C++ Исходник Aimware Tricks from Loader

[colby57]

Всем новогодний шалом из 2022.

Это мой первый релиз в этом разделе, поэтому надеюсь меня не будут ругать великие эксперты за стайл-код. Если вы читали мою последнюю статью с разбором лоадера AIMWARE.net, то наверняка должны знать как сильно там запарились с системными вызовами и анти-дебагом. В свою очередь я решил реализовать два вызова в простой консольке, которые мешали мне во время отладки аимвара, а именно: NtQueryInformationProcess и NtSetInformationThread. Вначале я хотел пойти упереться в sysenter, т.е. код был бы такой:

push 0x0
push 0x0
push 0x11
push 0xFFFFFFFE

call $+5

mov eax, 0xD

mov edx, esp
sysenter
ret

Но прикол та в том, что я сижу на х64 системе, и только сегодня я узнал, что инструкция sysenter в х64 среде абсолютно не поддерживается. Поэтому пришлось драться с Wow64Transition. В своей реализации я копировал байты Wow64Transition в выделенную память и уже там делал системные вызовы. Вам же нужно быть осторожным с тем, чтобы не забрать вместе с собой хук ScyllaHide, это будет зависеть от того, в какой момент вы вызываете его. ( А может и нет )

В дальнейшем я возможно буду дополнять репозиторий ( А может и нет =) )

Ссылка на антидебаг трюки аимвара:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Демонстрация работы системных вызовов:

Всем удачных выходных! Пока!

 

[maj0r]

Всем новогодний шалом из 2022.

Это мой первый релиз в этом разделе, поэтому надеюсь меня не будут ругать великие эксперты за стайл-код. Если вы читали мою последнюю статью с разбором лоадера AIMWARE.net, то наверняка должны знать как сильно там запарились с системными вызовами и анти-дебагом. В свою очередь я решил реализовать два вызова в простой консольке, которые мешали мне во время отладки аимвара, а именно: NtQueryInformationProcess и NtSetInformationThread. Вначале я хотел пойти упереться в sysenter, т.е. код был бы такой:

push 0x0
push 0x0
push 0x11
push 0xFFFFFFFE

call $+5

mov eax, 0xD

mov edx, esp
sysenter
ret

Но прикол та в том, что я сижу на х64 системе, и только сегодня я узнал, что инструкция sysenter в х64 среде абсолютно не поддерживается. Поэтому пришлось драться с Wow64Transition. В своей реализации я копировал байты Wow64Transition в выделенную память и уже там делал системные вызовы. Вам же нужно быть осторожным с тем, чтобы не забрать вместе с собой хук ScyllaHide, это будет зависеть от того, в какой момент вы вызываете его. ( А может и нет )

В дальнейшем я возможно буду дополнять репозиторий ( А может и нет =) )

Ссылка на антидебаг трюки аимвара:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Демонстрация работы системных вызовов:

Всем удачных выходных! Пока!

А теперь нам нужно защиту неверсуза.
А по теме : Спасибо за то что теперь людям ничего кроме пасты не надо делать

 

[qualitestaholic]

лучший лучший колби молодец лучший релиз от лучшего ты легенда колби!когда кряк аимвара?

 

[csxMpak]

colby57 is strong man!

 

[m3m3catcher]

Теперь и в пастах это появится

 

[colby57]

Теперь и в пастах это появится

у нее большой недостаток, я уже объяснил почему ) шарпод и сциллахайд её могут обойти без особого напряга ( шарпод хукает не wow64transition, а что-то другое, возможно внутри wow64cpu перехватывает ), но надо было для галочки написать их, для своей команды уже системные вызовы х64 для х32 написал, которые шарпод и сцилла уже не осилят

 

[MrPraviy]

ура на югейме еще одна полезная тема по реверсу!!!

 

[s4mple]

Но прикол та в том, что я сижу на х64 системе, и только сегодня я узнал, что инструкция sysenter в х64 среде абсолютно не поддерживается.

А с помощью KiFastSystemCall можно системный вызов сделать на x64 системах или тоже работать не будет?

 

[colby57]

А с помощью KiFastSystemCall можно системный вызов сделать на x64 системах или тоже работать не будет?

KiFastSystemCall это тот же самый sysenter, исключение программы в х64 системе всё равно будет вызываться