Защита лоадера

я кто? (who?)
Начинающий
Статус
Оффлайн
Регистрация
10 Сен 2019
Сообщения
118
Реакции[?]
5
Поинты[?]
0
Забаненный
Статус
Оффлайн
Регистрация
9 Янв 2019
Сообщения
701
Реакции[?]
295
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
1. не оставлять PE-заголовков на клиенте ( а.к.а премать изображение на сервере )
2. скрывать аллоцированную память ( kernel )
3. ремапать изображение, после инжекта в процесс
4. обфускация функций
5. создание и сравнение хеша ( а.к.а защита от патчей )
6. брейкпоинты
7. thread hijacking
8. мосты между решенными импортами
9. brain ( есть еще куча всего, что я не написал )

В идеале вообще сразу Kernl хукать
:CoolStoryBob: :CoolStoryBob:

EntryPoint Виртуализация+Мутация и отладчик User Mode + Kernel Mode достаточно?
нет, мутация не особо много решает ( просто при статик анализе ищешь сигнатуру аллокации / создания отдельного потока и хукаешь ее )

Даже, если протектил рукожоп, впм нужно будет долго снимать
ага да, трассировать в дебаге тоже против ветра, наверное, нужно будет, если есть протектор? протекторы ничего особо не решают, более того, абсолютно не важно, кто протектил: криворукий уебан или уебанский пряморучка
 
Участник
Статус
Оффлайн
Регистрация
27 Дек 2018
Сообщения
1,428
Реакции[?]
376
Поинты[?]
0
1. не оставлять PE-заголовков на клиенте ( а.к.а премать изображение на сервере )
2. скрывать аллоцированную память ( kernel )
3. ремапать изображение, после инжекта в процесс
4. обфускация функций
5. создание и сравнение хеша ( а.к.а защита от патчей )
6. брейкпоинты
7. thread hijacking
8. мосты между решенными импортами
9. brain ( есть еще куча всего, что я не написал )


:CoolStoryBob: :CoolStoryBob:


нет, мутация не особо много решает ( просто при статик анализе ищешь сигнатуру аллокации / создания отдельного потока и хукаешь ее )
Тиха, внебрачный сын соуфива с икфаковом :roflanBuldiga: :roflanBuldiga:
 
Модератор форума
Модератор
Статус
Онлайн
Регистрация
2 Дек 2016
Сообщения
2,389
Реакции[?]
1,878
Поинты[?]
37K
1. не оставлять PE-заголовков на клиенте ( а.к.а премать изображение на сервере )
2. скрывать аллоцированную память ( kernel )
3. ремапать изображение, после инжекта в процесс
4. обфускация функций
5. создание и сравнение хеша ( а.к.а защита от патчей )
6. брейкпоинты
7. thread hijacking
8. мосты между решенными импортами
9. brain ( есть еще куча всего, что я не написал )


:CoolStoryBob: :CoolStoryBob:


нет, мутация не особо много решает ( просто при статик анализе ищешь сигнатуру аллокации / создания отдельного потока и хукаешь ее )


ага да, трассировать в дебаге тоже против ветра, наверное, нужно будет, если есть протектор? протекторы ничего особо не решают, более того, абсолютно не важно, кто протектил: криворукий уебан или уебанский пряморучка
На деле он сделает обфкскацию функций через протектор, на этом все.
То что ты расписал, он не реализует, загнули там на кернел...
Дай ты ему попроще советы ;)
 
Премиум
Статус
Оффлайн
Регистрация
25 Авг 2017
Сообщения
557
Реакции[?]
220
Поинты[?]
0
2. скрывать аллоцированную память ( kernel )
6. брейкпоинты
7. thread hijacking
8. мосты между решенными импортами
Интересно, что аффтар собрался ремапать и какие потоки перехватывать, если речь идёт о лоадере, а не длл

Мост между решенными импортами? Я бы на месте автора домашнее задание "решил", потом получил бы профессиональное образование строителя и начал бы строить "мосты". Как тебе брейкпоинты помогут, солнышко? Или лучшая защита — это нападение и ты будешь при детекте отладчика ставить бряк на маму в рандомном модуле? А аллокации ты как скрывать в кмоде собрался? Неужели знаменитейший SSDT хук на NtQueryVirtualMemory за который двоечка от пг прилетает?

Короче, камаз перехваченных потоков и кмод защиты аллокаций автору, мостовик ля
 
Забаненный
Статус
Оффлайн
Регистрация
9 Янв 2019
Сообщения
701
Реакции[?]
295
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Как тебе брейкпоинты помогут, солнышко
Пожалуйста, авторизуйтесь для просмотра ссылки.
А аллокации ты как скрывать в кмоде собрался?
Пожалуйста, авторизуйтесь для просмотра ссылки.
Мост между решенными импортами?
:orehus: :orehus: я хуй знает, как это назвать ( з.ы. кидаешь в иду любое приложение, накрытое протектором )
 
Премиум
Статус
Оффлайн
Регистрация
25 Авг 2017
Сообщения
557
Реакции[?]
220
Поинты[?]
0
Пожалуйста, авторизуйтесь для просмотра ссылки.
А теперь перечитай, что в статье написано про бп, мостовик.
Техники представленные там предоставляются чуть ли ни каждым протектором, соответственно толка в их stand-alone реализации нету, дерматолог всё-таки лучше знает, как нужно.

Пожалуйста, авторизуйтесь для просмотра ссылки.
Единственная техника подходящая под описание — это Vad unlinking, правда сделан он там не правильно от слова совсем, бб просто зануляет имя образа и делает регион PAGE_NO_ACCESS для NtQueryVirtualMemory. Изначально Дарт хотел юзать RtlAvlRemoveNode для правильного удаления, однако ему кидало бсод на завершении процесса, связано это с тем, что номеров фрейма страницы больше, чем должно быть(страницы нет, а PFN остался, чудеса). Он не стал вкладывать время в это вероятно потому что счёл неюзабельным в текущих реалиях, цель не оправдывает средства.

Это бесполезно, особенно для лоадера и особенно в этом контексте.
И кстати, выпиленный VAD античит может обнаружить даже с р3.

:orehus: :orehus: я хуй знает, как это назвать ( з.ы. кидаешь в иду любое приложение, накрытое протектором )
Сокрытие импортов у протекторов по разному реализовано, а причём тут мосты и решения я, честно сказать не ебу, но очень интересно.

Короче у афтара передоз от психотропных препаратов, иначе я не могу объяснить все эти мосты, кернель сокрытие памяти, бп как техника для антиотладки, перехват собственных потоков, и, конечно же, хуки на сигнатуры, которые можно найти невзирая на виртуализацию да и вообще хукнуть
 
Сверху Снизу