Avanguard: The Win32 Anti-Intrusion Library

Тема в разделе "CHEATS", создана пользователем HoShiMin, 17 мар 2019.

Метки:
  1. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    Стоп, речь не об эксплойтах. Сфера применения, например, античиты. Пользователь может запустить инжектор хоть из под NT_AUTHORITY\System, и ты никак не можешь помешать ему это сделать. Он может сделать с твоим процессом что угодно, может снять PPL, может менять Integrity Level, может менять права доступа к целевому процессу (например, в ProcessHacker'e), может запускать драйвера, может запускать целевой процесс под гипервизором, и в этих условиях тебе надо не столько предотвратить инжект, сколько задетектить, что он имел место.
    --- Сообщение объединено, 28 май 2019 ---
    Более того, пользователь ДОЛЖЕН иметь возможность делать всё вышеперечисленное. Если во время работы процесса запрещать ему делать что-то, не связанное с защищаемым процессом напрямую - это называется "ломать систему". Защита НЕ должна иметь сайд-эффектов, не должна препятствовать нормальной работе системе, не должна урезать возможностей.
     
  2. im.

    im. Active Member

    Публикаций:
    0
    Регистрация:
    16 сен 2017
    Сообщения:
    310
    А, ну вот как раз я об этом и добавил выше. Нормально тогда, для этих задач неплохая игрушка. Контроль целостности бывает полезен, когда в условиях соглашения снимаются гарантии при вмешательстве в работу ПО.
    --- Сообщение объединено, 28 май 2019 ---
    Что касается валидных инжектов от другого ПО.
    По хорошему, легитимное ПО должно делать инжект используя нормальные DLL, к которым можно получить путь и чекнуть валидность.
    У АВ обычно есть цифровые подписи, поэтому и проверить не проблема.
    Грязные методы могут поломать работу и поэтому нормальные компании вряд ли пойдут на это, стараясь сделать все наиболее стабильно.
    Таким образом нестабильные решения это хороший признак наличия атаки, даже если какой-то мелкий АВ это использует в благих целях, пускай делают по человечески, это уже их проблема.
     
  3. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    Я больше скажу, неподписанными библиотеками грешит даже интел, который инжектит либу-оптимизатор для своей графики. Пару лет назад это доставило проблем. Блочишь такую либу - рискуешь нарваться на рандомные краши где-то в недрах OpenGL. Так что, полагаться на подпись нельзя.
    А кроме драйверов есть ещё стримилки, библиотеки от мессенджеров (например, дискорд) - тысячи их. И пользователи ими пользуются, и просто блочить всё неподписанное или неизвестное уже нельзя, потому что сразу начнутся недовольные пользователи, которым всё равно, кто виноват, они видят только то, что у них всё сломалось.
     
  4. im.

    im. Active Member

    Публикаций:
    0
    Регистрация:
    16 сен 2017
    Сообщения:
    310
    Поэтому такие методы и не практикуют в широком применении. Ведь это не первое решение в природе. На мессенджеры я бы забил, в играх это все сродни читам, дети уже давно практикуют координацию по скайпам и прочим звонилкам, чтобы сливать инфу в онлайне. Оставить только стримилки и ничего более.
     
  5. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    im.,

    Ты чушь пишешь. Инжектится всякий разный софт, не обязательно вредоносный. WOW слой в x64 это тоже инжект и системный. И что не так с сервисной таблицей - всегда ставились фильтры в ней, иначе реализовать фильтрацию нельзя. Блокировать доступ к обьектам - это не фильтрация, это глобальная блокировка. Это перестало юзаться из за проблем с KPP.

    Судя по списку трешевых твоих тем https://wasm.in/search/12970086/ спец ты просто ох-ный и мнение твоё очень для нас важно.
    --- Сообщение объединено, 28 май 2019 ---
    HoShiMin,

    > неподписанными библиотеками грешит

    Смысл цифр подписи - заплатить. Можно любой вредонос закриптовать и будет тебе подпись. Эти школяры наивно верят в эти подписи и белые списки.
     
