IDP, перенаправление выборки DF на нужное место

Так вот в этом etc" и ваш ответ, разбирайтесь как это раскодируется, в формате. Там всё просто предельно, это и есть эффективный адрес. Наличие его возвращает дизасм, либо можно задать таблицей. Могу вам её дать, но обычно она не нужна - любой дизасм эту инфу возвращает. Вы будите использовать ксед(лучший дизасм, от вендора IA), там это тоже есть.

 

спасибо за ответы, особенно за xed, а то я тут ### с дизасмом ручным)))))))

кому линк надо https://intelxed.github.io/

 

zerodawn,

Использовалась вообще то связка dizahex-xed. Диза хороший мотор, но он не поддерживает наборы расширений, математику например. Ксед тоже хороший, это быстрый табличный декодер, но он большой. Выбор дизасма видимо от целей зависит, если не важен профайл, то возможно и ксед не самое лучшее решение.

 

А есчо я забыл упомянуть важный момент. Из за тех. деталей оно теряется из вида.

У ав эмулятора апи существуют в двух варинтах, это либо простейший стаб, который возвращает какие то данные, типо констант, либо это вм-маркер, сменяющий мод. Это некоторая кодовая последовательность, при обнаружении которой запускается механизм эмуляции апи/ядерных функций. Такой вызов изолирован от исполняемой среды. Это значит что последовательно исполняя инструкции и дойдя до такого вызова, те фактически разложив функцию на компоненты трассировкой(визором), эмулятор ломается на выборке данных. Хотя вм-шлюз реализован обычно как корректный код(для декодера, но не обязательно для исполнения - это сделано что бы остался вызов апи при её перемещении в памяти), это например невалид инструкция с префиксами блокировки, она будет исполнена и на этом эмуляция закончится. Либо возникнет #GP, либо #AV при выборке вм аргументов.

 

zerodawn,

Апну тему, мне интересно что у вас получилось.

 

Интересная и самая актуальная тема по виксам, как всегда заглохло

Один человек поинтересовался, да и тот пропал. Вот так всегда

По ней есчо куча работы:

Все PTR наследуются и передаются в ав-шлюзы. Для эффективного противодействия этому, что бы эмуляция была невозможна принципиально, необходимо использовать анклавы(IDP). Тоесть это должно использоваться для всех указателей в приложении, например локальных переменных. В таком случае возникает масса тех. задач. Не ясно возможно ли системное решение, нужно копаться в ядре, сделав N/A(PG) стековый регион врядле обработка возможна. Наследование указателей так же до конца не решённая задача из за её сложности.

Вот и весьма печально получается что всем пофиг, эти все публикации и обсуждения совершенно бесполезны, всем нужно всё готовое, никто в разработках не участвует

 

пустая трата времени если для малварки. те идея забавная, но больше для легальных продуктов аля прот (да и то... разработчику надо будет потрогать свой код чтобы заработало норм так), чтобы реверсить больно было.
а так ав будут просто детектить сам механизм перенаправления да и все. проживет это максимум неделю.
но если у автора есть контр пример то будет круто (те живой сэмпл).

 

superakira,

Не согласен. Вы не видите в целом картину, рассматривая лишь эмулятор. Фактически тут сразу аверам две проблемы встаёт, одна решается одна не решается принципиально. Что бы из км прочитать юзер память(анклав) во первых нужно снизить мод, те впрыснуть юзер код из км. Который там выполнит выборку через кучу диких извратов, это реализовать врядле возможно. Во вторых вм - перезапуск выборки невозможен.
Всё упирается в плавающий размер структур(не известны лимиты при выборке). Но есть теоретическое решение - использование WS монитора и перезапуск сервисов при выходе за пределы блока данных. Это позволяет реализовать архитектура - каждый аргумент передаваемый в ядро проходит проверку на лимиты.

 

То что ты описал идеально для пакеров, возможно дрм кстати для софта типа игр, но не для малвари. те отдельно эта техника мало что сможет решить. плюс она тяжелая, плюс ее будут детектить тупо в статике - если в бинаре будут сигнатуры кседа итд + магия с вехом, то эмулировать все и не надо. дошло до определенной точки + наличие определенных сигнатур - детект.
Возможно как часть рк только юзермодного. И то надо думать о применении.

 

superakira,

> отдельно эта техника мало что сможет решить.

