Пользователь
- Статус
- Оффлайн
- Регистрация
- 3 Май 2020
- Сообщения
- 405
- Реакции
- 48
На старом форуме v3rm (noad) была очень хорошая серия статей по анализу Byfron, чтобы понять, как он работает. Вот список некоторых вещей, которые он делает:
Использует множество других методов защиты от отладки и статического анализа, хотя я не знаю всех подробностей.
Некоторые из функций ntdll, которые он цепляет:
Надеюсь, эта информация поможет вам :)
(перевел сообщение отсюда:
- Обфусцирует и шифрует участки кода
- Устанавливает случайный код, который действует как "ловушки", вызывающие обнаружение при срабатывании
- Отслеживает вновь созданные дескрипторы процессов
- Мониторинг вновь созданных потоков процесса
- Мониторинг вновь созданных карт/областей памяти процесса
- Мониторинг запущенных процессов для обнаружения известных инструментов обратного инжиниринга, работающих в фоновом режиме (Cheat Engine, IDA, reclass и т.д.)
- Подключает функции ntdll
- Использует обратные вызовы инструментария и обработчики исключений для обнаружения/выполнения/"скрытия" кода.
Использует множество других методов защиты от отладки и статического анализа, хотя я не знаю всех подробностей.
Некоторые из функций ntdll, которые он цепляет:
- RtlExitUserProcess
- LdrInitializeThunk
- ZwAllocateVirtualMemory
- ZwFreeVirtualMemory
- ZwQueryVirtualMemory
- NtMapViewOfSection
- ZwUnmapViewOfSection
- NtTerminateProcess
- NtQuerySystemInformation
- NtContinue
- NtCreateSection
- ZwCreateThread
- NtProtectVirtualMemory
- NtResumeThread
- ZwTerminateThread
- ZwAllocateVirtualMemoryEx
- ZwContinueEx
- NtCreateSectionEx
- ZwCreateThreadEx
- NtMapViewOfSectionEx
- ZwRaiseException
- ZwRaiseHardError
- ZwSetContextThread
- NtSuspendThread
- NtUnmapViewOfSectionEx
- KiUserApcDispatcher
- KiUserCallbackDispatcher
- KiUserExceptionDispatcher
- KiRaiseUserExceptionDispatcher
Надеюсь, эта информация поможет вам :)
(перевел сообщение отсюда:
Пожалуйста, авторизуйтесь для просмотра ссылки.
(noad) , надеюсь в тот раздел кинул тему ызхызхыхз)