Антидамп

Тема в разделе "WASM.HEAP", создана пользователем Rel, 31 дек 2020.

Статус темы:
Закрыта.
  1. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    А я когда то писал доки на эти техники, такого небыло. Сколько повторять можно, что это не белые технологии. Какая на них может быть документация. Может ты думаешь что при атаке на браузер к примеру даётся подробное описание, вот это да :rofl:
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Да никогда ты не писал доки, только вкидывал фрагмент гуано-кода в паблик. Это для тебя нормально: бить себя тапком в грудь за какие то нелепые заслуги. Но для некоторых блекушников ты все же делал исключение, поэтому ты так и боишься дампа вирустека.
     
  3. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Дамп вт, ты говорил что он у тебя есть. Так подними, кл подняли в хосте нет проблемы. Там инфы было больше чем на всех трёх, да и тут новые люди удивятся, просто потому что такое в сети не видели никогда и нигде.
     
  4. rmn

    rmn Well-Known Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2004
    Сообщения:
    2.348
    А че так? Не завелись моторы в реальности? :)
     
  5. nullPtr

    nullPtr Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2020
    Сообщения:
    138
    В вирусологии, как Вы знаете, аверы могут читать память и на основе дампа ставить детект.
    Можно ли защитить эту память? Например с шк
    VirtualAlloc с флагами PAGE_EXECUTE_READWRITE
    запустить шк
    А после VirtualProtect с но аксесс.
    У меня выдает True и это означает, что память выделенная выше - защищена
    Так работает или я путаю?
     
  6. rmn

    rmn Well-Known Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2004
    Сообщения:
    2.348
    Пфф... изи. В анклав ее помещаем и смотрим, кто делает выборку; если недопустимый нами код обращается к памяти, то возвращаем статус, что страница отсутствует :)
    --- Сообщение объединено, 4 янв 2021 ---
    А вообще, чтобы гарантированно защититься от авера, нужно не прятаться от него с помощью хитрых моторов, как некоторые тут думают, а наоборот держать все на виду, но принять такую форму, чтобы он не мог отличить тебя от белого софта.
     
    M0rg0t и nullPtr нравится это.
  7. nullPtr

    nullPtr Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2020
    Сообщения:
    138
    ну в анклаве да. Но это относительно новая техника. В старых компах нема

    Не расскажешь как принять такую форму, чтоб не отличаться от белого софта? Обучать через ИИ? Генерация кода?

    Раз разговор об этом, то я думал писать свой вм, к нему морфер тип виртуализация кода. Но знаний недостаточно. А проактивки и детект в памяти желательно бы обойти
    --- Сообщение объединено, 4 янв 2021 ---
    Конкретно в мире малвари огоромный промах наверное в том, что кодят на чистом винапи, объединяя секции, убирая манифест, отлад инфу
    Как по мне, нужно все это делать при помощи stl, crt. Добавить по макс. Но тут вес выйдет овер 1мб, что криптуется не нормально
     
  8. rmn

    rmn Well-Known Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2004
    Сообщения:
    2.348
    В одном есть :)
     
    M0rg0t нравится это.
  9. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Ты не понял, sgx анклавы и vbs анклавы никак не относятся к индевским анклавам. Главное выборку того, что он смог, а они не смоги, не упустить.
     
  10. nullPtr

    nullPtr Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2020
    Сообщения:
    138
    фига се. Даже так? хм.
    xttps://docs.microsoft.com/en-us/windows/win32/api/enclaveapi/nf-enclaveapi-createenclave

    Тут сап с 10 венды же? Я чет запутался. Прост не особо в лов левеле

    ну мне для ботов сапп нужен хотя бы с 7 венды. На вряд ли там анклавы можно создать
     
  11. nullPtr

    nullPtr Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2020
    Сообщения:
    138
    ну хз. Инди на вряд ли расскажет, ты прав.

    Прост нигде об этом не написано, ни каких отсылок, что можно было бы защитить детект в памяти. Мб в привате хз.
    А так знаю, что анклавы, морфить бинарь, сорцы и всё.
     
