Сейчас на форуме: rmn, exp50848 (+7 невидимых)

 eXeL@B —› Основной форум —› Скрытие процессов х86+x64
. 1 . 2 . >>
Посл.ответ Сообщение


Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 25 августа 2012 21:16 · Поправил: Nightshade
· Личное сообщение · #1

Есть такой протектор Frost. Предназначен он для защиты онлайн игр. Одной из его функций является скрытие процесса и защита процесса от чтения и изменения. Теперь самое интересное. Протектор использует драйвера для этого и с недавнего времени они подписали драйвер для х64 систем. А это значит, что можно использовать их драйвер на 64 битных системах, например для скрытия процесса ольки. Код там не сильно сложный.
http://rghost.ru/40000130
В архиве 2 драйвера и прога, которая их использует.
Code:
  1. 013A3A91  |.  53            PUSH EBX                                 ; /pOverlapped
  2. 013A3A92  |.  8D45 9C       LEA EAX,DWORD PTR SS:[EBP-64]            ; |
  3. 013A3A95  |.  50            PUSH EAX                                 ; |pBytesReturned
  4. 013A3A96  |.  8B45 A0       MOV EAX,DWORD PTR SS:[EBP-60]            ; |
  5. 013A3A99  |.  6A 04         PUSH 4                                   ; |OutBufferSize = 4
  6. 013A3A9B  |.  8D4D A8       LEA ECX,DWORD PTR SS:[EBP-58]            ; |
  7. 013A3A9E  |.  51            PUSH ECX                                 ; |OutBuffer
  8. 013A3A9F  |.  8B08          MOV ECX,DWORD PTR DS:[EAX]               ; |
  9. 013A3AA1  |.  6A 44         PUSH 44                                  ; |InBufferSize = 44 (68.)
  10. 013A3AA3  |.  8D95 50FFFFFF LEA EDX,DWORD PTR SS:[EBP-B0]            ; |
  11. 013A3AA9  |.  52            PUSH EDX                                 ; |InBuffer
  12. 013A3AAA  |.  68 0824409C   PUSH 9C402408                            ; |IoControlCode = 9C402408
  13. 013A3AAF  |.  51            PUSH ECX                                 ; |hDevice
  14. 013A3AB0  |.  895D A8       MOV DWORD PTR SS:[EBP-58],EBX            ; |
  15. 013A3AB3  |.  895D 9C       MOV DWORD PTR SS:[EBP-64],EBX            ; |
  16. 013A3AB6  |.  FF15 D0A45001 CALL DWORD PTR DS:[<&KERNEL32.DeviceIoCo>; \DeviceIoControl
  17.  
  18. Скрыть процесс


Code:
  1. 013A3DE2  |> \C745 F8 00000>MOV DWORD PTR SS:[EBP-8],0
  2. 013A3DE9  |.  C745 F4 00000>MOV DWORD PTR SS:[EBP-C],0
  3. 013A3DF0  |.  C745 FC 00000>MOV DWORD PTR SS:[EBP-4],0
  4. 013A3DF7  |.  FF15 D8A45001 CALL DWORD PTR DS:[<&KERNEL32.GetCurrent>; [GetCurrentProcessId
  5. 013A3DFD  |.  35 7F917700   XOR EAX,77917F
  6. 013A3E02  |.  6A 00         PUSH 0                                   ; /pOverlapped = NULL
  7. 013A3E04  |.  05 D8290000   ADD EAX,29D8                             ; |
  8. 013A3E09  |.  8945 FC       MOV DWORD PTR SS:[EBP-4],EAX             ; |
  9. 013A3E0C  |.  8D45 F4       LEA EAX,DWORD PTR SS:[EBP-C]             ; |
  10. 013A3E0F  |.  50            PUSH EAX                                 ; |pBytesReturned
  11. 013A3E10  |.  8B06          MOV EAX,DWORD PTR DS:[ESI]               ; |
  12. 013A3E12  |.  6A 04         PUSH 4                                   ; |OutBufferSize = 4
  13. 013A3E14  |.  8D4D F8       LEA ECX,DWORD PTR SS:[EBP-8]             ; |
  14. 013A3E17  |.  51            PUSH ECX                                 ; |OutBuffer
  15. 013A3E18  |.  6A 04         PUSH 4                                   ; |InBufferSize = 4
  16. 013A3E1A  |.  8D55 FC       LEA EDX,DWORD PTR SS:[EBP-4]             ; |
  17. 013A3E1D  |.  52            PUSH EDX                                 ; |InBuffer
  18. 013A3E1E  |.  68 4424409C   PUSH 9C402444                            ; |IoControlCode = 9C402444
  19. 013A3E23  |.  50            PUSH EAX                                 ; |hDevice
  20. 013A3E24  |.  FF15 D0A45001 CALL DWORD PTR DS:[<&KERNEL32.DeviceIoCo>; \DeviceIoControl
  21.  
  22.  
  23. Убрать скрытие

