Давайте по рассуждаем о методах обнаружения инжекта кода, и о противодействии им.

Допустим програмист заранее подготовил таблицу хешей секций импорта, экспорта и кода всех модулей его программы.
Раз в пять минут отдельный поток берет эти хеши со всех модулей(ехеVдлл) и сравнивает со значениями в таблице. Даже если возможно скрыть саму инжектированную длл. То следы хуков будут видны сразу. Возможно ли обойти такой метод обнаружения не прибегая к кернел кодингу?

| Сообщение посчитали полезным:

Так делает ExeCryptor при проверке CRC, и ничего, инлайнят. А ответ ты дал сам, когда упомянул поток...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Остановить поток или пропатчить прогу с этим все понятно, имеется ввиду без вмешательства в работу проги.

| Сообщение посчитали полезным:

Это равносильно: "Как бы мне пропатчить прогу, чтобы CRC чекер не увидел изменений, при этом не патчить сам CRC чекер и не подменять CRC сумму"...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Как бы мне пропатчить прогу, чтобы CRC чекер не увидел изменений, при этом не патчить сам CRC чекер и не подменять CRC сумму
А ведь это возможно. Правда далеко не просто в реализации, и требует наличия драйвера.

nim iNT3_TEAM пишет:
Возможно ли обойти такой метод обнаружения не прибегая к кернел кодингу?
Во-первых, этот метод обнаружения будет неюзабельным, так как патч экспортов и кода DLL часто делают различные security программы, а значит такой метод будет постоянно глючить.
Во-вторых, я думаю можно это будет обойти и без патча кода программы (есть на этот счет соображения), правда о конкретных методах обхода можно будет сказать только увидев реализацию проверки.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Если только на уровне векторных прерываний работать (>=2000 AddVectoredExceptionHandler) то можно через DR регистры или No Access (PAGE_GUARD) на нужные участки.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Это равносильно: "Как бы мне пропатчить прогу, чтобы CRC чекер не увидел изменений, при этом не патчить сам CRC чекер и не подменять CRC сумму"...
Если в качестве crc использовать стандартную crc-8/16/32/64 (основанную на полиномиальном остатке от деления), то это вполне реально. Есть методики, как подменить байты так, чтобы и crc-сошлась, и код проверки не трогать. На произвольные байты, конечно не поменяешь, но если это код, то всегда можно вставить прыжок через нужные "мусорные" байты. Некоторые виды простых хэшэй (не криптографических), тоже изумительно реверсируются и позволяют плодить коллизии. Но способ не универсальный, ясное дело...

А вот если это хэш стойкий к подбору коллизий, тогда все. Проще код проверки или сам хэш править...

| Сообщение посчитали полезным:

nim iNT3_TEAM пишет:
Допустим програмист заранее подготовил таблицу хешей секций импорта, экспорта
Если целью инжекта является перехват API функций, то необязательно изменять импорт -- можно перехватывать путем сплайсинга (перезапись кода начала самой перехватываемой функции). К тому же так надежнее по-идее, потому как обработчик перехвата через модификацию IAT не сработает, если вызывать функцию через GetProcessAddress.
Ms-Rem пишет:
этот метод обнаружения будет неюзабельным, так как патч экспортов и кода DLL часто делают различные security программы
И какие, если не секрет, security программы используют такой сверхнадежный способ?

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:

И какие, если не секрет, security программы используют такой сверхнадежный способ?

Он имел ввиду что всякие проги типа аутпоста или сейф-энд-сек могут инжектировать свои длл, и тогда будут ложные срабатывания.

