Антидамп

Thetrik,

> А как поступить если нужно вызывать внешнюю API

Что значит внешнюю, если всё апп под трансляцией ?

Внешней можно назвать только лишь ядерные апи, в которые передаются юзер указатели. Это не сложно решаемая проблема на днях я ссылку приводил на попытку решения, изврат конечно дикий. И говорил что это ключевая проблема, не позволяющая скрыть весь образ. Можно и по простому решить - базой данных апи, но это хардкод мне такое не нравится.)

Раз есть дамп кл, так вот модете посмотреть как решался какой то квест, Получилось что младшие версии дий были без трансляции, соотв профайл не может вытянуть какую то игру с тяжёлым гуем. Для решения по оптимизации апп транслировалось частично кусками. На нужных местах включалась трансляция, после обработки приложение продолжало выполняться напрямую. Не плохой такой трюк по оптимизации, если быстро по простому не получается сделать

--- Сообщение объединено, 5 янв 2021 ---

Rel,

JIT ?

Забыл эту https://wasm.in/threads/protektor-dlja-net-pe.33289/#post-409560 тему чтоле и чем там решалось, далеко не отладчиком

 

Там виртуальная машина p-кода (байткод).

ProcCallEngine, MethCallEngine.

Ну я имел в виду не простой поиск, а с анализом. К примеру там есть общий переход по таблице опкодов. Таблица - большой список указателей на процедуры. Вот это все проанализировав можно найти это место.

--- Сообщение объединено, 5 янв 2021 ---

Indy_, ясно, понял, спасибо.

 

Ну понятно, значит не джитит.

Окей, спасибо, я погуглю об этом потом, хочется как то это заюзать, но пока не знаю как, надо подумать.

Ну это джамптейбл для опкодов, то есть надо искать, какая функция переходит по этим процедурам. Ну лан, я понял.

 

Вот этот switch, вот чекни у себя такой. Только вместо ecx там разумеется может быть другой регистр. Главное что таблица большая и указывает на кодовую секцию. Этих двух критериев будет достаточно чтобы с большой вероятностью найти нужное место.

Да там небольшой реверс все покажет, там также все просто. Создаешь только необходимые условия для запуска и передаешь параметр через edx.

 

Я сейчас не в москве и у меня нет тут компа с виртуальными машинами с различными версиями венды, но я посмотрю. А насчет JScript'а не знаешь? Там чистый интерпретатор или он тоже в байткод компилится как vbs/vb6?

 

С появлением PatchGuard (Защита ядра от патчинга и т.д.) у антивирусов появилась проблема в отслеживании функций на уровне драйверов.

Как это происходит, т.е. как поставить хук на низкоуровневую функцию, в целом данная методика применима в любой ОС, так-вот:

В ядре есть таблица системных вызовов, каждый номер сопоставлен с адресом определенной функцией в этой таблице, например при вызове какого-то CreateFile, по факту вызывается системный вызов с номером, точно не помню, но пусть будет 0x55, а в таблице системных вызывов этот номер сопоставлен уже с адресом ядерной функции.

Примерно такая-же шляпа и с Линуксом, но не суть...

Так-вот, что-бы поставить ядерный хук, нужно заменить адрес в таблице системных вызывов на свою функцию, но при включенном PatchGuard это невозможно и будет краш.)))

Я конечно много чего не знаю и возможно антивирусы как-то обходят эту защиту, но мне кажется вряд-ли, а официальными способами не поставить хуки на функции, там сильно всё ограничено.

Поэтому антивирусы делают юзермодные хуки, Рел писал статью на дамаге, я тоже начинал...

Ну и в подтверждении всему сказанному, что тот-же Касперский пропускает инжект в доверенный процесс, хотя не должен.)

Так-что, обходить эту защиту можно, наверное не так всё страшно.)))

 

X-Shar, я имел ввиду немного другое, не патчинг ssdt , а новые возможности (PsCreateProcessNotify или как там его, ты же читал Иосифовича больше меня).
А с инжектом помню эту историю, странно вообще, ну да ладно. Я Каспером мало интересуюсь, по причине что он больше по Ру, но вообще - это один из сильнейших аверов. Даже почитать их реверс-отчеты, там видно что люди грамотней 99% блекушников.

 

Это-да, в целом может патчить и не нужно для антивирусов, но всё-равно возможностей стало в разы меньше.)

 

X-Shar, не могу знать, пока очень мало тестил все это. Вот тут обсуждалось https://wasm.in/threads/kak-avery-xukajut-64bitnoe-jadro.31501/
(кстати, Malfoy в той теме = Инди).

