Вопрос [РЕШЕНО]Подскажите как детектить инжект через mmap

[amogus-gggy]

Делаю протектор для питона, но один из дебаггеров(de4py в stealth режиме) подгружает dll через mmap, вообще хз как детектить. Помогите пж.

P.S. оказывается инжектор юзал CreateRemoteThread, который создает нативный поток, который через winapi очень легко идентифицируется.

 

[Trich1337]

скань всю память на подозрительные rwx регионы

 

[amogus-gggy]

скань всю память на подозрительные rwx регионы

А есть способ который не будет требовать нативки?

 

[Trich1337]

А есть способ который не будет требовать нативки?

Смотря что делает мапнутый модуль, но без натива смысла делать защиту нету.

 

[amogus-gggy]

Смотря что делает мапнутый модуль, но без натива смысла делать защиту нету.

Без натива легко делается защита, просто надо чуть больше гемороя.

dll который инжектится там позволяет вертеть процессом питона как угодно(код исполнять, дампить функции, и т.д.)

 

[Trich1337]

Без натива легко делается защита, просто надо чуть больше гемороя.

dll который инжектится там позволяет вертеть процессом питона как угодно(код исполнять, дампить функции, и т.д.)

Чуть больше гемороя? Что ты называешь нативом? Если для тебя вызвать VirtualQuery это натив, то все что можно сделать, это гетто решение, хардкод и просто мусор.

 

[amogus-gggy]

Чуть больше гемороя? Что ты называешь нативом? Если для тебя вызвать VirtualQuery это натив, то все что можно сделать, это гетто решение, хардкод и просто мусор.

Под нативом я имел ввиду отдельный модуль на c/cpp. Я не знаю как вызвать virtualquery из ctypes просто. И что с ним дальше делать, по той причине что на c/cpp как раз не писал никогда. Из языков разве что kotlin и python знаю.

 

[Trich1337]

Под нативом я имел ввиду отдельный модуль на c/cpp. Я не знаю как вызвать virtualquery из ctypes просто. И что с ним дальше делать, по той причине что на c/cpp как раз не писал никогда. Из языков разве что kotlin и python знаю.

Честно, я не знаю, можно ли действительно написать защиту питона на питоне, но очень в этом сомневаюсь. Даже если и писать, то нужно юзать ffi к си и винапи

 

[Iaiw]

Под нативом я имел ввиду отдельный модуль на c/cpp. Я не знаю как вызвать virtualquery из ctypes просто. И что с ним дальше делать, по той причине что на c/cpp как раз не писал никогда. Из языков разве что kotlin и python знаю.

Ты относишься себя к Котлинистам, мы относим тебя обратно. Не упомянул грааль совершенства

 

[amogus-gggy]

Честно, я не знаю, можно ли действительно написать защиту питона на питоне, но очень в этом сомневаюсь. Даже если и писать, то нужно юзать ffi к си и винапи

Ну смотри, единственное что нам нужно будет реально это winapi. Потому что для питона реверс по сложнее будет, потому что если разбирать собранные .pyd файлы(грубо говоря особый формат бинарников C для питона, получаемые с помощью отличной утилиты cython) то мы получим бесполезные вызовы pyobject, из которых что то сдампить весьма сложно из за различий очень больших между версиями python(даже минорными). Далее нам надо поставить антидебаг и прочее что бы нельзя было дебаггерами для python подключится, и гонять проверки в фоновом потоке. Опционально еще можно anti vm, шифрование и кастомный формат бинарника/байткода для того что бы ломать декомпиляторы.

В основном больше ничего не требуется, хотя я еще в своем обфускаторе пилю фрагментацию кода(разбитие кода на минимально собираемые фрагменты)


Конечно, если сильно захочется можно все еще это реверсить, но как правило это будет геморрой из-за отсутствия нормальных инструментариев для реверса именно python.

 

[yyk_998]

чекай память игры есть ли что-то подозрительное