o x86, KM, MI, KDR; откат на 5.1, 6.1; недетект всяким аверским говном.

Пиздатый мотор для дебага всякой юзермодной погани. Теперь не нужно юзать ядерный дебаг, чтобы всякая хуита не вышла из под отладки. Возможность выбора сервисной таблицы.

Отлавливаются все сисколы в системе, редирект в юзермод, там наш фильтр их обрабатывает и вертает управленье в юзермод.

Возврат из ядра на адрес PEB[0xFFC], флаг по тому же смещенью в TEB запрещает обработку(по дефолту сброшен, тоесть пропускается).

При возврате имеем в rEax номер сервиса, на стеке:



Прожект с vx.security-portal.cz

3ab6_03.08.2013_EXELAB.rU.tgz - SIDE.zip

| Сообщение посчитали полезным: hors, daFix, Lacoste, Paranoid Koneko, Abraham, JKornev, DenCoder, dosprog, Coderess, Tolkin, VanHelsing

Хидеры прикрутил.



Запускать нужно сие без отладчика, иначе дбгпринты будут идти не в консольку, а в отладчик. Для /SUBSYSTEM: CUI можно сделать >> log, тогда все мессаги пройдут в фаел(в аттаче пример лежит).

15b5_18.08.2013_EXELAB.rU.tgz - Api.zip

| Сообщение посчитали полезным:

Dr0p
Думаю что благодарностей было бы больше, если бы было хоть какое-то описание для тех, кто не очень шарит в Ring0.
Я так и не разобрался как сим детищем пользоваться. Если не сложно, объясни что это вообще такое

-----
Research For Food

| Сообщение посчитали полезным:

это нужно для вирмейкеров
практической пользы для остальных это не представляет
клерк, заведи чтоль тему у себя в песочнице, о том где и как используются твои поделия кроме как прославлять твое чсв

| Сообщение посчитали полезным:

reversecode

Сисколы чтоле никогда не дебажиле ?

Если дето дёргается сискол не из стаба, то задрочитесь вы такое разбирать

daFix

Запускаем дров(\nthdrv.exe). Теперь все сисколы в системе идут через дров(там все три сст мониторятся). В целевом процессе загружаем линк на фильтр в PEB. Происходит следующее. Дёргается сискол(sysenter/int 2e). Фильтр получает управление. Делает чего нужно(логгируем, собираем инфу, скрываем чтонить етц) и обратно в ядро отдаёт управленье через бэкдор. В фильтре монитор отключается установкой флажка в TEB, дабы избежать рекурсии. Просто же.

Если не стартапится, то в \Dbg дров с полным логом.

| Сообщение посчитали полезным:

зачем что то дебажить? декомпилер со всем справляется
дебажить только мелварь надо если в ней сильная обфускация или аверов которые никчему не дают доступ - правда же?

side это api syslogger

| Сообщение посчитали полезным:

reversecode

> декомпилер со всем справляется

)))

| Сообщение посчитали полезным:

Dr0p пишет:
Если дето дёргается сискол не из стаба, то задрочитесь вы такое разбирать
пример? ах да, это же все вирмейкеры используют
нормальные приложения используют все стандартное

подводим итог,
ты пишешь двиг который больше нужен аверам для лучшего дебага мелвари
ну что ж, поздравляем с переходом в истинных хрестиян и белых маглов

кстати, а твой двиг детектит твоие же трюки для обхода аверов?
если да, то еще больший плюс ты делаешь аверам, они тебя премируют

| Сообщение посчитали полезным:

reversecode

Его базовая задача перехватывать сисколы скрытно(оно и так не детектится, но я потом допилю STPT для KDR). У вас разрыв шаблона будет, когда встретите в коде сискол, не так ли ?

..
int 2e

- давай анализь, пробуй лол. А такой код у меня даже в LWE - кодосекция перемещена с нэйтивом в буфер.

Тогда без ядерного дебаггера вы ничего сделать не смогёте. Ну а км дебаг это кривые приблуды и для таких целей их юзать это маразм.

> кстати, а твой двиг детектит твоие же трюки для обхода аверов?