 

Да, я видел ту тему.)

Если вкратце, тут два варианта:

1. Хукать в юзермоде, как описал Рел, кстати крутая статья у него получилась, спасибо ему.)
Там и тулза есть, которая может рассказать какие апи и какие антивирусы хукают.

2. В целом я сейчас подумал, при правильном подходе, штатных средств ядра и достаточно, мы-же не про руткиты говорим.

Поставив фильтр на файловую систему, можно контроллировать создание/удаление файлов.

Создание/завершение процессов также можно контроллировать через каллбак функции.

При помощи NDIS фильтров, можно полностью контроллировать сеть и траффик.

А что еще и нужно для полноценных антивирусов/файерволов ?

В целом патчинг ядра это всегда плохо, т.к. вмешательство в работу ядра и черевато багами и уязвимостями.)

 

Касперский же вроде свой гипервизор с блекджеком и шлюхами пилил для этих целей, это вам уже не klif.sys.

Всегда пожалуйста.

 

В смысле ?

Они пилят гипервизор для своей ОС, который будет как отдельный процесс этой операционной системы, там при помощи этого гипервизора можно потом запускать уже любую другую операционную систему, которая уже будет ограничена в ресурсах и т.д.

Да сейчас эти гипервизоры кто только не пилит, у Яндекса тоже там что-то пилится, для своих проектов.)

Если говорить про штатный антивирус, то там вроде-как драйвер у них, ну плюс ещё HIPS, типо например если шифровальщик начнёт шифровать данные, антивирус это через какое-то время должен понять и вернуть всё как-было.)

Другое-дело, что эти нано-технологии что-то не особо защищают от шифровальщиков, учитывая их доходы...

Меня ещё всегда смешили эти расследования антивирусных контор, из последней статьи ребята явно к успеху пришли, опубликовав, что за Ревилами стоит "Неизвестный" у которого никнейм "Unknown", явно в правильном направлении идут, а мы-то незнали...)

Ну или непонятные статьи, типо "Почему до сех-пор популярны форумы ?", а что они предлагают общаться в твиттере, или фейсбуке, в котором блокируют неугодные страницы, как-бы самое простое поднять форум в том-же ТОРе, ну и плюсы форумов, можно структурировать информацию, что например нельзя в том-же телеграмме, легче искать инфу также.

Мне кажется форумы, весьма неплохой вариант для обсуждения тех. вопросов (Кодинг и т.д.).

Эти "Эксперты" некоторые, как с луны упали, либо я что-то не понимаю конечно.)

 

~"которая уже будет работать на выделенных ей в ресурсах и т.д."
Помнится мне вложенность VM/370 "логически не ограниичена", но не факт, что современные Intel процы для такого пригодны.
Были попытки теории по этому поводу в прошлом тысячелетии - не отследил чем закончилось.

 

X-Shar,

Есть и в юзер шибки защиты https://wasm.in/threads/avanguard-the-win32-anti-intrusion-library.33212/page-9#post-416132 там не одна была найдена.

Можно найти безопасный обьект который не защищён пг, это может быть любой указатель, далее можно передачу управления отложить.

 

X-Shar, оффтоп немного, локеры удаляют аверов с машин (получают права админа , пароль от облака и т.д.), никто толком не обходит, ибо это нереально для более менее масс софта.
Да, многие заказывают за сотни килобаксов морферы и прочее, но имхо это мало поможет в общем.. Исключение - точечные локеры, у которых нет ПП, а типа сами работают, и то сомнительно что они обходят всех. Будь я авером, спалил бы их нефиг дела проактивкой.

 

короче гря, соц. инженерия, ибо нет в софте да железе большей дыреньки, нежель сам юзВЕРЬ

 

Да, там тоже P-код.

 

Большое спасибо за информацию, надо будет мне на досуге подумать, как его компилить и как запускать более менее универсально на всех версиях венды.

 

Да фиг знает, думал ради интересно, но стремно немного) вся проблема да, в

я же не мог возникнуть из неоткуда, спросят профили на форуме, портфолио, а тут такое.. хрен их знает, особенно груп-иб, они же с мусорами связаны вроде как.
да и разве что по приколу, ты же знаешь мое отношение к офисному рабству и всему этому вайтхету в целом.

Thetrik, тема интересная, спасибо за идею.

 

Каким образом можно просто удалить антивирус? Там же файлы и ключи реестра сторожит драйвер ?