Как скрыть сплайсинг от глаз rku ?

Не совсем понимаю как он определяет что та или иная функция хукана...
Объясните плиз, и за одно, какими трюками моно сделать вид что функция вовсе не хукнута?

 

Flasher
1. Считывается образ либы с диска
2. Находится ближайший рет
3. Находится приблизительный размер функции
4. Берется функция оригинальная, из памяти
5. Побайтно сравниваются загруженный и оригинальный образы
6. Если хоть один байт не совпадает - есть сплайс

Как обойти - думай сам -)

 

какже рилоки, какже побайтно? :О

 

LazzY
эмммм..........
А что, какие-то проблемы в пересчете релоков??


сравнение именно побайтно

 

Magnum
а как же помочь братьям меньшим? ))
линков хоть бы кинул =D

 

подсказка

=)))

 

Есть более продвинутые способы перехватить определенную функцию - перехват в секции данных сейчас не обнаруживается некем. Минус лишь один таких функций не много.

 

Magnum

+1

 

Magnum, я так понял скрыть без спомогательной проги некак ?
Т.е. надо словить во всей системе чтение того кармического либа, и подменять там данные?

 

У Всех при скане этого файла во вкладке Code Hook - rku падает?

 

Бггг. Аццкие методы обсуждаете, особенно \"подсказка\". Просто аццки жжоте по теме и не в тему. Сплайсенг мертв как и Эмсирем. Вы тут подсказочки дурацкие кидаите, а афторы за вами наблюдают Открою флашеру секрет обходенг детекта трешки заключается в модификации инструкций переходов и вызовов функций с использованием эшелонированного моста (ну это на любителя, можно сразу в тело троя) и выбирать ещё надо че менять и где. Кто ниче не понял из предыдущего предложения - ну я вам помочь уж3 не могу.

Гон. В параноид режиме тебе побайтово вывалят ЛЮБУЮ разницу в любой секции. В каком антирутките? Ну ищи подсказки.

ps.
im111 я не ктулху!! Вам видемо следует ознокомится с одной стотьей популярной

 

Любая модификация в секции кода легко обнаруживается.

Ну во-первых как по мне проверять секцию данных побайтово это как минимум глупо, и не имеет смысла.
Во вторых в секции данных имеются переменные, которые инициализируются на стадии загрузки модуля и определение их начального значения очень затруднительно. Но зато мы всегда сможешь модифицировать такую переменную.

Надеюсь в этот раз Malwara вы воздержитесь от просьбы предоставить вам пример перехвата в секции данных который выполняет свою полезную нагрузку и не виден никаким из существующих паблик антируткитов.

 

Malwara

[..], думай что пишешь.
Наблюдают.

[..], а по русски как ?
Вначале сам прочитай что следует, потом пости пост пустой гон.
~~~~~~~~~
Модификация кода не в пределах функции не обнаруживается рку.

 

Clerk, Malwara
Господа, подкорректируйте, пожалуйста, свой стиль общения и манеру разговора, который сейчас у вас ведётся на повышенных понтах и с применением малолетнего сленга. Представьте на минуту, что вы взрослые и местами даже интеллигентные люди. Понимаю, что это трудно, практически даже невозможно сделать, но надо же когда-то начинать.

 

Аквила - непобедимый оптимист

 

Aquila
Ты, как непобедимый оптимист, не желаешь ли испить пива размышляя об прекрасном да с Крисом, ибо у него всё воскресенье свободно?

Айм сириойёз )

 

blast

Обнаруживается да, но дело в том, что не все программы просто дают тебе сразу результат модификации. А модификация инструкции как раз и поставит такие программы раком, потому что изменения будут трассироваться с _середины_ инструкции как минимум.

Ещё как имеет. Побайтово проверяются все секции, в режиме параноида тебе вывалят любую разницу, а в \"умных\" режимах они будут заниматься отдельно каждым взятым изменением. Если ты такой умный, что все глупо - напиши свое и докажи преимущества своего подхода, иначе какой смысл флудить?

Ха. Правильно, ты же мне так и не сказал как осуществить неосуществимое в прошлые раз, поэтому как серьезного собеседника я тебя не воспринимаю, и приходиться все время разьяснять тебе азбуку.

Clerk
Я все написал и есть реальные примеры, которые делают что я говорю и которые обсуждаемая программа не видит. Сплайсенг в tcpip.sys например одного руткита, где модифицированы комманды call реальных функций. А применение нескольких мостов при хуках это уже такой боян, что я не собираюсь даже примеры приводить.

Аквила, дельное замечание кстати, да с удовольствием подкоректирую, ты же знаешь, это не является какой-то невероятной проблемой. Вот только говоря о малолетнем сленге и манере поведения посмотри лучше на контент своего форума, где малолетние господа \"хакеры\" вовсю торгуют малварами, крипторами под малвару и обсуждают психотропные препараты вкупе с использованием ботнетов. Ты же знаешь - нельзя жить на помойке и не быть бомжём

Помогать аВторам программ расписывая тут их баги я не собираюсь, в отличие от всех остальных тут отписавшихся по теме.

 

Знакомые все рожи

Насчет мостов и эмуляторов - это все та же гонка, ибо у эмулятора есть или timelimit или codelimit, сделал на 1 мост больше и усе. Насчет параноид режима - он обязательно нужен, мало ли что (правда смотреть лог гмерика охренеешь).

А Аквилла смотрю интеллегентничает. Выглядит забавно: интеллегент в очках окруженный гопотой и помойками... =)

 

Если вы все ещё о копировании токенов процесса System, то это уже даже не смешно я рассказал все как это сделать каким методом, и место того чтоб сесть и реализовать вы пишете \"неосуществимое\", наверное у вас просто не хватает знаний и вы ни как не можете это признать, а самое плохое это не признавать свои ошибки.
У Clerk'a есть пример.

Опять же если вы не видите приймущиства метода, который я описал то это ещё раз подтверждает то что я написал выше.

А почему бы и не помоч кому-то?

Вы слишком высокого о себе мнения, на самом деле уровень ваших знаний далеко не такой, каким вы его считаете, и многие это видят, так что чем раньше вы сбавите тон своих высказываний, тем лучше, иначе знающие люди вас просто не буду воспринимать в серьёз.

 

Эх.., так не кто и не сказал вышеуказанная прогулька заставляет падать rku или нет?
У меня лично падает с треском при проверке этого файла