Исходник Sample Anti-debug

✊Rot Front✊
Пользователь
Статус
Оффлайн
Регистрация
2 Июл 2020
Сообщения
132
Реакции[?]
257
Поинты[?]
85K
Привет,пастеры ? .
Мне немного надоело,что люди используют FindWindow для обнаружения дебаггеров и пытаются сделать харакири ,если запущены некоторые программы(хотя для меня это неприемлемо)
И специально для вас я решил выпустить это.
Данная разработка подойдет для тех кто слишком глуп или напротив слишком умен, чтобы что-то делать самому.
Особенности:
-не используется CRT в коде
-измененный способ anti-debug у VMP(syscall выполняется в ntdll,а не в главном модуле(.exe))
-x64 support only
-обнаружение HyperHide через SystemPoolTagInformation :LUL:
Пожалуйста, авторизуйтесь для просмотра ссылки.

Софт под HyperHide :

HyperHide.png
Софт под ShyllaHide:
ShyllaHide.png

P.S Хэккэз — это такие пипл, которые ломают прогрэмз для компьютэз, тусуются на сэйшенах и дринькают бир и пpпочий дринч. :)))
 
Забаненный
Статус
Оффлайн
Регистрация
6 Дек 2019
Сообщения
643
Реакции[?]
322
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Привет,пастеры ? .
Мне немного надоело,что люди используют FindWindow для обнаружения дебаггеров и пытаются сделать харакири ,если запущены некоторые программы(хотя для меня это неприемлемо)
И специально для вас я решил выпустить это.
Данная разработка подойдет для тех кто слишком глуп или напротив слишком умен, чтобы что-то делать самому.
Особенности:
-не используется CRT в коде
-измененный способ anti-debug у VMP(syscall выполняется в ntdll,а не в главном модуле(.exe))
-x64 support only
-обнаружение HyperHide через SystemPoolTagInformation :LUL:
Пожалуйста, авторизуйтесь для просмотра ссылки.

Софт под HyperHide :

Посмотреть вложение 182402
Софт под ShyllaHide:
Посмотреть вложение 182403

P.S Хэккэз — это такие пипл, которые ломают прогрэмз для компьютэз, тусуются на сэйшенах и дринькают бир и пpпочий дринч. :)))
o бoже пастеры не будут испoльзoвать FindWindow
 
Забаненный
Статус
Оффлайн
Регистрация
22 Апр 2020
Сообщения
731
Реакции[?]
752
Поинты[?]
1K
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Забаненный
Статус
Оффлайн
Регистрация
26 Окт 2021
Сообщения
7
Реакции[?]
6
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
-не используется CRT в коде
Пожалуйста, авторизуйтесь для просмотра ссылки.

nu ladno, net tak net. кстати можно встроить crt в итоговый бинарник прям через vs o_o.

wow64 eto pizdec.
обнаружение HyperHide через SystemPoolTagInformation
opensource -> change tag -> oh no, bypassed.

total - garbage.
 
✊Rot Front✊
Пользователь
Статус
Оффлайн
Регистрация
2 Июл 2020
Сообщения
132
Реакции[?]
257
Поинты[?]
85K
Пожалуйста, авторизуйтесь для просмотра ссылки.

nu ladno, net tak net. кстати можно встроить crt в итоговый бинарник прям через vs o_o.


wow64 eto pizdec.

opensource -> change tag -> oh no, bypassed.

total - garbage.
Во-первых, любую вещь/трюк можно обойти.
Я даже не буду намекать,что обнаружение через SystemPoolTagInformation - мемный PoC.
Во-вторых, лично мне не нравится концепция wow64. Для меня важнее поддержка x64.
В-третьих, спасибо за ваше мнение и забавную критику. Shitpost -> win ?!Lmao.
В-четвёртых,это просто пример.
 
Забаненный
Статус
Оффлайн
Регистрация
26 Окт 2021
Сообщения
7
Реакции[?]
6
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Во-первых, любую вещь/трюк можно обойти.
Если умеешь делать то не обойти, чтобы понять за что отвечает байт, надо раскодировать всю цепь его создания.

Я даже не буду намекать,что обнаружение через SystemPoolTagInformation - мемный PoC.
И ты это в любом случае выложил, reztop разлогинься. SystemPoolTagInformation хукнуть не составляет проблемы, особенно если тебе нужно спрятать себя имея буквально ring-1 в своём распоряжении.

Во-вторых, лично мне не нравится концепция wow64. Для меня важнее поддержка x64.
Причём тут концепция wow64? Ты голову включаешь когда-нибудь? Я клоню к тому что при помощи Heaven's gate это можно реализовать в две строки.

В-третьих, спасибо за ваше мнение и забавную критику. Shitpost -> win ?!Lmao.
Так ты даже не умеешь собирать приложение вместе с built-in crt, о чём можно говорить?

В-четвёртых,это просто пример.
> Привет,пастеры ? .
> И специально для вас я решил выпустить это.

Если делаешь пример то хотя-бы не делай его буквально из говна и палок.

shitpost tbh.

---
Хочешь анти-дебаг без всяких плясок? Проверяй какое приложение имеет хендл твоего потока.
 
