Исходник Syscalls-cpp: гибкий фреймворк для прямого вызова syscall'ов с обходом хуков

[SapDragon]

Еще одна библиотека для сисколлов, но теперь моя. Имеет политику, и в компил-тайме можно выбрать как будут аллоцироваться, и генерироваться стабы, и легко добавить свои методы.

На данный момент поддерживается два метода выделения:
- на хипе
- через секцию с правами SEC_NO_CHANGE ( спасибо колби )
- через аллокацию виртуальной памяти (RWX -> RX )

Генерация стабов
- Классический полноценный
- Через исключения ( ud2 ) и VEH
- С поиском гаджета в ntdll, и прыжком туда же для выполнения
т.е выходит:

mov r10, rcx

mov eax, syscall_number

mov r11, ntdll_gadget

push r11

ret


ntdll_gadget:

syscall

ret

В итоге в стеке вызовов, мы фактически вызываем сисколл из под ntdll, но при этом обойдя хуки.


Думаю буду развивать, и еще что-то прикольное закину.

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[SapDragon]

добавил новый метод аллокации, избавился от GetModuleHandle при парсинге, улучшил поиск сисколлов при хукнутой функции

 

[SapDragon]

добавил хеллс + хало гейт методы ( с улучшенным детектом на хуки), добавил новый метод парсинга через exception директории, и избавился от GetProcAddress и GetModuleHandle на свою имплементацию

 

[HYDRAnz]

Наконец нормальный контент на форуме, спасибо за либку.
Будет ли поддержка x86? И можно отдельный файл на гите example, где будут показаны все варианты использования?

 

[SapDragon]

Наконец нормальный контент на форуме, спасибо за либку.
Будет ли поддержка x86?

не знаю еще, сделать х86 это фактически еще раз написать библиотеку, возможно позже

И можно отдельный файл на гите example, где будут показаны все варианты использования?

Да в целом, сделаю

 

[SapDragon]

перенёс всё на хэши, подготовил к no-crt, добавил новый стаб через исключения ( ud2 )

 

[mister_pi]

перенёс всё на хэши, подготовил к no-crt, добавил новый стаб через исключения ( ud2 )

будешь заливать на conan?

 

[red_rebel_future]

Thank you, this library is very good.

 

[SapDragon]

будешь заливать на conan?

добавил
conan pr:

Пожалуйста, авторизуйтесь для просмотра ссылки.

vcpkg pr:

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[SapDragon]

добавил поддержку х86

 

[HYDRAnz]

добавил поддержку х86

Ура, спасибо

 

[SapDragon]

теперь можно установить через vcpkg

 

[BebeRexha]

дракон как всегда молодец реально

 

[HYDRAnz]

 

[penumbra]

 

[SapDragon]

Скрытое содержимое

Привет, только дошли руки ответить, потому что RtlExitUserProcess это не сисколл, а обертка над ним, под капотом там вызывается ZwTerminateProcess, псевдо:

Скрытое содержимое

Спасибо, поправлю, насчёт парсинга с диска: решил не усложнять либу, поэтому и не добавлял, из-за архитектуры можно этот способ парсинга легко добавить самому, без модификации библиотеки
Пример с генератором шелла:

Пожалуйста, авторизуйтесь для просмотра ссылки.