Антидамп

Тема в разделе "WASM.HEAP", создана пользователем Rel, 31 дек 2020.

Статус темы:
Закрыта.
  1. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Thetrik,

    > А как поступить если нужно вызывать внешнюю API

    Что значит внешнюю, если всё апп под трансляцией ?

    Внешней можно назвать только лишь ядерные апи, в которые передаются юзер указатели. Это не сложно решаемая проблема на днях я ссылку приводил на попытку решения, изврат конечно дикий. И говорил что это ключевая проблема, не позволяющая скрыть весь образ. Можно и по простому решить - базой данных апи, но это хардкод мне такое не нравится.)

    Раз есть дамп кл, так вот модете посмотреть как решался какой то квест, Получилось что младшие версии дий были без трансляции, соотв профайл не может вытянуть какую то игру с тяжёлым гуем. Для решения по оптимизации апп транслировалось частично кусками. На нужных местах включалась трансляция, после обработки приложение продолжало выполняться напрямую. Не плохой такой трюк по оптимизации, если быстро по простому не получается сделать :)
    --- Сообщение объединено, 5 янв 2021 ---
    Rel,

    JIT ?

    Забыл эту https://wasm.in/threads/protektor-dlja-net-pe.33289/#post-409560 тему чтоле и чем там решалось, далеко не отладчиком :sarcastic:
     
  2. Thetrik

    Thetrik UA6527P

    Публикаций:
    0
    Регистрация:
    25 июл 2011
    Сообщения:
    875
    Там виртуальная машина p-кода (байткод).

    ProcCallEngine, MethCallEngine.

    Ну я имел в виду не простой поиск, а с анализом. К примеру там есть общий переход по таблице опкодов. Таблица - большой список указателей на процедуры. Вот это все проанализировав можно найти это место.
    --- Сообщение объединено, 5 янв 2021 ---
    Indy_, ясно, понял, спасибо.
     
  3. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Ну понятно, значит не джитит.

    Окей, спасибо, я погуглю об этом потом, хочется как то это заюзать, но пока не знаю как, надо подумать.

    Ну это джамптейбл для опкодов, то есть надо искать, какая функция переходит по этим процедурам. Ну лан, я понял.
     
  4. Thetrik

    Thetrik UA6527P

    Публикаций:
    0
    Регистрация:
    25 июл 2011
    Сообщения:
    875
    upload_2021-1-5_0-51-45.png
    Вот этот switch, вот чекни у себя такой. Только вместо ecx там разумеется может быть другой регистр. Главное что таблица большая и указывает на кодовую секцию. Этих двух критериев будет достаточно чтобы с большой вероятностью найти нужное место.

    Да там небольшой реверс все покажет, там также все просто. Создаешь только необходимые условия для запуска и передаешь параметр через edx.
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Я сейчас не в москве и у меня нет тут компа с виртуальными машинами с различными версиями венды, но я посмотрю. А насчет JScript'а не знаешь? Там чистый интерпретатор или он тоже в байткод компилится как vbs/vb6?
     
  6. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    С появлением PatchGuard (Защита ядра от патчинга и т.д.) у антивирусов появилась проблема в отслеживании функций на уровне драйверов.

    Как это происходит, т.е. как поставить хук на низкоуровневую функцию, в целом данная методика применима в любой ОС, так-вот:

    В ядре есть таблица системных вызовов, каждый номер сопоставлен с адресом определенной функцией в этой таблице, например при вызове какого-то CreateFile, по факту вызывается системный вызов с номером, точно не помню, но пусть будет 0x55, а в таблице системных вызывов этот номер сопоставлен уже с адресом ядерной функции.

    Примерно такая-же шляпа и с Линуксом, но не суть...

    Так-вот, что-бы поставить ядерный хук, нужно заменить адрес в таблице системных вызывов на свою функцию, но при включенном PatchGuard это невозможно и будет краш.)))

    Я конечно много чего не знаю и возможно антивирусы как-то обходят эту защиту, но мне кажется вряд-ли, а официальными способами не поставить хуки на функции, там сильно всё ограничено.

    Поэтому антивирусы делают юзермодные хуки, Рел писал статью на дамаге, я тоже начинал...

    Ну и в подтверждении всему сказанному, что тот-же Касперский пропускает инжект в доверенный процесс, хотя не должен.)

    Так-что, обходить эту защиту можно, наверное не так всё страшно.)))
     
  7. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    X-Shar, я имел ввиду немного другое, не патчинг ssdt , а новые возможности (PsCreateProcessNotify или как там его, ты же читал Иосифовича больше меня).
    А с инжектом помню эту историю, странно вообще, ну да ладно. Я Каспером мало интересуюсь, по причине что он больше по Ру, но вообще - это один из сильнейших аверов. Даже почитать их реверс-отчеты, там видно что люди грамотней 99% блекушников.
     
    X-Shar нравится это.
  8. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Это-да, в целом может патчить и не нужно для антивирусов, но всё-равно возможностей стало в разы меньше.)
     