Если точнее скрываться будут процессы созданные прогой. Т е прога говорит драйверу "Защищай мной созданные процессы"

| Сообщение посчитали полезным: Hellspawn, BAHEK, _ruzmaz_, plutos, Dart Raiden, Gideon Vi, ELF_7719116, mak, NikolayD, gena-m


Ранг: 527.7 (!), 381thx
Активность: 0.160.09
Статус: Участник
Победитель турнира 2010

Создано: 25 августа 2012 22:25 · Поправил: OKOB
· Личное сообщение · #2

что во входных буферах?

Code:
  1. #define FROST_x64_HIDE   0x9C402408 
  2. #define FROST_x64_UNHIDE 0x9C402444 
  3. HANDLE hDevice;
  4.  
  5. OVERLAPPED sOverlapped;
  6. BYTE h_inVal[68];
  7. DWORD h_outVal, h_retVal;
  8.  
  9. BOOL
  10. bResult = DeviceIoControl(hDevice,                  // device to be queried
  11.                           FROST_x64_HIDE,           // operation to perform
  12.                           h_inVal, siseof(h_inVal), // no input buffer
  13.                           &h_outVal, sizeof(DWORD), // output buffer
  14.                           &h_retVal,                // # bytes returned
  15.                           &sOverlapped); // synchronous I/O
  16.  
  17. DWORD unh_inVal, unh_outVal, unh_retVal;
  18.  
  19. BOOL
  20. bResult = DeviceIoControl(hDevice,                    // device to be queried
  21.                           FROST_x64_UNHIDE,           // operation to perform
  22.                           &unh_inVal, siseof(DWORD),  // no input buffer
  23.                           &unh_outVal, sizeof(DWORD), // output buffer
  24.                           &unh_retVal,                // # bytes returned
  25.                           (LPOVERLAPPED) NULL); // synchronous I/O


-----
127.0.0.1, sweet 127.0.0.1




Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 25 августа 2012 22:29 · Поправил: TryAga1n
· Личное сообщение · #3

Чтобы не потерялось


4a5e_25.08.2012_EXELAB.rU.tgz - Hide.rar




Ранг: 192.7 (ветеран), 154thx
Активность: 0.070
Статус: Участник
The ONE

Создано: 25 августа 2012 22:39
· Личное сообщение · #4

Пример бы, как это запустить ...

-----
Сотрудник DHARMA





Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 25 августа 2012 23:02
· Личное сообщение · #5

да дырень знатная, через него в другие процессы или ядро случайно писать нельзя?

-----
[nice coder and reverser]





Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 25 августа 2012 23:33 · Поправил: Nightshade
· Личное сообщение · #6

