C++ VMP improved idea

Ahora_technology · 15 Май 2022

Всем привет!
Мне понравилась идея VMP в обнаружение неправильной логики хуков в TitanHide,поэтому написала данный мем.
Итог: получился небольшой мем.
Надеюсь, это кого-нибудь вдохновит....
Это затрагивает все anti-anti-debug плагины в интернете,которые я знаю ,поэтому :LUL:

.
Каждый раз,когда вы используете HyperHide/TitanHide,то вы должны понимать,что их могут относительно легко обнаружить.

Break ScyllaHide(не хватает места для фото с SharpOD):

Detect TitanHide:

Detect HyperHide:

Пожалуйста, авторизуйтесь для просмотра ссылки.

P.S сегодня др у моего мужа(colby57 ),поэтому поздравьте его,если не сложно(пожалуйста

).
Опубликовала код т.к нужно научиться нормально реверсить обфусцированный код, а то меня с этим большие проблемы xd.

djw666 · 15 Май 2022

Ahora57 написал(а):
Всем привет!
Мне понравилась идея VMP в обнаружение неправильной логики хуков в TitanHide,поэтому написала данный мем.
Итог: получился небольшой мем.
Надеюсь, это кого-нибудь вдохновит....
Это затрагивает все anti-anti-debug плагины в интернете,которые я знаю ,поэтому .
Каждый раз,когда вы используете HyperHide/TitanHide,то вы должны понимать,что их могут относительно легко обнаружить.

Break ScyllaHide(не хватает места для фото с SharpOD):
Посмотреть вложение 203710
Detect TitanHide:

Посмотреть вложение 203712

Detect HyperHide:

Посмотреть вложение 203713

Пожалуйста, авторизуйтесь для просмотра ссылки.

P.S сегодня др у моего мужа(colby57 ),поэтому поздравьте его,если не сложно(пожалуйста ).
Опубликовала код т.к нужно научиться нормально реверсить обфусцированный код, а то меня с этим большие проблемы xd.

so good

Ahora_technology · 14 Июл 2022

Код по фану обновлён.
Добавлена бага, благодаря которой можно вызывать BSOD у TitanHide из-за отсутствия проверки адреса UM
( ProcessDebugObjectHandle) + обход хуков UM плагинов,чтобы скрывать поток от дебаггера и прочий дринч!
Веселитесь!

KernelM · 14 Июл 2022

Ahora57 написал(а):
Всем привет!
Мне понравилась идея VMP в обнаружение неправильной логики хуков в TitanHide,поэтому написала данный мем.
Итог: получился небольшой мем.
Надеюсь, это кого-нибудь вдохновит....
Это затрагивает все anti-anti-debug плагины в интернете,которые я знаю ,поэтому .
Каждый раз,когда вы используете HyperHide/TitanHide,то вы должны понимать,что их могут относительно легко обнаружить.

Break ScyllaHide(не хватает места для фото с SharpOD):
Посмотреть вложение 203710
Detect TitanHide:

Посмотреть вложение 203712

Detect HyperHide:

Посмотреть вложение 203713

Пожалуйста, авторизуйтесь для просмотра ссылки.

P.S сегодня др у моего мужа(colby57 ),поэтому поздравьте его,если не сложно(пожалуйста ).
Опубликовала код т.к нужно научиться нормально реверсить обфусцированный код, а то меня с этим большие проблемы xd.

С днюхой колби

Ahora_technology · 29 Апр 2023

Неожиданное обновление т.к аккаунт был взломан и удалён ;)
+ Переделан код
+ Некоторые детекты улучшены
+ Добавлен новый способ HyperHide
+ Добавлена бага со страницей(я не проверял на других версиях Windows,кроме 10 ) т.к при чтении страницы с правами EXECUTE,где произойдёт исключение страница станет PAGE_EXECUTE в x64dbg(я проверил с NtReadVirtualMemory и страница изменяется при чтении(anti-read-memory???)