Сейчас на форуме: NIKOLA, r0lka, johnniewalker, vsv1 (+4 невидимых) |
eXeL@B —› Крэки, обсуждения —› VMProtect & Kernel-Driver & Ограниченные права у процесса |
. 1 . 2 . >> |
Посл.ответ | Сообщение |
|
Создано: 07 апреля 2020 12:07 · Личное сообщение · #1 Доброго времени суток. Недавно в руки попал экземпляр софта, накрытого VMProtect'ом последней версии, и собственно драйвер накрытый тем же. 1. При запуске, софт проверяет хеш сумму файла(ов), драйвера. 2. Затем запускает драйвер-службу (kernel) 3. Создаёт процесс с ограниченными правами (с уникальным SID), выключая ему все возможные привилегии на отладку и т.д. Сам по себе софт - это лаунчер, а процесс который он создаёт - это игра. Драйвер служит как я понимаю для того, чтобы ограничить любой доступ к игре. Интересен сам способ ограничения всех возможных прав у ново-созданного процесса, и тому, как их можно раз-ограничить (сделать низкого integrity level) Потому, что с ProcessHacker и с правами System - я ничего поделать даже не могу, ни память прочитать, абсолютно ничего!( PS: чисто в ознакомительных и образовательных целях! |
|
Создано: 07 апреля 2020 12:46 · Личное сообщение · #2 |
|
Создано: 07 апреля 2020 13:40 · Поправил: Boostyq · Личное сообщение · #3 KVPV пишет: чтобы ограничить любой доступ к игре Не только, там еще функционал для юзермодной дллки для скана других процессов, детекты модификации ядра, детекты из ядра, и т.п. Обычно используется уязвимый подписанный драйвер, чтобы замаппить свой неподписанный дров в ядро, затем выгружается уязвимый драйвер и все следы от него зачищаются, потому что античит проверяет наличие таких драйверов в системе, далее из него вы уже можете сделать дамп драйвера античита и поковырять в иде, но многое это не даст, т.к. все самое вкусное (и что не требует скорости) находится под виртуальной машиной, а ее девиртуализация совсем другой вопрос. По большей части это все гадание на манной гуще, есть общеизвестные методы детектов, можете посмотреть на uc, так же можно посмотреть какие колбэки вешает античит через отладчик, но что конкретно там происходит без снятия вм не узнать. ----- В облачке многоточия |
|
Создано: 07 апреля 2020 14:49 · Личное сообщение · #4 |
|
Создано: 07 апреля 2020 15:41 · Личное сообщение · #5 |
|
Создано: 07 апреля 2020 17:30 · Поправил: Boostyq · Личное сообщение · #6 |
|
Создано: 07 апреля 2020 23:53 · Личное сообщение · #7 KVPV пишет: Интересен сам способ ограничения всех возможных прав у ново-созданного процесса Устанавливается обработчик (ObRegisterCallbacks) на операции по работе с процессами, в этом обработчике в случае необходимости убираются разрешения на доступ к процессу. Этот механизм появился, начиная с Висты, если вопрос про древнюю XP (что маловероятно), то там чутка другой способ, но суть таже. Добавлено спустя 4 минуты Gideon Vi пишет: подписать драйвер - самая не серьезная проблема во всем топике Можно в двух словах описать решение этой проблемы для Windows 10? Только желательно без танцев с бубном, которые описала Boostyq, и без всяких UPGDSED. |
|
Создано: 08 апреля 2020 03:22 · Личное сообщение · #8 user99 пишет: Можно в двух словах описать решение этой проблемы для Windows 10? можно даже готовой утилью, сразу после того, как закроется вопрос с vmp. Я вообще не понимаю, зачем дампить какой-то драйвер, если нет понимания, что делать с vmp. Если понимание есть, то ещё более не понятно, зачем драйвер дампить. Мы же не руткит какой обсуждаем, где кроме дропера на руках и нет ни чего. |
|
Создано: 08 апреля 2020 04:16 · Личное сообщение · #9 Gideon Vi пишет: зачем дампить какой-то драйвер, если нет понимания, что делать с vmp а ты что не знал с час новые технологии, файл появляется в памяти процесса из неоткуда и у него даже не спрашивают разрешение, тут только дамп поможет....... ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
Создано: 08 апреля 2020 06:03 · Поправил: Gideon Vi · Личное сообщение · #10 ClockMan, шутку оценил ) в чем дамп-то поможет, vmp в процессе рассосется? ) KVPV пишет: При запуске, софт проверяет хеш сумму файла(ов), драйвера оставим на совести программистов, зачем там им понадобилось считать хэш дрова. Дров есть. Его не надо дампить. я бы, кстати, рофла ради, отправил дров аверам. Если он там в x64 десятке умудряется хучить доступ к процессу, то им такое должно понравится. |
|
