с линкером.
     
  15. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    rmn,

    Так это уже не крипт, а что то на подобие обфускации. Обычные апп так не протектятся.
     
  16. rmn

    rmn Well-Known Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2004
    Сообщения:
    2.348
    Indy_,
    Это называется "виртуализация", тащемта. И обычные апп протектятся таким образом аж бегом. Еще и к донглам каким-нибудь привязываются как вмп, так и накрытый им код.
     
  17. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    rmn,

    Почитай выше пару постов. По дефолту виртой накрывается <10% кода апп. Так как нет списка процедур. Не нужно сказок я их крутил все тысячами.
     
  18. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Обычные апп как раз так и протектятся (виртуализируется код для обратоки лицензий, или античиты те же). Вот малварь - да, в основном криптуется.

    Список процедур берется из map-файла линкера.
     
  19. rmn

    rmn Well-Known Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2004
    Сообщения:
    2.348
    Так йопту, эти 10% как раз и нужно раскрутить в оригинальный кодес. Там же все самые вкусные алгоритмы. Вот что действительно нахой не нужно при работе с реальным виртуализированным софтом - так это оеп искать, лол. Образ в любой момент можно сдампить для статик анализа, то что апп успела там в .data насрать, значения особого не имеет.
     
  20. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    rmn,

    На OEP начинается работа апп после декрипта, до этого работает сам криптор. Это первое событие когда начинает выполняться приложение. Что значит дампить, зачем ?

    Вопрос был как раз наоборот, как обойти дамп. Ты не внимательный, впрочем не важно нг ведь :russian::drinks:
     
Статус темы:
Закрыта.