Входной буфер
00C9FA44 00001680 - pid
00C9FA48 8383A000 -ModuleBaseAddress(ntkrnlpa.exe)
00C9FA4C 83C4C000 -ModuleBaseAddress(ntkrnlpa.exe)+ModuleSize(ntkrnlpa.exe)
00C9FA50 00000000 =крк буфера
00C9FA54 00001000 -SystemInfo.dwPageSize
00C9FA58 000000BE -dword ptr [GetProcAddress(ZwOpenProcess)+1]
00C9FA5C 00000000
00C9FA60 00000105 -dword ptr [GetProcAddress(ZwQuerySystemInformation)+1]
00C9FA64 00000000
00C9FA68 00000115 -dword ptr [GetProcAddress(ZwCreateUserProcess)+1]
00C9FA6C 00000000
00C9FA70 0000018F -dword ptr [GetProcAddress(ZwReadVirtualMemory)+1]
00C9FA74 00000000
00C9FA78 0000005D -dword ptr [GetProcAddress(ZwWriteVirtualMemory)+1]
00C9FA7C 00000000
00C9FA80 0000006F -dword ptr [GetProcAddress(ZwDuplicateObject)+1]
00C9FA84 00000000
Далее считается крк буфера
Code:
  1. 00FA31A0  /$  55            PUSH EBP
  2. 00FA31A1  |.  8BEC          MOV EBP,ESP
  3. 00FA31A3  |.  83EC 28       SUB ESP,28
  4. 00FA31A6  |.  53            PUSH EBX
  5. 00FA31A7  |.  56            PUSH ESI
  6. 00FA31A8  |.  57            PUSH EDI
  7. 00FA31A9  |.  8B38          MOV EDI,DWORD PTR DS:[EAX]
  8. 00FA31AB  |.  8BDF          MOV EBX,EDI
  9. 00FA31AD  |.  C1E7 10       SHL EDI,10
  10. 00FA31B0  |.  8B70 04       MOV ESI,DWORD PTR DS:[EAX+4]
  11. 00FA31B3  |.  C1EB 10       SHR EBX,10
  12. 00FA31B6  |.  03DF          ADD EBX,EDI
  13. 00FA31B8  |.  8BFE          MOV EDI,ESI
  14. 00FA31BA  |.  69DB FF000000 IMUL EBX,EBX,0FF
  15. 00FA31C0  |.  C1EF 10       SHR EDI,10
  16. 00FA31C3  |.  C1E6 10       SHL ESI,10
  17. 00FA31C6  |.  03FE          ADD EDI,ESI
  18. 00FA31C8  |.  69FF FF000000 IMUL EDI,EDI,0FF
  19. 00FA31CE  |.  33DF          XOR EBX,EDI
  20. 00FA31D0  |.  8B70 08       MOV ESI,DWORD PTR DS:[EAX+8]
  21. 00FA31D3  |.  8BFE          MOV EDI,ESI
  22. 00FA31D5  |.  C1EF 10       SHR EDI,10
  23. 00FA31D8  |.  C1E6 10       SHL ESI,10
  24. 00FA31DB  |.  03FE          ADD EDI,ESI
  25. 00FA31DD  |.  69FF FF000000 IMUL EDI,EDI,0FF
  26. 00FA31E3  |.  33DF          XOR EBX,EDI
  27. 00FA31E5  |.  8B70 10       MOV ESI,DWORD PTR DS:[EAX+10]
  28. 00FA31E8  |.  8BFE          MOV EDI,ESI
  29. 00FA31EA  |.  C1EF 10       SHR EDI,10
  30. 00FA31ED  |.  C1E6 10       SHL ESI,10
  31. 00FA31F0  |.  03FE          ADD EDI,ESI
  32. 00FA31F2  |.  69FF FF000000 IMUL EDI,EDI,0FF
  33. 00FA31F8  |.  8B70 14       MOV ESI,DWORD PTR DS:[EAX+14]
  34. 00FA31FB  |.  33DF          XOR EBX,EDI
  35. 00FA31FD  |.  8BFE          MOV EDI,ESI
  36. 00FA31FF  |.  C1EF 10       SHR EDI,10
  37. 00FA3202  |.  C1E6 10       SHL ESI,10
  38. 00FA3205  |.  03FE          ADD EDI,ESI
  39. 00FA3207  |.  69FF FF000000 IMUL EDI,EDI,0FF
  40. 00FA320D  |.  8B70 18       MOV ESI,DWORD PTR DS:[EAX+18]
  41. 00FA3210  |.  33DF          XOR EBX,EDI
  42. 00FA3212  |.  8BFE          MOV EDI,ESI
  43. 00FA3214  |.  C1EF 10       SHR EDI,10
  44. 00FA3217  |.  C1E6 10       SHL ESI,10
  45. 00FA321A  |.  03FE          ADD EDI,ESI
  46. 00FA321C  |.  8B70 1C       MOV ESI,DWORD PTR DS:[EAX+1C]
  47. 00FA321F  |.  69FF FF000000 IMUL EDI,EDI,0FF
