Антидамп

Discussion in 'WASM.HEAP' started by Rel, Dec 31, 2020.

Thread Status:
Not open for further replies.
  1. Indy_

    Indy_ Well-Known Member

    Blog Posts:
    4
    Thetrik,

    > А как поступить если нужно вызывать внешнюю API

    Что значит внешнюю, если всё апп под трансляцией ?

    Внешней можно назвать только лишь ядерные апи, в которые передаются юзер указатели. Это не сложно решаемая проблема на днях я ссылку приводил на попытку решения, изврат конечно дикий. И говорил что это ключевая проблема, не позволяющая скрыть весь образ. Можно и по простому решить - базой данных апи, но это хардкод мне такое не нравится.)

    Раз есть дамп кл, так вот модете посмотреть как решался какой то квест, Получилось что младшие версии дий были без трансляции, соотв профайл не может вытянуть какую то игру с тяжёлым гуем. Для решения по оптимизации апп транслировалось частично кусками. На нужных местах включалась трансляция, после обработки приложение продолжало выполняться напрямую. Не плохой такой трюк по оптимизации, если быстро по простому не получается сделать :)
    --- Сообщение объединено, Jan 5, 2021 ---
    Rel,

    JIT ?

    Забыл эту https://wasm.in/threads/protektor-dlja-net-pe.33289/#post-409560 тему чтоле и чем там решалось, далеко не отладчиком :sarcastic:
     
  2. Thetrik

    Thetrik UA6527P

    Blog Posts:
    0
    Там виртуальная машина p-кода (байткод).

    ProcCallEngine, MethCallEngine.

    Ну я имел в виду не простой поиск, а с анализом. К примеру там есть общий переход по таблице опкодов. Таблица - большой список указателей на процедуры. Вот это все проанализировав можно найти это место.
    --- Сообщение объединено, Jan 5, 2021 ---
    Indy_, ясно, понял, спасибо.
     
  3. Rel

    Rel Well-Known Member

    Blog Posts:
    2
    Ну понятно, значит не джитит.

    Окей, спасибо, я погуглю об этом потом, хочется как то это заюзать, но пока не знаю как, надо подумать.

    Ну это джамптейбл для опкодов, то есть надо искать, какая функция переходит по этим процедурам. Ну лан, я понял.
     
  4. Thetrik

    Thetrik UA6527P

    Blog Posts:
    0
    upload_2021-1-5_0-51-45.png
    Вот этот switch, вот чекни у себя такой. Только вместо ecx там разумеется может быть другой регистр. Главное что таблица большая и указывает на кодовую секцию. Этих двух критериев будет достаточно чтобы с большой вероятностью найти нужное место.

    Да там небольшой реверс все покажет, там также все просто. Создаешь только необходимые условия для запуска и передаешь параметр через edx.
     
  5. Rel

    Rel Well-Known Member

    Blog Posts:
    2
    Я сейчас не в москве и у меня нет тут компа с виртуальными машинами с различными версиями венды, но я посмотрю. А насчет JScript'а не знаешь? Там чистый интерпретатор или он тоже в байткод компилится как vbs/vb6?
     
  6. X-Shar

    X-Shar Active Member

    Blog Posts:
    0
    С появлением PatchGuard (Защита ядра от патчинга и т.д.) у антивирусов появилась проблема в отслеживании функций на уровне драйверов.

    Как это происходит, т.е. как поставить хук на низкоуровневую функцию, в целом данная методика применима в любой ОС, так-вот:

    В ядре есть таблица системных вызовов, каждый номер сопоставлен с адресом определенной функцией в этой таблице, например при вызове какого-то CreateFile, по факту вызывается системный вызов с номером, точно не помню, но пусть будет 0x55, а в таблице системных вызывов этот номер сопоставлен уже с адресом ядерной функции.

    Примерно такая-же шляпа и с Линуксом, но не суть...

    Так-вот, что-бы поставить ядерный хук, нужно заменить адрес в таблице системных вызывов на свою функцию, но при включенном PatchGuard это невозможно и будет краш.)))

    Я конечно много чего не знаю и возможно антивирусы как-то обходят эту защиту, но мне кажется вряд-ли, а официальными способами не поставить хуки на функции, там сильно всё ограничено.

    Поэтому антивирусы делают юзермодные хуки, Рел писал статью на дамаге, я тоже начинал...

    Ну и в подтверждении всему сказанному, что тот-же Касперский пропускает инжект в доверенный процесс, хотя не должен.)

    Так-что, обходить эту защиту можно, наверное не так всё страшно.)))
     
  7. M0rg0t

    M0rg0t Well-Known Member

    Blog Posts:
    0
    X-Shar, я имел ввиду немного другое, не патчинг ssdt , а новые возможности (PsCreateProcessNotify или как там его, ты же читал Иосифовича больше меня).
    А с инжектом помню эту историю, странно вообще, ну да ладно. Я Каспером мало интересуюсь, по причине что он больше по Ру, но вообще - это один из сильнейших аверов. Даже почитать их реверс-отчеты, там видно что люди грамотней 99% блекушников.
     
    X-Shar likes this.
  8. X-Shar

    X-Shar Active Member

    Blog Posts:
    0
    Это-да, в целом может патчить и не нужно для антивирусов, но всё-равно возможностей стало в разы меньше.)
     