Создано: 08 апреля 2020 12:58 · Личное сообщение · #11 Gideon Vi пишет: сразу после того, как закроется вопрос с vmp А можно мухи отдельно, а котлеты отдельно? У меня вопрос простой: как подписать драйвер, чтобы его можно было запустить на десятке? При этом чтобы не нужно было отключать проверку цифровых подписей в винде и не использовать способы в стиле UPGDSED. Буду благодарен за подсказку. Gideon Vi пишет: Если он там в x64 десятке умудряется хучить доступ к процессу Сильно сомневаюсь, что внутри драйвера есть хуки системных функций и обход патчгварда. |
|
Создано: 08 апреля 2020 13:05 · Поправил: Boostyq · Личное сообщение · #12 Гидеон и клокман опять вы порете какую-то горячку, если не шарите, то зачем? Дамп не уберет вм, но снимет упаковку драйвера, позволит изучить незащищенные функции и лучше понять что конкретно ач делает. Покупать подпись для дрова идиотская затея, если только это не жесткий приват для нескольких человек, иначе античит очень быстро добавит серт в базу и будет банить даже без проверки того, что там внутри. Насчет аверов тоже бред, во первых он запускается у десятков тысяч людей, и антивирусы уже стопицо раз покрутили дров, а вообще им насрать на него т.к. он подписан ач компанией. Хэш файлов проверяется (внезапно) чтобы не пропатчили. И да, гидеон, твой изи метод загрузки дрова без подписи разумеется ждем, выкладывай. ----- В облачке многоточия |
|
Создано: 08 апреля 2020 13:35 · Поправил: vasilevradislav · Личное сообщение · #13 |
|
Создано: 08 апреля 2020 14:01 · Поправил: ARCHANGEL · Личное сообщение · #14 Boostyq Та тут всё ж в образовательных целях. В целях образования геморроя у античитоделов. Дампить-то смысл есть, но опять же нужен драйвер, ибо виндбг будет спален, и с ним не стартанёт. Может, есть какие-то трюки запуска чисто для дампа, когда античит уже работает? Но про метод загрузки без подписи и без патчинга половины своей оси тоже готов послушать. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
Создано: 08 апреля 2020 14:36 · Поправил: Gideon Vi · Личное сообщение · #15 user99 пишет: А можно мухи отдельно, а котлеты отдельно? нельзя. ТС сказал, что дров доступен. Поставил более-менее конкретные вопросы. бУСТИГ, в лучших традициях моторов инде (с кем сралась, от того и набралась) начала вещать на отвлеченные темы. Я сказал, что по сравнению с разбором vmp подписать дров - ни о чем. Меняю автоматизированную подпись твоего дрова на автоматизированную разбиралку моего vmp. Boostyq пишет: Дамп не уберет вм, но снимет упаковку драйвера т.е. в vmp для тебя самое сложное - распаковать? Boostyq пишет: Покупать подпись для дрова идиотская затея не предлагал Boostyq пишет: иначе античит очень быстро добавит серт в базу по боку, куда он и что добавит, ты его нагибать будешь, или где. Твой серт просто отзовут. Boostyq пишет: И да, гидеон, твой изи метод загрузки дрова без подписи разумеется ждем, выкладывай покажи, где я что-то писал о загрузке не подписанного дрова. Вобщем, эта девушка сломалась. Инде, на твоей совести. |
|
Создано: 08 апреля 2020 17:20 · Личное сообщение · #16 |
|
Создано: 08 апреля 2020 17:22 · Личное сообщение · #17 Gideon Vi пишет: Меняю автоматизированную подпись твоего дрова на автоматизированную разбиралку моего vmp. Хм... что-то какими-то отмазками попахивает. Причем здесь автоматизация? Если у вас рабочего способа нет (ну или у вас есть доступ к валидному сертификату), то можно просто об этом сказать, или если признаться в этом не можете, то хотя бы сослаться на секретность метода, это будет почти по-взрослому. |
|
Создано: 08 апреля 2020 17:57 · Поправил: Boostyq · Личное сообщение · #18 Boostyq пишет: Дамп не уберет вм, но снимет упаковку драйвера Gideon Vi пишет: т.е. в vmp для тебя самое сложное - распаковать? Где связь? Если из "снять дамп чтобы увидеть хотя бы невиртуализированный код" для тебя следует "распаковка сложнее девиртуализации", то советую проверить голову, там не все дома. С какого-то перепуга ты решил что в дрове только вм, а сам он чистенький и его не нужно распаковывать перед статическим анализом, либо ты планируешь изучать его в динамике под отладчиком, ну тогда просто земля тебе пухом. Gideon Vi пишет: Меняю автоматизированную подпись Грошь цена твоей ставке, мне не нужна подпись чтобы попасть в ядро. Gideon Vi пишет: начала вещать на отвлеченные темы Видимо ты спутал свои сообщения с моими, тс спросил про устройство ач, я объяснила как просто попасть в ядро без серта, сделать оттуда дамп чтобы получить версию без