Вопрос Вопрос по механики скрытие вызов winapi.

onetap_top · Понедельник в 05:21

Охаё всем жителям юг. Я занимаюсь своим проектом с сфере античита и мне очень интересна это тема nya :3.
Так вот, я создал свой мини либку в которых используется механика с хешированием импортов и скрытие в iat таблице(принцип shadowcall), но я так же хочу реализовать возможность скрывать вызовы от дебагеров(runtime), чтобы в callback таблице не показывался конкретная функция и было сложно отследить. Жду ваших советов мои друзья!

Adofyn · Понедельник в 18:33

сисколлы, инлайн функции которую вызываешь

metafaze · Понедельник в 18:42

вмп продолжительное время сиськиколлит прямо в своих секциях

1. недетерминированно(одни и те же сисколлы могут вызываться разными инструкциями(в плане code path разный))
2. хеширует свои сиськиколлы и не дает повесить на них меморибряки, dr не хватит на полный коверейдж

спасает тока hyperdbg

otherwise хуй ты поймешь че он там хуевертит (трассировать он себя тоже не даст, и ты не давай)

вот тебе вариант на лям, брат
але блять это нейронка топикстартер я опозорился

kumala4 · Понедельник в 19:31

metafaze написал(а):
2. хеширует свои сиськиколлы и не дает повесить на них меморибряки, dr не хватит на полный коверейдж

Почему не даёт повесить мемори бряки, я ставил и никаких проблем, разве что проверки были на PAGE_GUARD, но они минуются обычной подменой значения

onetap_top · Понедельник в 20:13

Adofyn написал(а):
сисколлы, инлайн функции которую вызываешь

Сисколы понятное дело, но проблема в том что не все функции можно сисколлить(как я знаю), поэтому и интересуюсь.

metafaze написал(а):
вмп продолжительное время сиськиколлит прямо в своих секциях

1. недетерминированно(одни и те же сисколлы могут вызываться разными инструкциями(в плане code path разный))
2. хеширует свои сиськиколлы и не дает повесить на них меморибряки, dr не хватит на полный коверейдж

спасает тока hyperdbg

otherwise хуй ты поймешь че он там хуевертит (трассировать он себя тоже не даст, и ты не давай)

вот тебе вариант на лям, брат
але блять это нейронка топикстартер я опозорился

Ну хорошо, попробую

KVANTOR815 · Понедельник в 20:19

Adofyn написал(а):
сисколлы, инлайн функции которую вызываешь

ты заебешься их SSN в рантайме вычислять, зачем сисколы использовать, максимально нудно и долго
а если применять технику типа indirect syscall, то я вообще молчу

Adofyn · Понедельник в 20:39

KVANTOR815 написал(а):
ты заебешься их SSN в рантайме вычислять, зачем сисколы использовать, максимально нудно и долго
а если применять технику типа indirect syscall, то я вообще молчу

никаких проблем не вижу ни с первым ни со вторым
а так, буду рад выслушать твои варианты

onetap_top написал(а):
Сисколы понятное дело, но проблема в том что не все функции можно сисколлить(как я знаю), поэтому и интересуюсь.

инлайнь пролог

onetap_top · Понедельник в 21:53

Adofyn написал(а):
инлайнь пролог

Можно чуть чуть уточнение или пояснение, что ты имеешь виду.

Adofyn · Вторник в 07:39

onetap_top написал(а):
Можно чуть чуть уточнение или пояснение, что ты имеешь виду.

берешь выделяешь шеллкод, в котором первые байты будут это байты нужной функции, после прыжок на эту функцию