Error_Log пишет:
Если целью инжекта является перехват API функций, то необязательно изменять импорт -- можно перехватывать путем сплайсинга

nim iNT3_TEAM пишет:
Допустим програмист заранее подготовил таблицу хешей секций импорта, экспорта и кода

-----
have a nice day

| Сообщение посчитали полезным:

Ms-Rem пишет:
есть на этот счет соображения

поделись соображениями без проверки

ПС: я на васме логин потерял, хотел там в коментах сказать скажу здесь. Пример инекции "чистого" кода понравился своей оригинальностью

-----
have a nice day

| Сообщение посчитали полезным:

Nimnul пишет:
таблицу хешей секций импорта, экспорта и кода
Хеш кода системных функций или своей программы? Если зараннее подготавливать хеши системных функций - то это слишком гиморно, врядли кто-то будет делать
Nimnul пишет:
Он имел ввиду что всякие проги типа аутпоста или сейф-энд-сек могут инжектировать свои длл
SNS устанавливает хуки в kernel-mode путем подмены function pointer в SSDT, насколько помню - аутпост тоже. Инжектировать в контекст каждого процесса длл для перехвата - это извратный и ненадежный способ, просто интересно, неужели его кто-то использует?
Ms-Rem
Можно ли использовать функцию ZwWriteRequestData для инжекта?

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
И какие, если не секрет, security программы используют такой сверхнадежный способ?
Из того что могу сразу вспомнить, это
1) Kaspersky antivirus 5
2) Kaspersky Internet Security 2006
3) StarForce Safe 'n Sec
4) Kerio personal firewall
5) Tiny firewall
6) BitDefender
7) F-Secure Internet Security 2006
Этого списка достаточно? или надо еще?

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

nim iNT3_TEAM пишет:
методах обнаружения инжекта кода, и о противодействии им.
Единственный рабочий метод был у Themidы с драйвером. Ну а как показала практика все знают, нет больше в themide драйвера.
Тем более, нужно учитывать, что многие утилиты инжектят свои длл во все процессы. Вот у меня стоит Winpatrol он так и делает. И если найдется программа, которая с ним не подружит, то она уйдет в долгий путь. Еще более яркий пример PowerStrip (для настройки видео карты). Вообще без нее у меня очень темное изображение и она по умолчанию тоже запускается в трее и инжектит свою powerhook.dll во все процессы.
nim iNT3_TEAM пишет:
таблицу хешей секций импорта, экспорта
ну, Виндовский peloader изменяет их значения в зависимости от ОС.
PE_Kill пишет:
Так делает ExeCryptor при проверке CRC, и ничего, инлайнят
Причем за милую душу. Все эти CRC до одного места, если потом тупо показывать окно "CRC error". Тем более, подсчет CRC это так или иначе цикл, а если навесить на этот цикл VM, то пользователь раньше нажмет Ctrl+Alt+Del, чем запустится эта программа. Так что, все crc подсчеты отлично просматриваются и патчатся.

По поводу инжекта кода. Я как правило перехватываю Nt функции windows при помощи shell кода, без всяких геморов с dll. А от этого в ring3 можно спастись только одним достоверным способом. Вот только NtCreatefile тоже перехвачен...
А с перехватом Nt функции windows можно пропатчить ЛЮБОЙ RING3 протектор!!!.
Мои рассуждения: при борьбе с инжектом ты получишь только несовместимость, хотя это тоже защита

| Сообщение посчитали полезным:

seeq пишет:
Причем за милую душу. Все эти CRC до одного места, если потом тупо показывать окно "CRC error".
Бывает при этом он запускает второй поток, который убивает процесс через ~1 секунду. Но это тоже не проблема, sleep рулит...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

seeq пишет:
По поводу инжекта кода. Я как правило перехватываю Nt функции windows при помощи shell кода, без всяких геморов с dll. А от этого в ring3 можно спастись только одним достоверным способом. Вот только NtCreatefile тоже перехвачен...

Где ты их перехватываеш, в ядре или в процессе?

seeq пишет:

при борьбе с инжектом ты получишь только несовместимость

можно внести в хеш таблицу системные библиотеки xp, xp1, xp2, w2k, w2k3 не так уж и много получается.

Вот у меня стоит Winpatrol он так и делает

Ситуация такая на время работы проги все остальные полезные проги идут лесом, либо лесом идет юзер.

ПС. забудьте уже про CRC я же сказал rsa hash

-----
have a nice day

| Сообщение посчитали полезным:

Вобщем почему я эту тему поднял потому что написал я античит. Теперь думаю над его собственной защитой т.к. недавно узнал что некоторые читы используют всяке стелс технологии, для сокрытия своей сути

-----
have a nice day

| Сообщение посчитали полезным:

повторю вопрос у меня есть хеши всех длл, происходит инжект и хеш не совпадает, читер получает бан . Есть ли метод позволяющий сокрыть хук, без кернел кодинга и без патча?