  9. M0rg0t

    M0rg0t Well-Known Member

    Blog Posts:
    0
    X-Shar likes this.
  10. X-Shar

    X-Shar Active Member

    Blog Posts:
    0
    Да, я видел ту тему.)

    Если вкратце, тут два варианта:

    1. Хукать в юзермоде, как описал Рел, кстати крутая статья у него получилась, спасибо ему.)
    Там и тулза есть, которая может рассказать какие апи и какие антивирусы хукают.

    2. В целом я сейчас подумал, при правильном подходе, штатных средств ядра и достаточно, мы-же не про руткиты говорим.

    Поставив фильтр на файловую систему, можно контроллировать создание/удаление файлов.

    Создание/завершение процессов также можно контроллировать через каллбак функции.

    При помощи NDIS фильтров, можно полностью контроллировать сеть и траффик.

    А что еще и нужно для полноценных антивирусов/файерволов ?

    В целом патчинг ядра это всегда плохо, т.к. вмешательство в работу ядра и черевато багами и уязвимостями.)
     
  11. Rel

    Rel Well-Known Member

    Blog Posts:
    2
    Касперский же вроде свой гипервизор с блекджеком и шлюхами пилил для этих целей, это вам уже не klif.sys.

    Всегда пожалуйста.
     
  12. X-Shar

    X-Shar Active Member

    Blog Posts:
    0
    В смысле ?

    Они пилят гипервизор для своей ОС, который будет как отдельный процесс этой операционной системы, там при помощи этого гипервизора можно потом запускать уже любую другую операционную систему, которая уже будет ограничена в ресурсах и т.д.

    Да сейчас эти гипервизоры кто только не пилит, у Яндекса тоже там что-то пилится, для своих проектов.)

    Если говорить про штатный антивирус, то там вроде-как драйвер у них, ну плюс ещё HIPS, типо например если шифровальщик начнёт шифровать данные, антивирус это через какое-то время должен понять и вернуть всё как-было.)

    Другое-дело, что эти нано-технологии что-то не особо защищают от шифровальщиков, учитывая их доходы...

    Меня ещё всегда смешили эти расследования антивирусных контор, из последней статьи ребята явно к успеху пришли, опубликовав, что за Ревилами стоит "Неизвестный" у которого никнейм "Unknown", явно в правильном направлении идут, а мы-то незнали...)

    Ну или непонятные статьи, типо "Почему до сех-пор популярны форумы ?", а что они предлагают общаться в твиттере, или фейсбуке, в котором блокируют неугодные страницы, как-бы самое простое поднять форум в том-же ТОРе, ну и плюсы форумов, можно структурировать информацию, что например нельзя в том-же телеграмме, легче искать инфу также.

    Мне кажется форумы, весьма неплохой вариант для обсуждения тех. вопросов (Кодинг и т.д.).

    Эти "Эксперты" некоторые, как с луны упали, либо я что-то не понимаю конечно.)
     
    M0rg0t likes this.
  13. R81...

    R81... Active Member

    Blog Posts:
    0
    ~"которая уже будет работать на выделенных ей в ресурсах и т.д."
    Помнится мне вложенность VM/370 "логически не ограниичена", но не факт, что современные Intel процы для такого пригодны.
    Были попытки теории по этому поводу в прошлом тысячелетии - не отследил чем закончилось.
     
  14. Indy_

    Indy_ Well-Known Member

    Blog Posts:
    4
  15. M0rg0t

    M0rg0t Well-Known Member

    Blog Posts:
    0
    X-Shar, оффтоп немного, локеры удаляют аверов с машин (получают права админа , пароль от облака и т.д.), никто толком не обходит, ибо это нереально для более менее масс софта.
    Да, многие заказывают за сотни килобаксов морферы и прочее, но имхо это мало поможет в общем.. Исключение - точечные локеры, у которых нет ПП, а типа сами работают, и то сомнительно что они обходят всех. Будь я авером, спалил бы их нефиг дела проактивкой.
     
    nullPtr and X-Shar like this.
  16. UbIvItS

    UbIvItS Well-Known Member

    Blog Posts:
    0
    короче гря, соц. инженерия, ибо нет в софте да железе большей дыреньки, нежель сам юзВЕРЬ :grin:
     
  17. Thetrik

    Thetrik UA6527P

    Blog Posts:
    0
    Да, там тоже P-код.
    upload_2021-1-6_12-26-43.png
     
  18. Rel

    Rel Well-Known Member

    Blog Posts:
    2
    Большое спасибо за информацию, надо будет мне на досуге подумать, как его компилить и как запускать более менее универсально на всех версиях венды.
     
  19. M0rg0t

    M0rg0t Well-Known Member

    Blog Posts:
    0
    Да фиг знает, думал ради интересно, но стремно немного) вся проблема да, в
    я же не мог возникнуть из неоткуда, спросят профили на форуме, портфолио, а тут такое.. хрен их знает, особенно груп-иб, они же с мусорами связаны вроде как.
    да и разве что по приколу, ты же знаешь мое отношение к офисному рабству и всему этому вайтхету в целом.

    Thetrik, тема интересная, спасибо за идею.
     
    ryuk likes this.
  20. piligmindo

    piligmindo Member

    Blog Posts:
    0
    Каким образом можно просто удалить антивирус? Там же файлы и ключи реестра сторожит драйвер ?
     
Thread Status:
Not open for further replies.