  48. 00FA3225  |.  33DF          XOR EBX,EDI
  49. 00FA3227  |.  8BFE          MOV EDI,ESI
  50. 00FA3229  |.  C1EF 10       SHR EDI,10
  51. 00FA322C  |.  C1E6 10       SHL ESI,10
  52. 00FA322F  |.  03FE          ADD EDI,ESI
  53. 00FA3231  |.  8B70 20       MOV ESI,DWORD PTR DS:[EAX+20]
  54. 00FA3234  |.  69FF FF000000 IMUL EDI,EDI,0FF
  55. 00FA323A  |.  33DF          XOR EBX,EDI
  56. 00FA323C  |.  8BFE          MOV EDI,ESI
  57. 00FA323E  |.  C1EF 10       SHR EDI,10
  58. 00FA3241  |.  C1E6 10       SHL ESI,10
  59. 00FA3244  |.  03FE          ADD EDI,ESI
  60. 00FA3246  |.  8B70 24       MOV ESI,DWORD PTR DS:[EAX+24]
  61. 00FA3249  |.  69FF FF000000 IMUL EDI,EDI,0FF
  62. 00FA324F  |.  33DF          XOR EBX,EDI
  63. 00FA3251  |.  8BFE          MOV EDI,ESI
  64. 00FA3253  |.  C1EF 10       SHR EDI,10
  65. 00FA3256  |.  C1E6 10       SHL ESI,10
  66. 00FA3259  |.  03FE          ADD EDI,ESI
  67. 00FA325B  |.  8B70 28       MOV ESI,DWORD PTR DS:[EAX+28]
  68. 00FA325E  |.  69FF FF000000 IMUL EDI,EDI,0FF
  69. 00FA3264  |.  33DF          XOR EBX,EDI
  70. 00FA3266  |.  8B48 38       MOV ECX,DWORD PTR DS:[EAX+38]
  71. 00FA3269  |.  8B50 34       MOV EDX,DWORD PTR DS:[EAX+34]
  72. 00FA326C  |.  8BFE          MOV EDI,ESI
  73. 00FA326E  |.  C1EF 10       SHR EDI,10
  74. 00FA3271  |.  C1E6 10       SHL ESI,10
  75. 00FA3274  |.  03FE          ADD EDI,ESI
  76. 00FA3276  |.  8B70 2C       MOV ESI,DWORD PTR DS:[EAX+2C]
  77. 00FA3279  |.  69FF FF000000 IMUL EDI,EDI,0FF
  78. 00FA327F  |.  33DF          XOR EBX,EDI
  79. 00FA3281  |.  8BFE          MOV EDI,ESI
  80. 00FA3283  |.  C1EF 10       SHR EDI,10
  81. 00FA3286  |.  C1E6 10       SHL ESI,10
  82. 00FA3289  |.  03FE          ADD EDI,ESI
  83. 00FA328B  |.  69FF FF000000 IMUL EDI,EDI,0FF
  84. 00FA3291  |.  8B70 30       MOV ESI,DWORD PTR DS:[EAX+30]
  85. 00FA3294  |.  33DF          XOR EBX,EDI
  86. 00FA3296  |.  8BFE          MOV EDI,ESI
  87. 00FA3298  |.  C1E6 10       SHL ESI,10
  88. 00FA329B  |.  C1EF 10       SHR EDI,10
  89. 00FA329E  |.  03FE          ADD EDI,ESI
  90. 00FA32A0  |.  8BF2          MOV ESI,EDX
  91. 00FA32A2  |.  69FF FF000000 IMUL EDI,EDI,0FF
  92. 00FA32A8  |.  C1E2 10       SHL EDX,10
  93. 00FA32AB  |.  C1EE 10       SHR ESI,10
  94. 00FA32AE  |.  03F2          ADD ESI,EDX
  95. 00FA32B0  |.  8BD1          MOV EDX,ECX
  96. 00FA32B2  |.  69F6 FF000000 IMUL ESI,ESI,0FF
  97. 00FA32B8  |.  C1EA 10       SHR EDX,10
  98. 00FA32BB  |.  C1E1 10       SHL ECX,10
  99. 00FA32BE  |.  03D1          ADD EDX,ECX
  100. 00FA32C0  |.  69D2 FF000000 IMUL EDX,EDX,0FF
  101. 00FA32C6  |.  33DF          XOR EBX,EDI
  102. 00FA32C8  |.  33DE          XOR EBX,ESI
  103. 00FA32CA  |.  5F            POP EDI
  104. 00FA32CB  |.  33DA          XOR EBX,EDX
  105. 00FA32CD  |.  5E            POP ESI
  106. 00FA32CE  |.  8958 0C       MOV DWORD PTR DS:[EAX+C],EBX
  107. 00FA32D1  |.  5B            POP EBX
  108. 00FA32D2  |.  8BE5          MOV ESP,EBP
  109. 00FA32D4  |.  5D            POP EBP
  110. 00FA32D5  \.  C3            RET
  111.  
  112.  

