Визоры больше не нужны

Эта тулза от Шарехизады должна автоматом тебе реконструировать таблицу импорта и пофиксить релоки, когда дампит, насколько я понимаю. Раньше была в открытом доступе какая-то тулза, запамятовал название, что-то типа ImportReconstructor или что-то такое.

 

Rel,

А зачем дамп нужен ?

Софт реверсится что бы алгоритмы найти. На кл было в частности выяснение и обход механизмов защиты, дамп там причём - он никаким образом не связан с кодом это ведь данные. Зачем он нужен ?

 

Чтобы получить малварку без накрытого сверху криптора. Ты ищешь оеп для того же самого, просто здесь это делается автоматом, потом Идой или чем-то еще анализируешь в статике.

 

Rel,

Так ты не про анализ говоришь, а тупо про авер детект - сигнатурный поиск в дампе. Что бы малварку и не только сдампить после распаковки нужно это сделать до её запуска, но после распаковки, а событие это - OEP. Если семпл распакован и запущен, то это уже не образ, его не сохранить не запустить.

 

Про статический анализ малвари.

Никому не нужно его запускать, достаточно получить дамп и загрузить в иду/гидру/каттер.

 

Rel,
Он походу не знает, что такое статический анализ. Он же только примитивы анализил в джва-три экрана ассемблерного листинга, поэтому необходимости использовать что-либо кроме отладчика у него никогда не возникало.

 

rmn,

Твои посты глупые на кл сохранились, как и мои примеры тут дамп выгрузили так что дружок позняк метаться как говорят.

 

О, так тут скоро примеры будут? Отлично, предметно пообсуждаем.

 

Ну это не меняет твоего нешаринья. Как авер может не шарить в том, что такое и для чего нужен статический анализ? Может ты и не авер вовсе, а простой электрик? Хм...

 

Визоры попрежнему не нужны: https://www.ired.team/miscellaneous...ternals/instrumenting-windows-apis-with-frida

 

Indy_, кстати, а ваш двиг AVI (анти-визор) должен обходить PIN ? чето тестирую и так запускаю и под дебагером и под визором, все равно возвращается одинаковое значение.
Как его юзать?

 

Откуда ты берешь инде-моторы то? Есть какой-то склад древних инде-моторов, из которого можно гуано кодцы просто прийти и взять (без того, чтобы на коленях выпрашивать их у спеца всея васма)?

 

Rel, кроме шуток, я собираю все сорцы Инди. Тут много было , на клабе, еще на indy-vx сайте.
Идеи то интересные, меня все таки не покидает мечта разобраться с этими анклавами. Вдруг реально получится сбить мем-детекты ?

 

Ну ты же понимаешь, что как только аверы разберутся, что не могут поставить мем детекты на защищаемую малварку, то они будут ставить мем детекты на код индеклава. С облаками это будет происходить довольно быстро.

 

Rel, может индеклав как-то можно поморфить ; просто неизвестно, что делать с мем-детектами. Гаргулью не тестил, до конца не пойму механизм, все иное костыли, говНод раскручивает антиэмули почти моментально и добирается до "тела" ехе.

 

Ну как сказать, в защищаемой малварке то гораздо больше кода, чтобы его морфить можно было, чем в коде индеклава. Но потом, с облаками это не решение, тк если малварь не бесфайловая, то новые образцы будут сразу улетать на анализ в облако, затем через пару дней будет приходить детект на новый образец и вся популяция этого семпла сдохнет. Я не в курсе улетает ли семплы из памяти в облако, но такую возможность нельзя исключать. Так что и безфайловая малварь может быть под колпаком, даже после всяческих обходов всяческих амсий.

 

Rel, тут согласен, с облаком ничего не сделаешь; виндеф сейчас особенно делает упор на "репутацию" файла.

 

если уж говорить о техниках нападения, то у нового железа всё больше растёт уязвимость к рохамеру..

от физИки ещё Никто не убегал

 

M0rg0t,

Так это был не двиг, а просто один из примеров https://wasm.in/blogs/sposoby-obnaruzhenija-atomov.10/

https://archivevx.net/exelab/f/pages/action=vthread&forum=6&topic=26100&page=0.html#12

Это просто проверки WS, если известна страница в текущем наборе и её трогать никто не должен, то сброс WS и проверка страницы в наборе показывает что была попытка выборки. Другое дело это вопрос совместимости, тк это всё фактически раскрытие ядерной инфы по обьектам(info disclos.).

> под дебагером и под визором, все равно возвращается одинаковое значение.

Потому что область в WS, так и должно быть. Отладчик тоже палится(любая попытка доступа к области не важен мод) как и ядерный сканер памяти, о обходе которого ты мечтаешь

Может быть путаница из за непонимания, рабочий набор никакого отношения не имеет к состоянию памяти по доступу. Это лишь механизм оптимизации для экономии памяти - страницы убираются из набора, при выборке добавляются в набор.

 

UbIvItS,

Выше пример по WS, как решить если функция симулируется ?

- замер тайминга, профайлером. Это обнаружит загрузку в набор, вот как это обойти или симулировать загадка