Мою защиту некоторую, основанную на сисколах да.

| Сообщение посчитали полезным:

решил меня испугать прерываниями? ну лол че
int 2e ниразу не видел в прикладном софте

давай приводи софт где АКТИВНО юзаются твои сисколы которые ты так спешно исследуешь и дебажишь

| Сообщение посчитали полезным:

reversecode

Прикладной софт мне не интересен. В блокнотах не копаюсь. Если вы этим тока и занимаетесь, то явно ошиблись топиком.

| Сообщение посчитали полезным:

ах ну да. ты копаешься в авер двигателях. это вообще полный лол
копайся и изобретай дальше утилиты и текналогии для копания в аверх двигателях

софт который активно юзает int 2e, и который так упорно надо исследовать, в студию

| Сообщение посчитали полезным:

reversecode

Любую малварку не знакомую возьми. Единственный метод, через который она может от вас уйти - скрытно сискол дёрнуть.

Вот пример, не малварка, хелловорлд. Попробуй получить лог вызываемых сервисов, чтобы знать чего оно делает

Вот и оценим ваш скилл, комрад

3632_18.08.2013_EXELAB.rU.tgz - ~.zip

| Сообщение посчитали полезным: IOCTL_

любая мелварка и твой хелов ворлд - это и все?
так тебе тогда твою технологию надо на форуме аверов продвигать,
ты как всегда ошибся форумом

| Сообщение посчитали полезным:

reversecode

А вы тут защиту копаете посредством хрустального шара ?

| Сообщение посчитали полезным:

задавая такой вопрос ты видимо уже готов сказать какие защиты ты уже копал и тебе твоя технология помогла ?

значит ты готов рассписать о практическом применении твоей технологии в исследованиии защит,
о чем ранее и просил тебя daFix

клерк, ждем статьи, о том как с помощю твоей технологии ты снял защиту с любого известного пакера итд,
примеры это всегда хорошо, людям легче понять как они для себя смогут это использовать

| Сообщение посчитали полезным:

reversecode

Я тебе дал модуль, как ты и просил. Давай, займись делом. Или в обратку ?

> пакера.

Да, там типо того.

> значит ты готов рассписать о практическом применении твоей технологии в исследованиии защит,
о чем ранее и просил тебя daFix

Я ему уже ответил, мониторим нтапи. Будь ты знаком хочь чучуть с ядром, не писал бы такую чушь.

| Сообщение посчитали полезным:

чушь здесь пишешь только ты) мониторить то что нахрен не нужно
ломать феерические защиты которые придумал только ты
ресечить мелварь на форуме к которому аверы не имеют никакого отношения,
для практического примениия твои технологии не пригодны, и никто никогда их использовать не будет
продолжай дальше колотся

| Сообщение посчитали полезным:

reversecode

Короче обосрался ты конкретно

| Сообщение посчитали полезным:

обделался это ты дружок
ты разрабатываешь двиг для ресеча твоих же семплов лол
еще раз для упоротого - приведи примеры софта который нуждается в применении твой технологии, кроме твоих хелов ворлдов и мелвари

--> Link <--
огромная база прикладного софта, покажи как с помощю твоей технологии можно его ресечить

| Сообщение посчитали полезным:

reversecode!
Не трать время на этого пассажира!

Отличительные черты школьника:

зашкаливающее ЧСВ;
склонность к фаллометрии, повышенная в миллион раз;
железобетонная уверенность в первостепенной значимости поднимаемых им тем и вопросов, а также агрессивное требование внимания к себе;
бравирование своими псевдоуспехами в различных сферах деятельности
псевдомудрость и псевдоинтеллектуальность, часто сочетающиеся с высокомерной вежливостью и подчёркнутым неиспользованием обсценной лексики.
или же, наоборот, обильное использование мата в, блядь, нихуя не подходящих для этого местах и ситуациях
Энциклопедия Луркмор.

'Nuff Said!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

глубоко в душе считаю что с ним еще не все потеряно ))
всячески с 2008 года, пытаюсь его вернуть к людям

| Сообщение посчитали полезным:

reversecode

Я софт не рою, это вы должны знать. Но если у вас всё сходится на паре апи типо IsDbgPresent() и ядро не затрагивает, то это сугубо ваше дело, я в таком ущербном говне не копаюсь. Для любого не знакомого модуля я ставлю останов на шлюзе, чтобы не вышло оно из под дебага. Какими извратами вы это делаете и делаете ли вообще мне абсолютно похую. Печально что защиту пилят в вашем софте такие же желторотые скрипткидди как и вы. Да и вообще, скилла у вас нет, чтобы понять сабж.)

| Сообщение посчитали полезным:

что бы понять твой лол скил не нужен))
подытожим
- в софте ты не роешься
- в защитых ты не разбираешься
- тебя интерисуют только сисиколы и уровень ядра

ты форумом не ошибся? тебе женька выделил сервер в братиславе,что бы ты сидел как в песочнице
так что за ахтунг и ты опять лезешь по форумам?

| Сообщение посчитали полезным:

reversecode

> - в защитых ты не разбираешься
В защитах я разбираюсь получше вас всех взятых вместе. Так как я понимаю фундаментальные основы лучше вас всех. Или быть может в твоём понимании разбираться" это перечислить примитивные говнософтины..