упаковки для изучения например в иде пусть и с вм, а в дальнейшем можно построить обход/скрытие через этот же канал к ядру, а вот в твоих сообщениях действительно по теме ничего нет, просто бред сумасшедшего. Gideon Vi пишет: по боку, куда он и что добавит, ты его нагибать будешь, или где. Твой серт просто отзовут. Что ты бл-ть несешь? У нормального античита проверки целостности под вм, он постоянно общается с сервером, а его компоненты связаны между собой. Чтобы "нагнуть" античит и оторвать его от игры или хотя бы отключить одну часть, нужно перебрать добрую его часть и сэмулировать всю связь. О таком в большинстве случаев не может идти и речи, поэтому цель это доступ и необнаруживаемость, а в таком случае функционал античита останется работать и придется мириться с блэклистом сертификатов. Gideon Vi пишет: где я что-то писал о загрузке не подписанного дрова Если ты не имел ввиду это, то какая польза от твоего присутствия в этой теме вообще? Получается полезной нагрузки никакой не подразумевалось, все что ты делал это просто оспаривал мои сообщения? ----- В облачке многоточия |
|
Создано: 09 апреля 2020 00:22 · Личное сообщение · #19 столько баранов ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. | Сообщение посчитали полезным: bartolomeo |
|
Создано: 09 апреля 2020 00:51 · Личное сообщение · #20 ClockMan пишет: столько баранов И ты только что пополнил их список ¯\_(ツ)_/¯ Переделывание драйвера в дллку, ах, что может быть лучше? Сымитировать импорты, пофиксить все использования регистров, привилегированных инструкций, и других сайд эффектов. Чтобы с горем пополам дойти до OEP и ... просто сдампить, отличное предложение, входит в топ 10 "как просрать время на ненужную ерунду". Я уже не говорю про то, что неизвестно сработает ли это вообще с вмпротом и какими усилиями. А потом загрузить в иду, разобраться с байпассом и внезапно понять что таки все равно нужно идти в ядро и загружать свой дров. ----- В облачке многоточия |
|
Создано: 17 апреля 2020 19:22 · Личное сообщение · #21 А зачем ползать в драйвере? Запустить следует игру без драйвера и смотреть на то, как она будет ругаться, крешиться или просто искать драйвер и дальше делать вывод уже что к чему. Может окажется что проще удалить проверку на лету или написать свой эмулятор девайса. Если же по какой-то неведомой причине в драйвер хочется залезть, ставим его в виртуалку и через удаленный отладчик (IDA +\- windbg ) смотрим чего он хочет. |
|
Создано: 17 апреля 2020 20:15 · Личное сообщение · #22 neprovad, если защита нормальная, то она должна из драйвера получать какую-либо ценную информацию, без которой софт работать не сможет. neprovad пишет: написать свой эмулятор девайса neprovad пишет: ставим его в виртуалку и через удаленный отладчик (IDA +\- windbg ) смотрим чего он хочет мне кажется, что сделать это чуточку сложнее, чем написать об этом. |
|
Создано: 17 апреля 2020 20:25 · Личное сообщение · #23 |
|
Создано: 18 апреля 2020 18:22 · Личное сообщение · #24 |
|
Создано: 18 апреля 2020 19:08 · Личное сообщение · #25 |
|
Создано: 19 апреля 2020 00:51 · Личное сообщение · #26 На виксах сейчас не заработаешь, это не актуально из за системной защиты. Все пошли в читы, там порог вхождения около нулевой и крутится бабло ----- vx |
|
Создано: 19 апреля 2020 01:24 · Личное сообщение · #27 difexacaw пишет: порог вхождения около нулевой --> Link < Все античит системы работают в связке драйвер + vmprot(themida) там порог в хождения по 10 бальной шкале не ниже 8,плюс клиентура профи делают читы только под заказ для какого не буть крутого стримера и цена одного такого чита за бугром от 3000$ ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
Создано: 19 апреля 2020 01:41 · Личное сообщение · #28 |
|
Создано: 21 апреля 2020 13:45 · Поправил: ValdikSS · Личное сообщение · #29 Bronco пишет: Но про метод загрузки без подписи и без патчинга половины своей оси тоже готов послушать. +1. надо как то разбавить техническим, а то парни опять на личку уходят. Если допускается покупка доп. оборудования — USB3380 или FPGA-платы в PCI-e + Pcileech может прогружать свой драйвер на самом низком уровне. С помощью него, в том числе, делают практически аппаратные читы для игр: | Сообщение посчитали полезным: bartolomeo |
|
Создано: 21 апреля 2020 13:51 · Личное сообщение · #30 |
. 1 . 2 . >> |
eXeL@B —› Крэки, обсуждения —› VMProtect & Kernel-Driver & Ограниченные права у процесса |