C++ VMP improved idea

[Ahora_technology]

Всем привет!
Мне понравилась идея VMP в обнаружение неправильной логики хуков в TitanHide,поэтому написала данный мем.
Итог: получился небольшой мем.
Надеюсь, это кого-нибудь вдохновит....
Это затрагивает все anti-anti-debug плагины в интернете,которые я знаю ,поэтому .
Каждый раз,когда вы используете HyperHide/TitanHide,то вы должны понимать,что их могут относительно легко обнаружить.

Break ScyllaHide(не хватает места для фото с SharpOD):

Detect TitanHide:

Detect HyperHide:

Пожалуйста, авторизуйтесь для просмотра ссылки.

P.S сегодня др у моего мужа(@colby57 ),поэтому поздравьте его,если не сложно(пожалуйста ?).
Опубликовала код т.к нужно научиться нормально реверсить обфусцированный код, а то меня с этим большие проблемы xd.

 

[djw666]

Всем привет!
Мне понравилась идея VMP в обнаружение неправильной логики хуков в TitanHide,поэтому написала данный мем.
Итог: получился небольшой мем.
Надеюсь, это кого-нибудь вдохновит....
Это затрагивает все anti-anti-debug плагины в интернете,которые я знаю ,поэтому .
Каждый раз,когда вы используете HyperHide/TitanHide,то вы должны понимать,что их могут относительно легко обнаружить.

Break ScyllaHide(не хватает места для фото с SharpOD):
Посмотреть вложение 203710
Detect TitanHide:

Посмотреть вложение 203712

Detect HyperHide:

Посмотреть вложение 203713

Пожалуйста, авторизуйтесь для просмотра ссылки.

P.S сегодня др у моего мужа(@colby57 ),поэтому поздравьте его,если не сложно(пожалуйста ?).
Опубликовала код т.к нужно научиться нормально реверсить обфусцированный код, а то меня с этим большие проблемы xd.

so good

 

[Ahora_technology]

Код по фану обновлён.
Добавлена бага, благодаря которой можно вызывать BSOD у TitanHide из-за отсутствия проверки адреса UM
( ProcessDebugObjectHandle) + обход хуков UM плагинов,чтобы скрывать поток от дебаггера и прочий дринч!
Веселитесь!

 

[KernelM]

Всем привет!
Мне понравилась идея VMP в обнаружение неправильной логики хуков в TitanHide,поэтому написала данный мем.
Итог: получился небольшой мем.
Надеюсь, это кого-нибудь вдохновит....
Это затрагивает все anti-anti-debug плагины в интернете,которые я знаю ,поэтому .
Каждый раз,когда вы используете HyperHide/TitanHide,то вы должны понимать,что их могут относительно легко обнаружить.

Break ScyllaHide(не хватает места для фото с SharpOD):
Посмотреть вложение 203710
Detect TitanHide:

Посмотреть вложение 203712

Detect HyperHide:

Посмотреть вложение 203713

Пожалуйста, авторизуйтесь для просмотра ссылки.

P.S сегодня др у моего мужа(@colby57 ),поэтому поздравьте его,если не сложно(пожалуйста ?).
Опубликовала код т.к нужно научиться нормально реверсить обфусцированный код, а то меня с этим большие проблемы xd.

С днюхой колби

 

[Ahora_technology]

Неожиданное обновление т.к аккаунт был взломан и удалён ;)
+ Переделан код
+ Некоторые детекты улучшены
+ Добавлен новый способ HyperHide
+ Добавлена бага со страницей(я не проверял на других версиях Windows,кроме 10 ) т.к при чтении страницы с правами EXECUTE,где произойдёт исключение страница станет PAGE_EXECUTE в x64dbg(я проверил с NtReadVirtualMemory и страница изменяется при чтении(anti-read-memory???)