Как скрыть сплайсинг от глаз rku ?

Тема в разделе "WASM.WIN32", создана пользователем Flasher, 11 сен 2008.

  1. Flasher

    Flasher Member

    Публикаций:
    0
    Регистрация:
    31 янв 2004
    Сообщения:
    640
    Не совсем понимаю как он определяет что та или иная функция хукана...
    Объясните плиз, и за одно, какими трюками моно сделать вид что функция вовсе не хукнута?
     
  2. Magnum

    Magnum New Member

    Публикаций:
    0
    Регистрация:
    29 дек 2007
    Сообщения:
    925
    Flasher
    1. Считывается образ либы с диска
    2. Находится ближайший рет
    3. Находится приблизительный размер функции
    4. Берется функция оригинальная, из памяти
    5. Побайтно сравниваются загруженный и оригинальный образы
    6. Если хоть один байт не совпадает - есть сплайс

    Как обойти - думай сам -)
     
  3. LazzY

    LazzY New Member

    Публикаций:
    0
    Регистрация:
    6 мар 2006
    Сообщения:
    123
    какже рилоки, какже побайтно? :О
     
  4. Magnum

    Magnum New Member

    Публикаций:
    0
    Регистрация:
    29 дек 2007
    Сообщения:
    925
    LazzY
    эмммм..........
    А что, какие-то проблемы в пересчете релоков??


    сравнение именно побайтно
     
  5. deLight

    deLight New Member

    Публикаций:
    0
    Регистрация:
    26 май 2008
    Сообщения:
    879
    Magnum
    а как же помочь братьям меньшим? ))
    линков хоть бы кинул =D
     
  6. nobodyzzz

    nobodyzzz New Member

    Публикаций:
    0
    Регистрация:
    13 июл 2005
    Сообщения:
    475
    подсказка
    =)))
     
  7. blast

    blast New Member

    Публикаций:
    0
    Регистрация:
    8 мар 2008
    Сообщения:
    170
    Есть более продвинутые способы перехватить определенную функцию - перехват в секции данных сейчас не обнаруживается некем. Минус лишь один таких функций не много.
     
  8. litrovith

    litrovith Member

    Публикаций:
    0
    Регистрация:
    20 июн 2007
    Сообщения:
    509
    Magnum
    +1
     
  9. Flasher

    Flasher Member

    Публикаций:
    0
    Регистрация:
    31 янв 2004
    Сообщения:
    640
    Magnum, я так понял скрыть без спомогательной проги некак ?
    Т.е. надо словить во всей системе чтение того кармического либа, и подменять там данные?
     
  10. Flasher

    Flasher Member

    Публикаций:
    0
    Регистрация:
    31 янв 2004
    Сообщения:
    640
    У Всех при скане этого файла во вкладке Code Hook - rku падает? :)
     
  11. Malwara

    Malwara New Member

    Публикаций:
    0
    Регистрация:
    23 авг 2008
    Сообщения:
    30
    Бггг. Аццкие методы обсуждаете, особенно \"подсказка\". Просто аццки жжоте по теме и не в тему. Сплайсенг мертв как и Эмсирем. Вы тут подсказочки дурацкие кидаите, а афторы за вами наблюдают :) Открою флашеру секрет обходенг детекта трешки заключается в модификации инструкций переходов и вызовов функций с использованием эшелонированного моста (ну это на любителя, можно сразу в тело троя) и выбирать ещё надо че менять и где. Кто ниче не понял из предыдущего предложения - ну я вам помочь уж3 не могу.

    Гон. В параноид режиме тебе побайтово вывалят ЛЮБУЮ разницу в любой секции. В каком антирутките? Ну ищи подсказки.

    ps.
    im111 я не ктулху!! Вам видемо следует ознокомится с одной стотьей популярной ;)
     
  12. blast

    blast New Member

    Публикаций:
    0
    Регистрация:
    8 мар 2008
    Сообщения:
    170
    Любая модификация в секции кода легко обнаруживается.

    Ну во-первых как по мне проверять секцию данных побайтово это как минимум глупо, и не имеет смысла.
    Во вторых в секции данных имеются переменные, которые инициализируются на стадии загрузки модуля и определение их начального значения очень затруднительно. Но зато мы всегда сможешь модифицировать такую переменную.

    Надеюсь в этот раз Malwara вы воздержитесь от просьбы предоставить вам пример перехвата в секции данных который выполняет свою полезную нагрузку и не виден никаким из существующих паблик антируткитов.
     
  13. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    Malwara
    [..], думай что пишешь.
    Наблюдают.
    [..], а по русски как ?
    Вначале сам прочитай что следует, потом пости пост пустой гон.
    ~~~~~~~~~
    Модификация кода не в пределах функции не обнаруживается рку.
     
