Определить ссылки на память в динамике

Тема в разделе "WASM.BEGINNERS", создана пользователем vx1d, 11 ноя 2019.

  1. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    да удалил. лучше потом пообщаюсь более предметно когда время появится посмотреть видео ваше нормально.
     
    Indy_ нравится это.
  2. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TermoSINteZ,

    Бинари к видео, может подебажить захотите. Сорян что нет сурков(ключевую обработку я могу показать), но это собрано было не как фильтр, а как мод дий, а он не паблик.
     

    Вложения:

    • senclave.7z
      Размер файла:
      464,6 КБ
      Просмотров:
      328
  3. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    Спасибо!
     
  4. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TermoSINteZ,

    Есть какой то результат ?
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    результат очевиден...
     
    galenkane нравится это.
  6. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    Indy_,
    пока только посмотрел видео. Интересно . Вижу что затираем секции а бинарник продолжает работать. Выглядит круто.
    Есть два вопроса
    1) А если не затирать, а просто всегда возвращать то, что было - типа секция не меняется вообще никак? Такой режим у вас есть? Мне кажется этот кейс более применимый. (например внедрились в софт, сделали подмену, защитили код от сверки памяти с содержимым на диске).
    2) А на более сложном софте пробовали? Например на хроме.
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TermoSINteZ,

    > А если не затирать, а просто всегда возвращать то, что было

    Выборки из этих областей нет, те обращений к ним. Адресация существует только при трансляции адресов(это свойство анклава - данные существуют только при наличии локальной выборки, удалённо для ядра(те для отладчика в данном случае) выборки нет и данных тоже). Не важно что там, это показано через останов на область(guard наверно в отладчике) - он не срабатывает. Так же показано что кода в памяти нет(поиск в памяти). На самом деле код криптован и расшифровывается в буфер по мере исполнения, на каждой инструкции.

    > А на более сложном софте пробовали?

    Конечно, последние из апп были игры, немного из иной темы https://wasm.in/threads/kak-grafy-stroit.33491/page-3#post-413348. Копирование инструкций не позволяет нормально работать столь тяжёлым апп из за тайминга.
    --- Сообщение объединено, 21 ноя 2019 ---
    > этот кейс более применимый.

    Целевое применение это облом сигнатурных сканеров памяти в самом принципе их работы, не внося изменений в код/данные :drinks:
     
    Последнее редактирование: 21 ноя 2019
  8. galenkane

    galenkane Active Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    302
    можно юзать как защиту по? интересно что будет в тандеме с вм под отладкой
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    galenkane,

    Думаю да, но есть разница между защитой от реверса и защиты от авера. Последний использует два способа - вирт машину и сканер памяти. Анклавы делают эти методы бессмысленными. Но это никак не связано за защитой от реверса.

    Следует понимать саму суть софт анклава. Данные существуют только при наличии выборки, проще говоря манипуляции с памятью проходят через контролирующий их фильтр, для иного режима(кернел или вирт машина) выборки нет. Полноценная реализация врядле возможна, я по этой задаче поднимал кучи тем. Была попытка реализовать общим способом, для этого данные отслеживались через ошибки ядра(#guard), данные смещались в странице для определения размера выборки. Очень хитроумное решение. Кое как даже работало, но при этом размера выбираемых структур не достаточно. Пришлось реализовать механизм наследования указателей, для этого нужно обработать каждую инструкцию. В конце концов это как то завелось даже для отладки, но это всё столь толстое и не стабильное, что я эту затею закинул. Проще отделить данные от кода на этапе сборки, разместить в разных секциях. Тогда эти сложности не нужны.
    --- Сообщение объединено, 8 дек 2019 ---
    В этой теме много инфы https://wasm.in/threads/avanguard-the-win32-anti-intrusion-library.33212/page-3#post-408927
    --- Сообщение объединено, 8 дек 2019 ---
    https://wasm.in/blogs/softvernye-anklavy.548/

    Вы ничего не читаете, я обьяснил по простому, так сказать на пальцах, как вообще можно проще обьяснить. Что термос, что рел что вы и остальные.. ёлки палки да почитайте для начала материал, там по пару страниц :punish:
     
    q2e74 нравится это.
  10. galenkane

    galenkane Active Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    302
    простите профессор. похоже эту лабу не сдать
     
  11. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    galenkane,

    Не так страшен чёрт, как его малюют (с) Great.
     
  12. galenkane

    galenkane Active Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    302
    просто вы оперируете сложными понятиями, хочется взять и юзать, но приходится на свой язык переводить
     
  13. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    galenkane,

    А как вы хотели, тема сложная. У меня года на это ушли. По быстрому ничего не получится.
     
    q2e74 и galenkane нравится это.
  14. galenkane

    galenkane Active Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    302
    уважение и поклон вашему уму.