я кто? (who?)
Начинающий
-
Автор темы
- #21
Рукожоп это как? EntryPoint Виртуализация+Мутация и отладчик User Mode + Kernel Mode достаточно?
|
Защита лоадера
- Автор темы stfu!
- Дата начала
В идеале вообще сразу Kernl хукать
1. не оставлять PE-заголовков на клиенте ( а.к.а премать изображение на сервере )
2. скрывать аллоцированную память ( kernel )
3. ремапать изображение, после инжекта в процесс
4. обфускация функций
5. создание и сравнение хеша ( а.к.а защита от патчей )
6. брейкпоинты
7. thread hijacking
8. мосты между решенными импортами
9. brain ( есть еще куча всего, что я не написал )
2. скрывать аллоцированную память ( kernel )
3. ремапать изображение, после инжекта в процесс
4. обфускация функций
5. создание и сравнение хеша ( а.к.а защита от патчей )
6. брейкпоинты
7. thread hijacking
8. мосты между решенными импортами
9. brain ( есть еще куча всего, что я не написал )
нет, мутация не особо много решает ( просто при статик анализе ищешь сигнатуру аллокации / создания отдельного потока и хукаешь ее )
ага да, трассировать в дебаге тоже против ветра, наверное, нужно будет, если есть протектор? протекторы ничего особо не решают, более того, абсолютно не важно, кто протектил: криворукий уебан или уебанский пряморучка
Тиха, внебрачный сын соуфива с икфаковом1. не оставлять PE-заголовков на клиенте ( а.к.а премать изображение на сервере )
2. скрывать аллоцированную память ( kernel )
3. ремапать изображение, после инжекта в процесс
4. обфускация функций
5. создание и сравнение хеша ( а.к.а защита от патчей )
6. брейкпоинты
7. thread hijacking
8. мосты между решенными импортами
9. brain ( есть еще куча всего, что я не написал )
нет, мутация не особо много решает ( просто при статик анализе ищешь сигнатуру аллокации / создания отдельного потока и хукаешь ее )
Модератор форума
Модератор
На деле он сделает обфкскацию функций через протектор, на этом все.1. не оставлять PE-заголовков на клиенте ( а.к.а премать изображение на сервере )
2. скрывать аллоцированную память ( kernel )
3. ремапать изображение, после инжекта в процесс
4. обфускация функций
5. создание и сравнение хеша ( а.к.а защита от патчей )
6. брейкпоинты
7. thread hijacking
8. мосты между решенными импортами
9. brain ( есть еще куча всего, что я не написал )
нет, мутация не особо много решает ( просто при статик анализе ищешь сигнатуру аллокации / создания отдельного потока и хукаешь ее )
ага да, трассировать в дебаге тоже против ветра, наверное, нужно будет, если есть протектор? протекторы ничего особо не решают, более того, абсолютно не важно, кто протектил: криворукий уебан или уебанский пряморучка
То что ты расписал, он не реализует, загнули там на кернел...
Дай ты ему попроще советы ;)
Премиум
Интересно, что аффтар собрался ремапать и какие потоки перехватывать, если речь идёт о лоадере, а не длл
Мост между решенными импортами? Я бы на месте автора домашнее задание "решил", потом получил бы профессиональное образование строителя и начал бы строить "мосты". Как тебе брейкпоинты помогут, солнышко? Или лучшая защита — это нападение и ты будешь при детекте отладчика ставить бряк на маму в рандомном модуле? А аллокации ты как скрывать в кмоде собрался? Неужели знаменитейший SSDT хук на NtQueryVirtualMemory за который двоечка от пг прилетает?
Короче, камаз перехваченных потоков и кмод защиты аллокаций автору, мостовик ля
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
я хуй знает, как это назвать ( з.ы. кидаешь в иду любое приложение, накрытое протектором )
Премиум
А теперь перечитай, что в статье написано про бп, мостовик.
Техники представленные там предоставляются чуть ли ни каждым протектором, соответственно толка в их stand-alone реализации нету, дерматолог всё-таки лучше знает, как нужно.
Единственная техника подходящая под описание — это Vad unlinking, правда сделан он там не правильно от слова совсем, бб просто зануляет имя образа и делает регион PAGE_NO_ACCESS для NtQueryVirtualMemory. Изначально Дарт хотел юзать RtlAvlRemoveNode для правильного удаления, однако ему кидало бсод на завершении процесса, связано это с тем, что номеров фрейма страницы больше, чем должно быть(страницы нет, а PFN остался, чудеса). Он не стал вкладывать время в это вероятно потому что счёл неюзабельным в текущих реалиях, цель не оправдывает средства.
Это бесполезно, особенно для лоадера и особенно в этом контексте.
И кстати, выпиленный VAD античит может обнаружить даже с р3.
Сокрытие импортов у протекторов по разному реализовано, а причём тут мосты и решения я, честно сказать не ебу, но очень интересно.
Короче у афтара передоз от психотропных препаратов, иначе я не могу объяснить все эти мосты, кернель сокрытие памяти, бп как техника для антиотладки, перехват собственных потоков, и, конечно же, хуки на сигнатуры, которые можно найти невзирая на виртуализацию да и вообще хукнуть