  14. Aquila

    Aquila Самурай дзена

    Публикаций:
    0
    Регистрация:
    30 авг 2002
    Сообщения:
    1.467
    Адрес:
    Russia, Moscow
    Clerk, Malwara
    Господа, подкорректируйте, пожалуйста, свой стиль общения и манеру разговора, который сейчас у вас ведётся на повышенных понтах и с применением малолетнего сленга. Представьте на минуту, что вы взрослые и местами даже интеллигентные люди. Понимаю, что это трудно, практически даже невозможно сделать, но надо же когда-то начинать.
     
  15. nester7

    nester7 New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2003
    Сообщения:
    720
    Адрес:
    Russia
    Аквила - непобедимый оптимист :lol:
     
  16. nester7

    nester7 New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2003
    Сообщения:
    720
    Адрес:
    Russia
    Aquila
    Ты, как непобедимый оптимист, не желаешь ли испить пива размышляя об прекрасном да с Крисом, ибо у него всё воскресенье свободно?
    :lol:
    Айм сириойёз )
     
  17. Malwara

    Malwara New Member

    Публикаций:
    0
    Регистрация:
    23 авг 2008
    Сообщения:
    30
    blast
    Обнаруживается да, но дело в том, что не все программы просто дают тебе сразу результат модификации. А модификация инструкции как раз и поставит такие программы раком, потому что изменения будут трассироваться с _середины_ инструкции как минимум.
    Ещё как имеет. Побайтово проверяются все секции, в режиме параноида тебе вывалят любую разницу, а в \"умных\" режимах они будут заниматься отдельно каждым взятым изменением. Если ты такой умный, что все глупо - напиши свое и докажи преимущества своего подхода, иначе какой смысл флудить?
    Ха. Правильно, ты же мне так и не сказал как осуществить неосуществимое в прошлые раз, поэтому как серьезного собеседника я тебя не воспринимаю, и приходиться все время разьяснять тебе азбуку.

    Clerk
    Я все написал и есть реальные примеры, которые делают что я говорю и которые обсуждаемая программа не видит. Сплайсенг в tcpip.sys например одного руткита, где модифицированы комманды call реальных функций. А применение нескольких мостов при хуках это уже такой боян, что я не собираюсь даже примеры приводить.

    Аквила, дельное замечание кстати, да с удовольствием подкоректирую, ты же знаешь, это не является какой-то невероятной проблемой. Вот только говоря о малолетнем сленге и манере поведения посмотри лучше на контент своего форума, где малолетние господа \"хакеры\" вовсю торгуют малварами, крипторами под малвару и обсуждают психотропные препараты вкупе с использованием ботнетов. Ты же знаешь - нельзя жить на помойке и не быть бомжём :)

    Помогать аВторам программ расписывая тут их баги я не собираюсь, в отличие от всех остальных тут отписавшихся по теме.
     
  18. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    Знакомые все рожи :)

    Насчет мостов и эмуляторов - это все та же гонка, ибо у эмулятора есть или timelimit или codelimit, сделал на 1 мост больше и усе. Насчет параноид режима - он обязательно нужен, мало ли что (правда смотреть лог гмерика охренеешь).

    А Аквилла смотрю интеллегентничает. Выглядит забавно: интеллегент в очках окруженный гопотой и помойками... =)
     
  19. blast

    blast New Member

    Публикаций:
    0
    Регистрация:
    8 мар 2008
    Сообщения:
    170
    Если вы все ещё о копировании токенов процесса System, то это уже даже не смешно я рассказал все как это сделать каким методом, и место того чтоб сесть и реализовать вы пишете \"неосуществимое\", наверное у вас просто не хватает знаний и вы ни как не можете это признать, а самое плохое это не признавать свои ошибки.
    У Clerk'a есть пример.
    Опять же если вы не видите приймущиства метода, который я описал то это ещё раз подтверждает то что я написал выше.
    А почему бы и не помоч кому-то?
    Вы слишком высокого о себе мнения, на самом деле уровень ваших знаний далеко не такой, каким вы его считаете, и многие это видят, так что чем раньше вы сбавите тон своих высказываний, тем лучше, иначе знающие люди вас просто не буду воспринимать в серьёз.
     
  20. Flasher

    Flasher Member

    Публикаций:
    0
    Регистрация:
    31 янв 2004
    Сообщения:
    640
    Эх.., так не кто и не сказал вышеуказанная прогулька заставляет падать rku или нет? :dntknw:
    У меня лично падает с треском при проверке этого файла :)