  12. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    nullPtr,

    Так ведь просто всё. Анклав в данном случае не sgx, а софтверный. Транслируешь код, получаешь выборку. Выборку изменяешь на каждой итерации декриптуя данные из криптованного хранилища. Получается что это не существующие области, доступ к которым происходит лишь при адресной трансляции(подмена адресной выборки). Соответственно для всех - ядра авер вирты сканер область будет не доступна, как это надоело просто жесть)

    > А после VirtualProtect с но аксесс.

    Можно на извратах с исключениями сделать, это изначально использовалось. Сейчас я поищу.
     
    nullPtr нравится это.
  13. rmn

    rmn Well-Known Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2004
    Сообщения:
    2.348
    Indy_,
    Падажжи. Так ты просто используешь свою "виртуальную" виртуальную память процесса, эмулишь инструкции и когда они, к примеру, обращаются к адресу 0x401000, ты читаешь этот байт не из виртуальной памяти процесса, а из "виртуальной" виртуальной памяти по адресу 0x401000? Это твои анклавы?
     
  14. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    rmn,

    Инструкция к примеру mov r,[r] - выборка линейный адрес [r]. Она изменяется, в самом простейшем случае в буфер. Без выборки [r] адреса области нет. Область существует при наличии к ней прямой выборки - это анклав. Ядро(сканер) будет читать не существующую память, тк выборки нет и авер вирта аналогично.

    http://www.rohitab.com/discuss/topic/42453-dype/?hl=+dype#entry10118786
    http://www.rohitab.com/discuss/topi...assing-nod32-memory-scan/page-2#entry10104907

    - это первые попытки реализации 16%17 год, когда есчо ничего понятно толком небыло(только потом всё было продумано и сформулированы понятия и норм алгоритмы), наверно тс понравится такой колхоз на исключениях. Я эти ссылки впрочем как и моторы нигде не выкладывал, тк считаю каким то примитивом как и сами те обсуждения. Не понимаю одного - зачем это, если есть подробное описание в виде конечной матчасти, где всё продумано и закончено.
     
  15. nullPtr

    nullPtr Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2020
    Сообщения:
    138
    Интересно было бы об этом прочитать

    Ну как варик я догадался до того, что выше
    Когда читаешь такую память с ReadProcessMemory то выдает ошибку.
    Я прост в памяти не силен
    А так, наверное то, что выше сказал должно работать

    еще я протестил такую штуку. Выделяем память с но акссес, копируем туда шелл, после меняем на исполнение, стартуем шеллкод. И в этом адрессном пространстве остается шк, после меняем снова на но акссес

    Что думаете васмовские?
    Как уже сказал, у меня не такой большой опыт в лов левеле, как у многих здесь
     
  16. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    nullPtr,

    В системе нет метода скрыть область. Если только ядерное разграничение процессов гуя, даже из ядра память чужой сессии не прочитаешь. Но это не метод.
    --- Сообщение объединено, 4 янв 2021 ---
    Предыдущее обсуждение превратилось в треш, перемешали всё - защиту её обход. Поэтому создали тему по защите https://wasm.in/threads/antidamp.34066/page-3#post-425253

    Планировалось создать две, но не важно. Зачем тс создал новую. Разве той не достаточно ?!
     
    nullPtr нравится это.
  17. nullPtr

    nullPtr Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2020
    Сообщения:
    138
    я хз, прост не увидел

    Ну тут изначально хотел узнать мнение на счет метода VirtualProtect
     
  18. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    А как по твоему твой шеллкод будет исполняться, находясь в памяти, к которой нет доступа?
     
  19. rmn

    rmn Well-Known Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2004
    Сообщения:
    2.348
    Ну ты нуб. При выборке будет фолт, ловушка раскриптует линейную инструкцию из криптованного хранилища в буфер, добавит после нее ветвление на крипт и восстановление контекста и выполнит.
     
  20. nullPtr

    nullPtr Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2020
    Сообщения:
    138
    Имел ввиду создаем память с флагом врайт, а не эксекьют
    После меняем на эксекьют, запускаем шк
    И закрываем область памяти
     
Статус темы:
Закрыта.