И пишется 4ым dword




Ранг: 527.7 (!), 381thx
Активность: 0.160.09
Статус: Участник
Победитель турнира 2010

Создано: 25 августа 2012 23:49 · Поправил: OKOB
· Личное сообщение · #7

Nightshade пишет:
что-то от systeminfo


InBuffer[4] = SystemInfo.dwPageSize;

Code:
  1.   DWORD dwZwOpenProcess = ::GetProcAddress(hNtDll, "ZwOpenProcess");
  2.   InBuffer[5] = (dwZwOpenProcess == 0)?0;(*(DWORD *)((BYTE *)dwZwOpenProcess + 1));
  3.   DWORD dwZwQuerySystemInformation = ::GetProcAddress(hNtDll, "ZwQuerySystemInformation");
  4.   InBuffer[7] = (dwZwQuerySystemInformation == 0)?0;(*(DWORD *)((BYTE *)dwZwQuerySystemInformation + 1));
  5.   DWORD dwZwCreateUserProcess = ::GetProcAddress(hNtDll, "ZwCreateUserProcess");
  6.   InBuffer[13] = (dwZwCreateUserProcess == 0)?0;(*(DWORD *)((BYTE *)dwZwCreateUserProcess + 1));
  7.   DWORD dwZwReadVirtualMemory = ::GetProcAddress(hNtDll, "ZwReadVirtualMemory");
  8.   InBuffer[9] = (dwZwReadVirtualMemory == 0)?0;(*(DWORD *)((BYTE *)dwZwReadVirtualMemory + 1));
  9.   DWORD dwZwWriteVirtualMemory = GetProcAddress(hNtDll, "ZwWriteVirtualMemory");
  10.   InBuffer[11] = (dwZwWriteVirtualMemory == 0)?0;(*(DWORD *)((BYTE *)dwZwWriteVirtualMemory + 1));
  11.   DWORD dwZwDuplicateObject = GetProcAddress(hNtDll, "ZwDuplicateObject");
  12.   InBuffer[15] = (dwZwDuplicateObject == 0)?0;(*(DWORD *)((BYTE *)dwZwDuplicateObject + 1));


стоит ?0; вместо ?0: (форум вставляет линк на какой-то смайл)

Code:
  1. void InBufferCRC(DWORD *InBuffer)
  2. {
  3.   InBuffer[3] = 
  4. 0xFF * ((InBuffer[14] << 16) + ((InBuffer[14] >> 16)) ^ 
  5. 0xFF * ((InBuffer[13] << 16) + ((InBuffer[13] >> 16)) ^ 
  6. 0xFF * ((InBuffer[12] << 16) + ((InBuffer[12] >> 16)) ^ 
  7. 0xFF * ((InBuffer[11] << 16) + ((InBuffer[11] >> 16)) ^ 
  8. 0xFF * ((InBuffer[10] << 16) + ((InBuffer[10] >> 16)) ^ 
  9. 0xFF * ((InBuffer[ 9] << 16) + ((InBuffer[ 9] >> 16)) ^ 
  10. 0xFF * ((InBuffer[ 8] << 16) + ((InBuffer[ 8] >> 16)) ^ 
  11. 0xFF * ((InBuffer[ 7] << 16) + ((InBuffer[ 7] >> 16)) ^ 
  12. 0xFF * ((InBuffer[ 6] << 16) + ((InBuffer[ 6] >> 16)) ^ 
  13. 0xFF * ((InBuffer[ 5] << 16) + ((InBuffer[ 5] >> 16)) ^ 
  14. 0xFF * ((InBuffer[ 4] << 16) + (InBuffer[[ 4] >> 16)) ^ 
  15. 0xFF * ((InBuffer[ 2] << 16) + (InBuffer[[ 2] >> 16)) ^ 
  16. 0xFF * ((InBuffer[ 1] << 16) + (InBuffer[[ 1] >> 16)) ^ 
  17. 0xFF * ((InBuffer[ 0] << 16) + (InBuffer[[ 0] >> 16));
  18. }


