Исходник Sample Anti-debug

[Ahora_technology]

Привет,пастеры ? .
Мне немного надоело,что люди используют FindWindow для обнаружения дебаггеров и пытаются сделать харакири ,если запущены некоторые программы(хотя для меня это неприемлемо)
И специально для вас я решил выпустить это.
Данная разработка подойдет для тех кто слишком глуп или напротив слишком умен, чтобы что-то делать самому.
Особенности:
-не используется CRT в коде
-измененный способ anti-debug у VMP(syscall выполняется в ntdll,а не в главном модуле(.exe))
-x64 support only
-обнаружение HyperHide через SystemPoolTagInformation

Пожалуйста, авторизуйтесь для просмотра ссылки.

Софт под HyperHide :

Софт под ShyllaHide:

P.S Хэккэз — это такие пипл, которые ломают прогрэмз для компьютэз, тусуются на сэйшенах и дринькают бир и пpпочий дринч. :)))

 

[NOVERRRR]

Привет,пастеры ? .
Мне немного надоело,что люди используют FindWindow для обнаружения дебаггеров и пытаются сделать харакири ,если запущены некоторые программы(хотя для меня это неприемлемо)
И специально для вас я решил выпустить это.
Данная разработка подойдет для тех кто слишком глуп или напротив слишком умен, чтобы что-то делать самому.
Особенности:
-не используется CRT в коде
-измененный способ anti-debug у VMP(syscall выполняется в ntdll,а не в главном модуле(.exe))
-x64 support only
-обнаружение HyperHide через SystemPoolTagInformation

Пожалуйста, авторизуйтесь для просмотра ссылки.

Софт под HyperHide :

Посмотреть вложение 182402
Софт под ShyllaHide:
Посмотреть вложение 182403

P.S Хэккэз — это такие пипл, которые ломают прогрэмз для компьютэз, тусуются на сэйшенах и дринькают бир и пpпочий дринч. :)))

o бoже пастеры не будут испoльзoвать FindWindow

 

[Keaton]

o бoже пастеры не будут испoльзoвать FindWindow

Будут, этого не изменить

 

[elleqt]

напротив слишком умен

Не пастер, а слишком умный!

 

[testingsomestuff]

-не используется CRT в коде

Пожалуйста, авторизуйтесь для просмотра ссылки.

nu ladno, net tak net. кстати можно встроить crt в итоговый бинарник прям через vs o_o.

-x64 support only

wow64 eto pizdec.

обнаружение HyperHide через SystemPoolTagInformation

opensource -> change tag -> oh no, bypassed.

total - garbage.

 

[Ahora_technology]

Пожалуйста, авторизуйтесь для просмотра ссылки.

nu ladno, net tak net. кстати можно встроить crt в итоговый бинарник прям через vs o_o.


wow64 eto pizdec.

opensource -> change tag -> oh no, bypassed.

total - garbage.

Во-первых, любую вещь/трюк можно обойти.
Я даже не буду намекать,что обнаружение через SystemPoolTagInformation - мемный PoC.
Во-вторых, лично мне не нравится концепция wow64. Для меня важнее поддержка x64.
В-третьих, спасибо за ваше мнение и забавную критику. Shitpost -> win ?!Lmao.
В-четвёртых,это просто пример.

 

[testingsomestuff]

Во-первых, любую вещь/трюк можно обойти.

Если умеешь делать то не обойти, чтобы понять за что отвечает байт, надо раскодировать всю цепь его создания.

Я даже не буду намекать,что обнаружение через SystemPoolTagInformation - мемный PoC.

И ты это в любом случае выложил, reztop разлогинься. SystemPoolTagInformation хукнуть не составляет проблемы, особенно если тебе нужно спрятать себя имея буквально ring-1 в своём распоряжении.

Во-вторых, лично мне не нравится концепция wow64. Для меня важнее поддержка x64.

Причём тут концепция wow64? Ты голову включаешь когда-нибудь? Я клоню к тому что при помощи Heaven's gate это можно реализовать в две строки.

В-третьих, спасибо за ваше мнение и забавную критику. Shitpost -> win ?!Lmao.

Так ты даже не умеешь собирать приложение вместе с built-in crt, о чём можно говорить?

В-четвёртых,это просто пример.

> Привет,пастеры ? .
> И специально для вас я решил выпустить это.

Если делаешь пример то хотя-бы не делай его буквально из говна и палок.

shitpost tbh.

---
Хочешь анти-дебаг без всяких плясок? Проверяй какое приложение имеет хендл твоего потока.

 

[Ahora_technology]

Если умеешь делать то не обойти, чтобы понять за что отвечает байт, надо раскодировать всю цепь его создания.