  6. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    Согласен, но вижу и хорошие стороны: сертификаты - неплохой способ поднять порог вхождения, например, в км и подтвердить серьёзность своих намерений. А для конечных пользователей - ещё одна гарантия, что вендор хотя бы протестировал свой драйвер и прошёл какие-никакие тесты (а если вендор ответственный, он пройдёт ещё и WHQL).
    А для юзермода - просто гарантия, что то, что ты запускаешь, действительно тот софт, который ты ожидал, а не малварный фейк. Как зелёный замочек в браузерах. Красиво и добавляет доверия.

    Другое дело, что разработчикам-одиночкам получить EV очень непросто, и ладно бы только из-за стоимости - бюрократия при оформлении даже на ИП отбивает всё желание этим заниматься.
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    У меня работает x64 w8. Несколько лет. Весь софт конечно нелегал, всё ломаное переломанное. О каких сертах вообще идёт речь я хз. Полагаю данный механизм был выпилен нафиг при сборке ос.
     
  8. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    А у меня - наоборот, почти весь софт лицензионный: всё необходимое или в Community-редакциях или вообще бесплатное. Из крякнутого только VMware (активировал ключиком из инета), сама винда (KMSAuto) и IDA. Но какому-нибудь фотошопу с ноунейм-варезника я бы не доверял.
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    Я имею ввиду что серты не работают. Кому нужны какие то проверки, если весь софт ломаный/нелегал, как и ось.
     
  10. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    Это из разряда "пользователь - сам себе злобный буратино") Хочешь - пользуйся, не хочешь - на свой страх и риск. Хотя, в целом, согласен, что "страх и риск" сбываются редко и надо иметь достаточную удачу, чтобы умудриться подцепить что-то зловредное, и потому какого-то решающего значения серты не играют.
     
  11. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    > А у меня - наоборот, почти весь софт лицензионный

    Это значит что ты его купил, на штатный набор софта нужны тысячи $. Либо ты его угнал из своей конторы.
     
  12. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    Да почему? Много ли мне надо? VS и IntelliJ IDEA есть в комьюнити-редакциях (бесплатные для некоммерческой разработки), винрар не покупаю и не крякаю (то окошко не напрягает), x64dbg бесплатный, Hiew купил (единственный купленный софт), остаётся крякнутая ида. А больше ничего и не нужно!

    А вместо ворда-экселя юзаю Google Docs - тоже бесплатные, хватает с головой.
     
  13. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    А саму ось, короче сколько на всё бабоса то ушло ?
     
  14. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    А ось - крякнутая (KMSAuto), хотя подумываю купить на амазоне дешёвый лицензионный ключик, всего рублей 300 стоит, и раз и навсегда закрыть вопрос с лицензионной виндой.
    Если покупать совсем всё, остаются - VMware Workstation и IDA. Первую можно заменить бесплатным VMware Player'ом (ладно, ради снапшотов можно потерпеть и VirtualBox или замахнуться на Hyper-V), а вторую пока заменить нечем (гидру и радар не предлагать). Но лицензия на иду стоит каких-то фантастических денег - нет, спасибо, обойдусь крякнутой ушлыми китайцами.
    Так что, кроме вари, винды и иды, всё остальное бесплатное и при том вполне лицензионное (в плане легальности и "официальности").
     
  15. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    > Так что, кроме вари, винды и иды, всё остальное бесплатное.

    Как же - если ось ломаная, то и софт такой же. Как и у всех. И в таком виде никакой речи не может идти про какие то сертификаты, в этом и смысл. Эта фигня давно из ядра ломаного удалена наверно, что бы не напрягать пользователей. Обычный юзер про эту фигню ничего не знает. Всё ставится без каких то подписей, проблемы надуманны. Ничего не мешает пропатчить ядро под свои интересы.
     