остальное заполняется в sub_4034B0

-----
127.0.0.1, sweet 127.0.0.1


| Сообщение посчитали полезным: Gideon Vi, SReg


Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 26 августа 2012 00:10 · Поправил: Nightshade
· Личное сообщение · #8

Можешь сказать, что такое 3 и 4 дворд?
Code:
  1. 020EFAA4   0112351F  /CALL to ZwQuerySystemInformation from rf.0112351D
  2. 020EFAA8   0000000B  |InfoType = SystemModuleInfo
  3. 020EFAAC   020EFAD4  |Buffer = 020EFAD4
  4. 020EFAB0   00000004  |Bufsize = 4
  5. 020EFAB4   020EFACC  \pReqsize = 020EFACC
  6.  
  7. 020EFAA8   0000000B  |InfoType = SystemModuleInfo
  8. 020EFAAC   002194E0  |Buffer = 002194E0
  9. 020EFAB0   0000F414  |Bufsize = F414 (62484.)
  10. 020EFAB4   00000000  \pReqsize = NULL
  11.  
  12. 002194E0  000000DC
  13. 002194E4  00000000
  14. 002194E8  00000000
  15. 002194EC  8383A000
  16. 002194F0  00412000
  17. 002194F4  08004000
  18. 002194F8  00000000
  19. 002194FC  00150089

8383A000 + 00412000 =83C4C000
Похоже на адрес загрузки и size of image ntkrnlpa.exe

Имя устройства

Access=0012019F SYNCHRONIZE|READ_CONTROL|READ_DATA|WRITE_DATA|APPEND_DATA|READ_EA|WRITE_EA|READ_ATTRIBUTES|WRITE_ATTRIBUTES
Name=\Device\Frost_5_8_0_2

Кто может написать на основе этих данных лаунчер защищенных(скрытых) процессов?




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 26 августа 2012 02:11
· Личное сообщение · #9

Nightshade пишет:
Кто может написать на основе этих данных лаунчер защищенных(скрытых) процессов?

И максемум через неделю он окажется в базе аверов

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.




Ранг: 369.8 (мудрец), 400thx
Активность: 0.390
Статус: Участник

Создано: 26 августа 2012 03:34
· Личное сообщение · #10

ClockMan пишет:
И максемум через неделю он окажется в базе аверов

Так это же замечательно! Подгадить разработчикам защит чтоб не борзели, ИМХО руткит функционал в протекторе это чересчур и требует добавления в базы АВ.

-----
PGP key <0x1B6A24550F33E44A>


| Сообщение посчитали полезным: ClockMan, ADACH

Ранг: 81.6 (постоянный), 102thx
Активность: 0.060.02
Статус: Участник

Создано: 26 августа 2012 03:47
· Личное сообщение · #11

Да и пусть, лишь бы ольку скрывал. И назвать OllyFrost :D




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 26 августа 2012 04:59
· Личное сообщение · #12

ClockMan пишет:
И максемум через неделю он окажется в базе аверов


И хорошо. Нам это ни каким боком не помешает, зато щелкнит по носу ламерам из фроста и не даст использовать инструмент скрипт-кидисам.
Только делать нужно, как тулзу Рема, чтобы список скрываемых процессов можно было задавать самому.

| Сообщение посчитали полезным: VodoleY, -Sanchez-


Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 26 августа 2012 17:35 · Поправил: Nightshade
· Личное сообщение · #13

2 ELF_7719116:

01F8F324 00243EA0 /CALL to CreateFileW from rf.00243E9A
01F8F328 01770A90 |FileName = "\.\Frost_5_8_0_2DLL"
01F8F32C C0000000 |Access = GENERIC_READ|GENERIC_WRITE
01F8F330 00000003 |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
01F8F334 00000000 |pSecurity = NULL
01F8F338 00000003 |Mode = OPEN_EXISTING
01F8F33C 00000080 |Attributes = NORMAL
01F8F340 00000000 \hTemplateFile = NULL
Перед Frost_5_8_0_2DLL два бекслеша, точка, бекслеш. Форум режет символы
--------------------------------


Как можно заметить в фоне олька без плагинов для скрытия) Значит все реально)



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 26 августа 2012 20:15
· Личное сообщение · #14

Вообще у меня подозрения были, что защищается только TargetPID, а ClonePID's (TargetPID +1, +2, +3) остаются открытыми, как ни парадоксально.