> - тебя интерисуют только сисиколы и уровень ядра

Да, как же без этого. Есчо раз говорю, если ты задрачиваешься на менюшках и прочих окошках и не касаешься низкоуровневых вещей, это не значит что такие же тут все.

Ну а семпл выше ты так и не осилил. Я давным давно знал что ты полный нуб, собстно ничего не поменялось.

| Сообщение посчитали полезным:

Dr0p пишет:
В защитах я разбираюсь получше вас всех взятых вместе.
базара нет, ты всех на лопатки уложил
помню твои заявы на васме о том что ты готов заломать фимку за 500 еу,
потому что тебе нужно ну очень много времени что бы заресечить ее,
смотрю чсв у тебя заметно подросло с того времени

Dr0p пишет:
Да, как же без этого. Есчо раз говорю, если ты задрачиваешься на менюшках и прочих окошках и не касаешься низкоуровневых вещей, это не значит что такие же тут все.
защита низкоуровневых как ты назвал вещей лежит в драйверах которые так же просто ресечатся как и приложения ring3

твой двиг в этом ну никак не помошник,
да, аверам он наверное будет полезен, палить скрытые системные вызовы вирусни,
но большая часть пользователей - вирусы не запускает, и твой двиг им нафиг не нужен

Dr0p пишет:
Ну а семпл выше ты так и не осилил. Я давным давно знал что ты полный нуб, собстно ничего не поменялось.
смеемся дальше, кому нужен твой сепл? покажи софт который использует технологию твоего семпла?
опять мифические хелоу ворлды и мелварь?

| Сообщение посчитали полезным:

reversecode

Малварь интересна, так как там используются сложные технологии. Обычный же софт никакого интереса не представляет, так как там всё тривиально, говнокод, что на выходе, что и на входе конпиля.

Если брать в целом, вы не знаете что делает произвольный модуль(как выше) и не способны его анализить. У вас нет нужных инструментов, да и вообще навыков и знаний. Но с обычным софтом(фотошопы, плеера етц) есно незачем париться обычно, так как там всё примитивно.

> помню твои заявы на васме о том что ты готов заломать фимку за 500 еу,

А я не помню. Я никогда не барыжил и не взялся бы отбивать такую погань никада.

| Сообщение посчитали полезным:

Я вообще не пойму, из-за чего столько шума. Ну, пишет человек софт, считаете этот софт бесполезным - дело ваше, если вы его не применяете. Считаете, что малварь не нужно реверсить, или нужно, но не так - вполне нормальная точка зрения, но зачем же топик так захламлять? Хочет Dr0p писать - пусть пишет. Не хочет reversecode использовать этот софт - пусть не использует. Чего тут спорить?

Но! Мне интересно следующее - а есть такие сэмплы малвари, где нужно применять эту технологию, чтоб их (сэмлы) ресёрчить? Именно не просто прикладной софт, а малварь такая существует в природе?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL

Глянь пример выше, там ходовой мотор.

| Сообщение посчитали полезным:

здесь мелварью не занимаются
зарегь очередной ник на www.anti-malware.ru/forum/index.php‎
и продвигай народу свои наработки для борьбы с мелварью

что бы анализировать какойто модуль как ты выразился, необязательно его запускать,
но у тебя нет для этого не умений ни знаний
поэтому ты изобретаешь никому не нужные велосипеды для анализа того что анализировать никому не надо

тебя +100500 раз просили и на васме и здесь привести реальный конкретный пример примениения твоей технологии в действии, бери любой удобный софт с защитой(ты в них спец), только не хелов ворлды
и пиши статью, подробно

но как только до этого доходило, ты всегда ты сливался в выражением вы все нубы, и не шарите


| Сообщение посчитали полезным: plutos