✊Rot Front✊
Пользователь
Статус
Оффлайн
Регистрация
2 Июл 2020
Сообщения
132
Реакции[?]
257
Поинты[?]
85K
Если умеешь делать то не обойти, чтобы понять за что отвечает байт, надо раскодировать всю цепь его создания.


И ты это в любом случае выложил, reztop разлогинься. SystemPoolTagInformation хукнуть не составляет проблемы, особенно если тебе нужно спрятать себя имея буквально ring-1 в своём распоряжении.


Причём тут концепция wow64? Ты голову включаешь когда-нибудь? Я клоню к тому что при помощи Heaven's gate это можно реализовать в две строки.


Так ты даже не умеешь собирать приложение вместе с built-in crt, о чём можно говорить?


> Привет,пастеры ? .
> И специально для вас я решил выпустить это.

Если делаешь пример то хотя-бы не делай его буквально из говна и палок.

shitpost tbh.

---
Хочешь анти-дебаг без всяких плясок? Проверяй какое приложение имеет хендл твоего потока.
Предлагаю вам не использовать твинк,чтобы писать с твинка мемы.
Я отвечу в последний раз,поскольку вы тратите моё время на бесполезный разговор.

-Если умеешь делать то не обойти, чтобы понять за что отвечает байт, надо раскодировать всю цепь его создания.
Я сказал факт и вы пытаетесь доказать свою точку зрения,чтобы win?!
Большинство реверсеров просто попадают в цент защитного механизма и им будет как-то пофиг на это.
Так же большинство winapi уходят в syscall(а программа будет их использовать)
и тут есть много приколов(начиная от простого Instrumentation callback,заканчивая просто гипервизором для хука syscall).


-И ты это в любом случае выложил, reztop разлогинься. SystemPoolTagInformation хукнуть не составляет проблемы, особенно если тебе нужно спрятать себя имея буквально ring-1 в своём распоряжении.
Ну, давай бухтеть теперь про хуки. Этот мемный PoC обходится за 10 секунд.Делать пул с рандомным тэгом или просто юзать ExAllocatePoolWithQuota.
Более логичнее обнаружить гипервизор через временную атаку,а не использовать мемный PoC с SystemPoolTagInformation.
Это просто пример,успокойся.
Более логичнее использовать драйвер для обнаружния дебаггера(установить вручную HideFromDebugger в ETHREAD или проверять DebugPort в EPROCESS).


-Так ты даже не умеешь собирать приложение вместе с built-in crt, о чём можно говорить?
Да,я точно не знаю способ включить CRT в Visual Studio,хотя мне нужно сначала выключить CRT в компиляторе (если не драйвер,а про .lib не знаю).
Так же я не понимаю минусы в отказе СRT(нужно юзать самопис CRT и нет SEH(если только не писать реализацию)).


-Хочешь анти-дебаг без всяких плясок? Проверяй какое приложение имеет хендл твоего потока.
Если ты взял данный трюк у античита VAC,то просто удачи и не еби мне мозги).
 
Забаненный
Статус
Оффлайн
Регистрация
26 Окт 2021
Сообщения
7
Реакции[?]
6
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
просто гипервизором для хука syscall
Intel ept крутой.
Более логичнее обнаружить гипервизор через временную атаку,а не использовать мемный PoC с SystemPoolTagInformation.
Это просто пример,успокойся.
Что за шизу ты вообще несёшь? Ты себя то слышишь? Какую ещё атаку на гипервизор?

Если ты про это:
Пожалуйста, авторизуйтесь для просмотра ссылки.
.
То каким образом ты узнаешь это нужный гипервизор или просто виртуализация o_0

Более логичнее использовать драйвер для обнаружния дебаггера(установить вручную HideFromDebugger в ETHREAD или проверять DebugPort в EPROCESS).
А в чём проблема создать child-parent process и дебажить его? Никаких плясок с кернелом, лол. (Держи живой пример:
Пожалуйста, авторизуйтесь для просмотра ссылки.
)

Да,я точно не знаю способ включить CRT в Visual Studio,хотя мне нужно сначала выключить CRT в компиляторе (если не драйвер,а про .lib не знаю).
Так же я не понимаю минусы в отказе СRT(нужно юзать самопис CRT и нет SEH(если только не писать реализацию)).
О чём ты вообще говоришь? Причём тут SEH? Это обычный обработчик исключений, его отключить можно в тех же настройках твоего проекта. (Загугли VEH, можно ахуеть от жизни)

>Включить CRT в Visual Studio.
>Выключить CRT в компиляторе.

Ты когда используешь слова хоть понимаешь их значения?
У меня складывается ощущение что я могу глумиться над человеком с реальным расстройством. (Если это так - приношу свои извинения)

Ставишь этот параметр в Runtime Library и у тебя built-in crt на выходе, в чём проблема?
1638928923461.png


Если ты взял данный трюк у античита VAC,то просто удачи и не еби мне мозги).
Он не хэндлит потоки........................... (
Пожалуйста, авторизуйтесь для просмотра ссылки.
)


Я отвечу в последний раз,поскольку вы тратите моё время на бесполезный разговор.
Прости братанчик, просто ты щитпостишь, пытаюсь уберечь форум.
 
Сверху Снизу