  9. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    X-Shar нравится это.
  10. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Да, я видел ту тему.)

    Если вкратце, тут два варианта:

    1. Хукать в юзермоде, как описал Рел, кстати крутая статья у него получилась, спасибо ему.)
    Там и тулза есть, которая может рассказать какие апи и какие антивирусы хукают.

    2. В целом я сейчас подумал, при правильном подходе, штатных средств ядра и достаточно, мы-же не про руткиты говорим.

    Поставив фильтр на файловую систему, можно контроллировать создание/удаление файлов.

    Создание/завершение процессов также можно контроллировать через каллбак функции.

    При помощи NDIS фильтров, можно полностью контроллировать сеть и траффик.

    А что еще и нужно для полноценных антивирусов/файерволов ?

    В целом патчинг ядра это всегда плохо, т.к. вмешательство в работу ядра и черевато багами и уязвимостями.)
     
  11. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Касперский же вроде свой гипервизор с блекджеком и шлюхами пилил для этих целей, это вам уже не klif.sys.

    Всегда пожалуйста.
     
  12. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    В смысле ?

    Они пилят гипервизор для своей ОС, который будет как отдельный процесс этой операционной системы, там при помощи этого гипервизора можно потом запускать уже любую другую операционную систему, которая уже будет ограничена в ресурсах и т.д.

    Да сейчас эти гипервизоры кто только не пилит, у Яндекса тоже там что-то пилится, для своих проектов.)

    Если говорить про штатный антивирус, то там вроде-как драйвер у них, ну плюс ещё HIPS, типо например если шифровальщик начнёт шифровать данные, антивирус это через какое-то время должен понять и вернуть всё как-было.)

    Другое-дело, что эти нано-технологии что-то не особо защищают от шифровальщиков, учитывая их доходы...

    Меня ещё всегда смешили эти расследования антивирусных контор, из последней статьи ребята явно к успеху пришли, опубликовав, что за Ревилами стоит "Неизвестный" у которого никнейм "Unknown", явно в правильном направлении идут, а мы-то незнали...)

    Ну или непонятные статьи, типо "Почему до сех-пор популярны форумы ?", а что они предлагают общаться в твиттере, или фейсбуке, в котором блокируют неугодные страницы, как-бы самое простое поднять форум в том-же ТОРе, ну и плюсы форумов, можно структурировать информацию, что например нельзя в том-же телеграмме, легче искать инфу также.

    Мне кажется форумы, весьма неплохой вариант для обсуждения тех. вопросов (Кодинг и т.д.).

    Эти "Эксперты" некоторые, как с луны упали, либо я что-то не понимаю конечно.)
     
    M0rg0t нравится это.
  13. R81...

    R81... Active Member

    Публикаций:
    0
    Регистрация:
    1 фев 2020
    Сообщения:
    149
    ~"которая уже будет работать на выделенных ей в ресурсах и т.д."
    Помнится мне вложенность VM/370 "логически не ограниичена", но не факт, что современные Intel процы для такого пригодны.
    Были попытки теории по этому поводу в прошлом тысячелетии - не отследил чем закончилось.
     
  14. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
  15. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    X-Shar, оффтоп немного, локеры удаляют аверов с машин (получают права админа , пароль от облака и т.д.), никто толком не обходит, ибо это нереально для более менее масс софта.
    Да, многие заказывают за сотни килобаксов морферы и прочее, но имхо это мало поможет в общем.. Исключение - точечные локеры, у которых нет ПП, а типа сами работают, и то сомнительно что они обходят всех. Будь я авером, спалил бы их нефиг дела проактивкой.
     
    nullPtr и X-Shar нравится это.
  16. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    короче гря, соц. инженерия, ибо нет в софте да железе большей дыреньки, нежель сам юзВЕРЬ :grin:
     
  17. Thetrik

    Thetrik UA6527P

    Публикаций:
    0
    Регистрация:
    25 июл 2011
    Сообщения:
    875
    Да, там тоже P-код.
    upload_2021-1-6_12-26-43.png
     
  18. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Большое спасибо за информацию, надо будет мне на досуге подумать, как его компилить и как запускать более менее универсально на всех версиях венды.
     
  19. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Да фиг знает, думал ради интересно, но стремно немного) вся проблема да, в
    я же не мог возникнуть из неоткуда, спросят профили на форуме, портфолио, а тут такое.. хрен их знает, особенно груп-иб, они же с мусорами связаны вроде как.
    да и разве что по приколу, ты же знаешь мое отношение к офисному рабству и всему этому вайтхету в целом.

    Thetrik, тема интересная, спасибо за идею.
     
    ryuk нравится это.
  20. piligmindo

    piligmindo Member

    Публикаций:
    0
    Регистрация:
    31 дек 2018
    Сообщения:
    69
    Каким образом можно просто удалить антивирус? Там же файлы и ключи реестра сторожит драйвер ?
     
Статус темы:
Закрыта.