# головоломка от мыщъх'а

kaspersky
А кто мешает посчитать простейший хэшик... вобщем соглашусь что не оптимально да и с хотпатчингом будет геморой ( хотя я не видал хотпатчей для ядра, наверное проскакивают только в огромных мега корпорациях, во всяком случае микрософт не разу мне такого не присылал ). Проверка 64кб более интересна

 

dag
если говорить об детекте конкретных хукеров, то тут все зависит от хукеров. один легче детектить так, другой - эдак. универсальных способов выявить хукер даже на прикладном уровне не существует. ну чисто навскидку - хукер (и таких уже гораздо больше одного) ставит PAGE_NOACCESS и ловит исключения. если нас читают, то подсовывается "очищенная" ячейка памяти,а если исполняют - то отрабатывает код хукера. поэтому я и говорю, что лучше все-таки трассировать. или заранее смотреть на атрибуты страницы.

хэшик можно было считать только для KERNEL32.DLL/NTDLL.DLL и только до появиления вислы. а вот уже advapi32 даже в XP - трындец. т.к. он может быть перемещен в памяти и прежде чем считать хэш нужно разобрать все релоки. нудное это дело.

так что лучше все-таки детектить хукеры индивидуально, а потом их снимать/обходить. хотя тут все от хукера зависит. ICafe8 хучит так, что хрен знает как его расхучить-то, даже с ядерного уровня... мыщъх перебрал несколько вариантов, но надежного решения так и не нашел, посему посчитал, что ICafe8 на данный момент непробиваемая для вирусов и ей можно доверять как себе самому. если кто-то докажет обратное, я буду очень сильно удивлен и признаю себя ослом, потому как я довольно-таки основательно прошелся по ней отладчиком и дизассемблером. даже на ядерном уровне снять хуки не получается, они тут же восстанавливаются. там девять драйвеов и качество у них - соотвествующее. есть несколько ошибок переполнения, но устроить BSOD можно только на ядерном уровне, а на ядерном уровне BSOD можно устроить и без них. с прикладного уровня вообще и говорить нечего об том, чтобы чего-то там обойти. вот тут бы некоторым аверистам поучиться качеству кодирования

 

kaspersky

ICafe8 Это же вроде сервер-клиент инет-кафешек. Собственно не понял в чем проблема - в китайском? Тут вопрос больше в терминологии, большинсво ICafe8 не юзали и юзать возможно не будут - толку его ресечить тогда.

Что собственно хучит? Если речь идет о проактивке - странно, а что (если не учитывать баги винды) можно сделать, к примеру, под гостевым доступом в винде (Vista тому неплохой пример)?

 

PROFi
> ICafe8 Это же вроде сервер-клиент инет-кафешек.
так, но не совсем. эта штука редиректит все операции записи на системный диск в специальное место и потому изменения живут только до перезагрузки. то есть мы можем изучать, например, вирусов и смотреть куда они и что понаписали на диск и в реестр. но после ребута - все изменения умрут, т.к. система грузится с системного диска, а туда ничего не было записано

> Собственно не понял в чем проблема - в китайском?
да в китайском я без труда разрбрался с ней, благо словари есть

> большинсво ICafe8 не юзали и юзать возможно не будут
> толку его ресечить тогда.
что не юзали - я в курсе. а вот что не будут...
я тут его уже начинаю описывать интригуя народ.
нереально удобная штука для экспериментов с прогами,
которые могут сделать системе нехорошо...
раньше я виртуалку (где изучаю малварь) регулярно
поднимал с клона (иногда по нескольку раз в день),
а это - время. с ICafe8 таких проблем нет

> Что собственно хучит?
могу выслать три основных драйвера-хукера.
они небольшие и написанные очень лаконнично и доходчиво.

> Если речь идет о проактивке - странно,
гм, это не совсем та проактивка к которой мы привыкли

> а что (если не учитывать баги винды) можно сделать,
> к примеру, под гостевым доступом в винде
> (Vista тому неплохой пример)?
а что можно сделать на ring-0 с активным ICafe8?
полагаю, что ничего... а ты мне про гостевой доступ говоришь...
виста плохой пример. уже промелькнула информация, что
в релизе (не в кандидате) инсталлятор устанавливает
слишком демократичные права на доступ к некоторым
системным файлам и ветвям реестра, которые могут...

 

win1251

Код (Text):

1. void xorCr(char * txt, unsigned char key)
2. {
3.     for (; *txt; txt++)
4.         *txt ^= key;
5. }

>"Первый if проверяет похукали через экспорт CreateFileA и ZwLoadDriver одновременно, или нет. Второй - хз, может какой-нить защитный софт таким образом сплайсинг проводит."

со сплайсингом не угадал, тоже хук на экспорт проверяется.

 

n0name

Norman SandBox Reporter:
sanbox-explorer_2.exe : Not detected by Sandbox (Signature: NO_VIRUS)
[ DetectionInfo ]
...
RegOpenKeyExA -> 77DC25E9h, *77DC25E9h = 000000C8h.
CreateFileA -> 7C802401h, *7C802401h = 000110C8h.
ZwLoadDriver -> 7C801168h, *7C801168h = FF80E850h.

это дамп нормана снятый удаленно. хе-хе.
обратите внимание на адреса CreateFileA и ZwLoadDriver, а так же на опкоды

щас прикручу еще дебаггер, чтобы нормана и прочие песочницы было можно трассировать удаленно и можно выкладывать сорцы

в качестве примера, что удалось нарыть.
for example,
Anubis uses Realtek RTL8029(AS)-based Ethernet Adapter
Sunbelt uses VIA Compatable Fast Ethernet Adapter
Anubis has the same MAC every time 52-54-00-12-34-56
Sunbelt uses different MACs: 00-E0-4D-xx-xx-xx,
but Default Gateway is the same - 172-16-1-200,
as well as DHCP/DNS servers. it's enough to detect them.

 

kaspersky

1) Прочитать конфигурационную область PCI для контроллера диска. Найти базовый адрес ввода вывода IDE(SATA) записать напрямую на диск.
2) Проверить детект вируализации (blue pill) по таймерам

 

а если используется VT For Directed I/O?

 

Подозреваю, что эти способы перехвата в серьезных сандбоксах скоро перестанут использовать. Не проблема разные модули сделать, да по разным адресам разбросать.