  16. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    Indy_
    А, вот ты про что...
    Нет, в винде нет и не было никакого механизма какой-то "принудительной" проверки сертификатов для софта (EV'шки для драйверов не в счёт).
    Суть сертификатов лишь в том, что пользователь, когда запускает приложение, видит окошко UAC'а с инфой об издателе. Если издателя проверили (т.е., тот бинарник, что ты скачал, действительно выпустил издатель, и никаких изменений в него третьими лицами не вносилось) - видишь красивый синий щит. Если апп не подписан или после подписи кто-то модифицировал бинарник - видишь красный щит и предупреждение. Никто не запретит нажать "Ок" и запустить приложение, если ты уверен, что оно чистое.

    Т.е., система с сертификатами - просто информирование пользователя об издателе бинарника, и ничего больше. В целом, как и https: если видишь зелёный замочек на платёжном сайте, и в инфе о сертификате действительно название компании - скорей всего, ты попал по адресу. А если вдруг сайт такой же, а замочек красный - есть вероятность, что сайт не тот, за кого себя выдаёт. Но решение, пользоваться сайтом\приложением, или нет, принимает уже сам пользователь.

    И, в конце концов, у сертификатов остаётся и эстетическая сторона: приятно запускать софт и видеть, что компания поставила на него свою "печать", подтверждая, что "да, это наш продукт и мы несём за него ответственность".
    --- Сообщение объединено, 28 май 2019 ---
    Кстати, к вопросу о сертификатах.
    Буквально только что: у знакомых на проекте отозвали сертификат. Видимо, кто-то из них умудрился подписать им что-то зловредное. Винда теперь отказывается запускать софт, пока юзер руками не разлочит издателя.
    Тоже хороший вариант: если издателя заподозрили в распространении зловредов - серт в бан, а пользователи сразу же будут проинформированы, что софт лучше не запускать. Плохо разве?
    upload_2019-5-28_21-45-3.png
     
    Indy_ нравится это.
  17. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    Нет смысла спорить, у меня своё мнение, впрочем вы это наверно знаете.)

    Давай вернёмся к самой теме. Собери рабочий семпл под 86 я отладчиком посмотрю и подумаю.
     
  18. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    https://www.dropbox.com/s/x8siu52r6i8vj88/AvnBuild.zip?dl=0
    В билде никаких блокировок не предпринимается, все инжекты разрешены, но либа их увидит и отметит в логе (создаётся в папке с основной программой).
    Для запуска просто подцепить в таблицу импорта эксешника. Через LoadLibrary работать не будет (ещё не успел сделать API для запуска).
     
  19. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    весь варез имеет на борту разные сюрпризы по уводу паролей/кредиток + можно стать частью ботсети. Однако, си траблы легко излечимы. а вот хухль-докс для важного документооборота могет стать очень гнусным подарком.
     
  20. im.

    im. Active Member

    Публикаций:
    0
    Регистрация:
    16 сен 2017
    Сообщения:
    310
    Давай подробнее, здесь не HEAP, расскажи как инжектится WOW слой? Не очень понимаю, что ты пытаешься представить под видом инжекта, судя по всему для тебя и мэппинг системных DLL из shared memory в каждый создаваемый процесс это так же инжект. Раскрывай тему.

    Прямо таки нельзя? А как же callback'и которые ОС предоставляются для легитимных целей, как же минифильтры? Обязательно нужно вмешиваться в недокументированные таблицы доводя систему до снижения надежности? Блокировать, во-первых не доступ, а модификацию системных объектов ядра, это правильное решение. Ядро системы создавалось не для того, чтобы все подряд мерились на этом уровне пиписьками кто сильнее всех умеет отфильтровать I/O операционной системы.

    Ты опять ошибаешься. Смысл цифровой подписи в верификации файла асимметричными криптографическими алгоритмами дабы установить подлинность его происхождения от вендора. То что за это нужно платить совсем не обязательно, так как давно известны примеры с проектом Let's encrypt. Криптование вредоносов это временное решение существующее благодаря мягкой политике компании в данный момент. Приведи мне пример вредоноса с подписью из цифрового магазина MS - на этом ломается вся выстроенная тобой аргументация
     
    Последнее редактирование: 29 май 2019