И ты это в любом случае выложил, reztop разлогинься. SystemPoolTagInformation хукнуть не составляет проблемы, особенно если тебе нужно спрятать себя имея буквально ring-1 в своём распоряжении.


Причём тут концепция wow64? Ты голову включаешь когда-нибудь? Я клоню к тому что при помощи Heaven's gate это можно реализовать в две строки.


Так ты даже не умеешь собирать приложение вместе с built-in crt, о чём можно говорить?


> Привет,пастеры ? .
> И специально для вас я решил выпустить это.

Если делаешь пример то хотя-бы не делай его буквально из говна и палок.

shitpost tbh.

---
Хочешь анти-дебаг без всяких плясок? Проверяй какое приложение имеет хендл твоего потока.

Предлагаю вам не использовать твинк,чтобы писать с твинка мемы.
Я отвечу в последний раз,поскольку вы тратите моё время на бесполезный разговор.

-Если умеешь делать то не обойти, чтобы понять за что отвечает байт, надо раскодировать всю цепь его создания.
Я сказал факт и вы пытаетесь доказать свою точку зрения,чтобы win?!
Большинство реверсеров просто попадают в цент защитного механизма и им будет как-то пофиг на это.
Так же большинство winapi уходят в syscall(а программа будет их использовать)
и тут есть много приколов(начиная от простого Instrumentation callback,заканчивая просто гипервизором для хука syscall).


-И ты это в любом случае выложил, reztop разлогинься. SystemPoolTagInformation хукнуть не составляет проблемы, особенно если тебе нужно спрятать себя имея буквально ring-1 в своём распоряжении.
Ну, давай бухтеть теперь про хуки. Этот мемный PoC обходится за 10 секунд.Делать пул с рандомным тэгом или просто юзать ExAllocatePoolWithQuota.
Более логичнее обнаружить гипервизор через временную атаку,а не использовать мемный PoC с SystemPoolTagInformation.
Это просто пример,успокойся.
Более логичнее использовать драйвер для обнаружния дебаггера(установить вручную HideFromDebugger в ETHREAD или проверять DebugPort в EPROCESS).


-Так ты даже не умеешь собирать приложение вместе с built-in crt, о чём можно говорить?
Да,я точно не знаю способ включить CRT в Visual Studio,хотя мне нужно сначала выключить CRT в компиляторе (если не драйвер,а про .lib не знаю).
Так же я не понимаю минусы в отказе СRT(нужно юзать самопис CRT и нет SEH(если только не писать реализацию)).


-Хочешь анти-дебаг без всяких плясок? Проверяй какое приложение имеет хендл твоего потока.
Если ты взял данный трюк у античита VAC,то просто удачи и не еби мне мозги).

 

[testingsomestuff]

просто гипервизором для хука syscall

Intel ept крутой.

Более логичнее обнаружить гипервизор через временную атаку,а не использовать мемный PoC с SystemPoolTagInformation.
Это просто пример,успокойся.

Что за шизу ты вообще несёшь? Ты себя то слышишь? Какую ещё атаку на гипервизор?

Если ты про это:

Пожалуйста, авторизуйтесь для просмотра ссылки.

.
То каким образом ты узнаешь это нужный гипервизор или просто виртуализация o_0

Более логичнее использовать драйвер для обнаружния дебаггера(установить вручную HideFromDebugger в ETHREAD или проверять DebugPort в EPROCESS).

А в чём проблема создать child-parent process и дебажить его? Никаких плясок с кернелом, лол. (Держи живой пример:

Пожалуйста, авторизуйтесь для просмотра ссылки.

)

Да,я точно не знаю способ включить CRT в Visual Studio,хотя мне нужно сначала выключить CRT в компиляторе (если не драйвер,а про .lib не знаю).
Так же я не понимаю минусы в отказе СRT(нужно юзать самопис CRT и нет SEH(если только не писать реализацию)).

О чём ты вообще говоришь? Причём тут SEH? Это обычный обработчик исключений, его отключить можно в тех же настройках твоего проекта. (Загугли VEH, можно ахуеть от жизни)

>Включить CRT в Visual Studio.
>Выключить CRT в компиляторе.

Ты когда используешь слова хоть понимаешь их значения?
У меня складывается ощущение что я могу глумиться над человеком с реальным расстройством. (Если это так - приношу свои извинения)

Ставишь этот параметр в Runtime Library и у тебя built-in crt на выходе, в чём проблема?

Если ты взял данный трюк у античита VAC,то просто удачи и не еби мне мозги).

Он не хэндлит потоки........................... (

Пожалуйста, авторизуйтесь для просмотра ссылки.

)

Я отвечу в последний раз,поскольку вы тратите моё время на бесполезный разговор.

Прости братанчик, просто ты щитпостишь, пытаюсь уберечь форум.