Задачи клином не сошлись на вм. Есть сканер памяти, это динамическая защита, не эмулятор. И анклавы единственный способ решения, помимо изменения кода.
Авер в своей сути не корректно реализован, не верная архитектура. Его обработчики изолированы от текущего режима, это нарушает dfg. Вм не расчитаны на столь хитрые техники. Это ошибка в самой архитектуре - обработка должна про исходить без смены мода, иначе невозможно связать потоки данных. На анклаве вм прекращает работу, так как обработка события невозможна.

> будут сигнатуры кседа итд + магия с вехом

Тут запутанно из за обширного применения техник - одновременно это разработка защиты, обход её етц. В простейшем случае не нужен декодер инструкций. Он используется визором для быстрой обработки в реалтайме(защита от OP-inject). Если же задача - сломать вм, то можно это всё построить и на исключениях. Так это изначально и работало. Это лишь разные варианты реализации задачи по треку выборки(df).

IDP - это анклав, реализованный через указатель в памяти. То же самое можно сделать с регионом, на который ссылается указатель - заблокировать(из за гранулярности памяти это по простому не получится) его и отслеживать аппаратно выборку, сработает ловушка. Но механизм этот столь медленный, что совершенно не пригоден для работы в реалтайме, Поэтому каждая выборка отслеживается визором, а для этого используется табличный декодер, соотвественно он тяжёлый, большой по размеру.

Видимо в общем тут нет смысла говорить, всё зависит от целей.

 

Допишу что бы было понятно.

Обычно есть три проблемы по теме - ядерный вызов(указатели не могут быть в анклав) , VM-атом и событие сканера памяти.

Их объединяет один механизм. Всё апп должно быть анклавом. Все указатели должны быть захвачены и реализован анклав для них. При этом память апп N/A.

Единственный способ ав которым он может обойти анклавы - копирование данных(DF) в локали(стек). По этой причине есть лишь один способ противодействия. Все ссылки(указатели) в апп должны мониториться, при вызове шлюза изменяться(idp). Тогда вызов атома станет просто невозможным из за отсутствия выборки(df).
Но такое решение весьма сложно реализовать. Фактически анклав может быть двух типов - статик, когда сам блок данных N/A и динамик, это выборка по указателю(ссылкам).
Задача довольно сложна, она требует для решения механизм наследования указателей(PFG), тоже самое нужно и для реализации защиты(OP).

Это обширная тема и куча не решённых по ней задач.

 

Пример, написанный в прошлые выходные для темы cpuid на кряклабе. Это базовая рабочая сборка визора(не блочная сборка, а простейшая). Там нет пакетной обработки, так как она не нужна для тестов адресного декодера. Поэтому работает весьма медленно, но очень стабильно. Адресный декодер можно убрать, так как трансляция происходит через замену опкода(это для тестов что бы упростить). Так же можно реализовать анклав, изменив MODRM кодировку, добавив disp32.

Тут тестовики https://yadi.sk/d/6j89l3RY1IVIdA

В принципе можно тестить на любом модуле без защиты. Иначе будет как минимум детект по таймингу.

f13nd

Ты там обосрал всё, вот полистай и скажи как это можно в пару строк реализовать.

 

Допиленная версия визора https://yadi.sk/d/bLWoylqfLmsBsg

Это не самая профайл сборка, тоесть задача по выборке данных(мотор пилится под конкретную задачу), можете на кряклабе посмотреть. В отличие от предыдущих сборок запилено на протекторы. Любой прот берётся под визор и снимается его активность, визор наблюдает. Можно этим брать на анализ крипторы, прибивая их активность после дефейна EP.

Я позже вернусь к задаче оптимизации(блочное исполнение, задача solved, но я пока оставил реализацию, тк появилась иная задача^).

 

щас бы найти сорцы

 

galenkane, а чо их искать то? Адрес не меняется уже джвадцать лет:
http://indy-vx.narod.ru/log.txt

 

тут ничего нет

 

Как же так? И действительно! Потеряна илитарная информация. Придется продолжать читать бэхоцэ и коноплировать сплоет от заката и до рассвета включительно ,D

 

Когда крелка в очередной раз застыдили, он всё файло с ядиска снес и сказал хрен вам, а не мой визер.

 

f13nd, или просто искать самого себя с левых никнеймов перестало быть мейнстримом и теперь поцыенты ищут свои же сорцы (а вдруг кто-то за десятилетие таки проникся и сохронил log.txt, и всё-всё-всё)

 

а где клерк щас тусит ?