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 26 августа 2012 21:56 · Поправил: Nightshade
· Личное сообщение · #15

POC:
Запускает скрытый ollydbg.exe в папке с программой, если запущен драйвер фроста)
http://sderni.ru/142148
Тестил только на х86. Запуск олли с плагинами, которые скрывают олю, убивает хуки фроста.

| Сообщение посчитали полезным: Gideon Vi, Dart Raiden, xDvKx, plutos

Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 03 сентября 2012 23:30 · Поправил: chief1973
· Личное сообщение · #16

-deleted-



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 03 сентября 2012 23:43
· Личное сообщение · #17

chief1973, разумеется интересно. На wasm'e например.



Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 03 сентября 2012 23:45 · Поправил: chief1973
· Личное сообщение · #18

-deleted-



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 03 сентября 2012 23:54
· Личное сообщение · #19

chief1973, откуда мне знать, я имел ввиду, что тема в первую очередь интересна для вирусописателей...



Ранг: 7.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 04 сентября 2012 00:00 · Поправил: chief1973
· Личное сообщение · #20

-deleted-




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 04 сентября 2012 18:17
· Личное сообщение · #21

NikolayD пишет:
что тема в первую очередь интересна для вирусописателей...

Ланчер уже есть, но выкладывать себе дороже



Ранг: 60.6 (постоянный), 87thx
Активность: 0.060
Статус: Участник

Создано: 05 сентября 2012 13:43
· Личное сообщение · #22

Nightshade пишет:
Ланчер уже есть, но выкладывать себе дороже

Так poc же лежит. Добавить установку драйвера в систему, сделать минимальный гуй - это же любой для себя за часик слепит, нет?

| Сообщение посчитали полезным: ARCHANGEL


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 сентября 2012 14:19
· Личное сообщение · #23

каждый не слепит,потому что формирования правильного буффера отправки драйверу для скрытия процессов - не опубликовали;) каждый сам реверсит и разбирается



Ранг: 60.6 (постоянный), 87thx
Активность: 0.060
Статус: Участник

Создано: 05 сентября 2012 14:34
· Личное сообщение · #24

reversecode пишет:
каждый не слепит,потому что формирования правильного буффера отправки драйверу для скрытия процессов - не опубликовали;) каждый сам реверсит и разбирается

POC формирует необходимый драйверу буфер, а далее стартует ольгу и она не отображается в списке процессов? Если да, то берем POC, если лень копать оригинал, разбираем механизм взаимодействия и делаем то же самое, но x32-x64 и с возможностью старта произвольного процесса. Или существуют нюансы?



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 05 сентября 2012 14:36
· Личное сообщение · #25

Фрост только для онлайн игрушек? На каких например он есть?




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 сентября 2012 14:37 · Поправил: reversecode
· Личное сообщение · #26

а если скрыть хочется не ольку а чего то другое?
зачем разбирать POC если уже есть оригиналы, вообщем то у меня нет проблем,
я просто выражаю свою мысль, о том почему это сложно сделать другим




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 05 сентября 2012 15:08
· Личное сообщение · #27

NikolayD пишет:
На каких например он есть?


из небольших - был на русской рыбалке




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 05 сентября 2012 15:22
· Личное сообщение · #28

на фогеймовских играх раньше было, на PointBlank точно

-----
[nice coder and reverser]





Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 06 сентября 2012 12:01
· Личное сообщение · #29

На всех фогеях и ингамбах фрост. Может еще где. Кстати у меня не получилось скрыть процесс на вин 8 х64. Хотя фрост и не поддерживает эту систему. Может надо просто подождать обновы фроста...



Ранг: 60.6 (постоянный), 87thx
Активность: 0.060
Статус: Участник

Создано: 07 сентября 2012 01:33
· Личное сообщение · #30

Nightshade пишет:
Кстати у меня не получилось скрыть процесс на вин 8 х64

А под win7 x64 получилось? Судя по коду, под x64 в буфере передаются только pid, page size и crc, но после такого дочерние процессы не скрываются, хотя коллбэк в драйвере вроде устанавливается.
Также периодически возникает бсод (DRIVER_UNLOADED_WITHOUT_CANCELING_PENDING_OPERATIONS) под x86 при попытке выгрузить драйвер, хотя, судя по коду, колбэк в драйвере снимается (под отладчиком не смотрел)


. 1 . 2 . >>
 eXeL@B —› Основной форум —› Скрытие процессов х86+x64
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати