Визоры больше не нужны

Тема в разделе "WASM.RESEARCH", создана пользователем Rel, 7 окт 2020.

  1. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Эта тулза от Шарехизады должна автоматом тебе реконструировать таблицу импорта и пофиксить релоки, когда дампит, насколько я понимаю. Раньше была в открытом доступе какая-то тулза, запамятовал название, что-то типа ImportReconstructor или что-то такое.
     
  2. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    А зачем дамп нужен ?

    Софт реверсится что бы алгоритмы найти. На кл было в частности выяснение и обход механизмов защиты, дамп там причём - он никаким образом не связан с кодом это ведь данные. Зачем он нужен ?
     
  3. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Чтобы получить малварку без накрытого сверху криптора. Ты ищешь оеп для того же самого, просто здесь это делается автоматом, потом Идой или чем-то еще анализируешь в статике.
     
  4. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Так ты не про анализ говоришь, а тупо про авер детект - сигнатурный поиск в дампе. Что бы малварку и не только сдампить после распаковки нужно это сделать до её запуска, но после распаковки, а событие это - OEP. Если семпл распакован и запущен, то это уже не образ, его не сохранить не запустить.
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Про статический анализ малвари.

    Никому не нужно его запускать, достаточно получить дамп и загрузить в иду/гидру/каттер.
     
  6. rmn

    rmn Well-Known Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2004
    Сообщения:
    2.348
    Rel,
    Он походу не знает, что такое статический анализ. Он же только примитивы анализил в джва-три экрана ассемблерного листинга, поэтому необходимости использовать что-либо кроме отладчика у него никогда не возникало.
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    rmn,

    Твои посты глупые на кл сохранились, как и мои примеры тут дамп выгрузили так что дружок позняк метаться как говорят.
     
  8. rmn

    rmn Well-Known Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2004
    Сообщения:
    2.348
    О, так тут скоро примеры будут? Отлично, предметно пообсуждаем.
     
  9. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Ну это не меняет твоего нешаринья. Как авер может не шарить в том, что такое и для чего нужен статический анализ? Может ты и не авер вовсе, а простой электрик? Хм...
     
  10. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Aiks нравится это.
  11. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Indy_, кстати, а ваш двиг AVI (анти-визор) должен обходить PIN ? чето тестирую и так запускаю и под дебагером и под визором, все равно возвращается одинаковое значение.
    Как его юзать?
     
  12. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Откуда ты берешь инде-моторы то? Есть какой-то склад древних инде-моторов, из которого можно гуано кодцы просто прийти и взять (без того, чтобы на коленях выпрашивать их у спеца всея васма)?
     
  13. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Rel, кроме шуток, я собираю все сорцы Инди. Тут много было , на клабе, еще на indy-vx сайте.
    Идеи то интересные, меня все таки не покидает мечта разобраться с этими анклавами. Вдруг реально получится сбить мем-детекты ?
     
  14. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Ну ты же понимаешь, что как только аверы разберутся, что не могут поставить мем детекты на защищаемую малварку, то они будут ставить мем детекты на код индеклава. С облаками это будет происходить довольно быстро.
     
  15. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Rel, может индеклав как-то можно поморфить ; просто неизвестно, что делать с мем-детектами. Гаргулью не тестил, до конца не пойму механизм, все иное костыли, говНод раскручивает антиэмули почти моментально и добирается до "тела" ехе.
     
  16. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Ну как сказать, в защищаемой малварке то гораздо больше кода, чтобы его морфить можно было, чем в коде индеклава. Но потом, с облаками это не решение, тк если малварь не бесфайловая, то новые образцы будут сразу улетать на анализ в облако, затем через пару дней будет приходить детект на новый образец и вся популяция этого семпла сдохнет. Я не в курсе улетает ли семплы из памяти в облако, но такую возможность нельзя исключать. Так что и безфайловая малварь может быть под колпаком, даже после всяческих обходов всяческих амсий.
     
  17. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Rel, тут согласен, с облаком ничего не сделаешь; виндеф сейчас особенно делает упор на "репутацию" файла.
     
  18. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    если уж говорить о техниках нападения, то у нового железа всё больше растёт уязвимость к рохамеру..

    от физИки ещё Никто не убегал :laugh1::laugh2::laugh3::crazy:
     
    R81... нравится это.
  19. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    Так это был не двиг, а просто один из примеров https://wasm.in/blogs/sposoby-obnaruzhenija-atomov.10/

    https://archivevx.net/exelab/f/pages/action=vthread&forum=6&topic=26100&page=0.html#12

    Это просто проверки WS, если известна страница в текущем наборе и её трогать никто не должен, то сброс WS и проверка страницы в наборе показывает что была попытка выборки. Другое дело это вопрос совместимости, тк это всё фактически раскрытие ядерной инфы по обьектам(info disclos.).

    > под дебагером и под визором, все равно возвращается одинаковое значение.

    Потому что область в WS, так и должно быть. Отладчик тоже палится(любая попытка доступа к области не важен мод) как и ядерный сканер памяти, о обходе которого ты мечтаешь ;)

    Может быть путаница из за непонимания, рабочий набор никакого отношения не имеет к состоянию памяти по доступу. Это лишь механизм оптимизации для экономии памяти - страницы убираются из набора, при выборке добавляются в набор.
     
    Последнее редактирование: 6 фев 2021
  20. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Выше пример по WS, как решить если функция симулируется ?

    - замер тайминга, профайлером. Это обнаружит загрузку в набор, вот как это обойти или симулировать загадка :)