Анализ Byfron

Synapse Softworks
Пользователь
Статус
Оффлайн
Регистрация
3 Май 2020
Сообщения
334
Реакции[?]
33
Поинты[?]
2K
На старом форуме v3rm (noad) была очень хорошая серия статей по анализу Byfron, чтобы понять, как он работает. Вот список некоторых вещей, которые он делает:

  • Обфусцирует и шифрует участки кода
  • Устанавливает случайный код, который действует как "ловушки", вызывающие обнаружение при срабатывании
  • Отслеживает вновь созданные дескрипторы процессов
  • Мониторинг вновь созданных потоков процесса
  • Мониторинг вновь созданных карт/областей памяти процесса
  • Мониторинг запущенных процессов для обнаружения известных инструментов обратного инжиниринга, работающих в фоновом режиме (Cheat Engine, IDA, reclass и т.д.)
  • Подключает функции ntdll
  • Использует обратные вызовы инструментария и обработчики исключений для обнаружения/выполнения/"скрытия" кода.

Использует множество других методов защиты от отладки и статического анализа, хотя я не знаю всех подробностей.

Некоторые из функций ntdll, которые он цепляет:
  • RtlExitUserProcess
  • LdrInitializeThunk
  • ZwAllocateVirtualMemory
  • ZwFreeVirtualMemory
  • ZwQueryVirtualMemory
  • NtMapViewOfSection
  • ZwUnmapViewOfSection
  • NtTerminateProcess
  • NtQuerySystemInformation
  • NtContinue
  • NtCreateSection
  • ZwCreateThread
  • NtProtectVirtualMemory
  • NtResumeThread
  • ZwTerminateThread
  • ZwAllocateVirtualMemoryEx
  • ZwContinueEx
  • NtCreateSectionEx
  • ZwCreateThreadEx
  • NtMapViewOfSectionEx
  • ZwRaiseException
  • ZwRaiseHardError
  • ZwSetContextThread
  • NtSuspendThread
  • NtUnmapViewOfSectionEx
  • KiUserApcDispatcher
  • KiUserCallbackDispatcher
  • KiUserExceptionDispatcher
  • KiRaiseUserExceptionDispatcher

Надеюсь, эта информация поможет вам :)

(перевел сообщение отсюда:
Пожалуйста, авторизуйтесь для просмотра ссылки.
(noad) , надеюсь в тот раздел кинул тему ызхызхыхз)
 
Сверху Снизу