-----
have a nice day

| Сообщение посчитали полезным:

Nimnul пишет:
происходит инжект и хеш не совпадает, читер получает бан . Есть ли метод позволяющий сокрыть хук, без кернел кодинга и без патча
Видимо это зависит от того, как ты это реализуешь. Ну, например, - для того, чтобы расчитать хеш - тебе прийдется читать память. Изменяем атрибуты доступа к странице - при попытке чтения управление получит установленный отладчик - делаем что надо. Или попробовать чтонить с DRx регистрами замутить... Но опять же - можно много думать и гадать, но все будет зависеть от того, как ты реализуешь проверку. ИМХО

-----
Research is my purpose

| Сообщение посчитали полезным:

Когда мне нужно получить хеш, я всего навсего передаю укзатель на буфер + размер. Естественно я не копирую предворительно к себе в буфер.

Error_Log пишет:

Ну, например, - для того, чтобы расчитать хеш - тебе прийдется читать память.

А память будет читать ядро, реализуещее крипто API. Так же проверка хешей происходит не на клиенте античита а на сервере. И за взлом и патч я не особо волнуюсь т.к. запротекчен античит.

| Сообщение посчитали полезным:

ну хоть кто-то толково взялся за античит ) надеюсь для CS 1.6? где можно увидеть демку сего творения? ориентировано как закрытый продукт?

тут вон один товарисч написал античит "зверский" (sentenced / SFA) который воркал в ring0 и жестко прятал процесс игрухи +) никто из читов даже добраться не могу до нутра (оставались правда варианты со спидхаком и прочим). но валился собака...

| Сообщение посчитали полезным:

NaumLeNet пишет:
надеюсь для CS 1.6?

античит универсальный к серверу античита конектишся клиентом античита, потом игрой, если клиентом не приконектился тогда игрой тоже не приконектишся. игровые пакеты потом пересылаются на сервер игры.

NaumLeNet пишет:
где можно увидеть демку сего творения? ориентировано как закрытый продукт?

полная версия будет на нашем сайте.
 

| Сообщение посчитали полезным:

т.е. по сути аналогичен антивирусу ) против всех читов. т.е. есть некая база сигнатур / хэшей читов + защита самого античита от всяких траблов + много че еще можно придумать... забавно. в общем ждем-с, глянуть охота.

з.ы. поддержка SSL? нормальная работа с NAT?

| Сообщение посчитали полезным:

Поддержка DES, на счет NAT не знаю нефкурил еще, незнаю пока как по пакетам отличать юзеров за НАТом.

| Сообщение посчитали полезным:

NaumLeNet пишет:
/ хэшей читов

Не хешей читов, а хешей длл и ехе защищаемого приложения.

| Сообщение посчитали полезным:

PE_Kill пишет:
Это равносильно: "Как бы мне пропатчить прогу, чтобы CRC чекер не увидел изменений, при этом не патчить сам CRC чекер и не подменять CRC сумму"...

www.phrack.org/phrack/63/p63-0x08_Raising_The_Bar_For_Windows_Rootkit_Detection.txt - хорошая пища для размышлений.


Nimnul пишет:
Есть ли метод позволяющий сокрыть хук, без кернел кодинга и без патча?
nim iNT3_TEAM пишет:
А память будет читать ядро, реализуещее крипто API

Т.е. ты вызываешь совершенно беззащитные функи из Advapi32.dll ?

| Сообщение посчитали полезным:

nim iNT3_TEAM пишет:
Когда мне нужно получить хеш, я всего навсего передаю укзатель на буфер + размер.

Значит тебе будет нужен надёжный механизм получения адреса этого самого буфера ;)

| Сообщение посчитали полезным:

Адрес буфера == начало проверяемой секции

| Сообщение посчитали полезным:

А откуда увереность, что адрес начала секции правильный?

| Сообщение посчитали полезным:

я делаю парсинг PE

| Сообщение посчитали полезным:

Т.е. сканируешь виртуальное адресное пространство и ищешь там имиджы?

| Сообщение посчитали полезным: