o x86, KM, MI, KDR; откат на 5.1, 6.1; недетект всяким аверским говном.

Пиздатый мотор для дебага всякой юзермодной погани. Теперь не нужно юзать ядерный дебаг, чтобы всякая хуита не вышла из под отладки. Возможность выбора сервисной таблицы.

Отлавливаются все сисколы в системе, редирект в юзермод, там наш фильтр их обрабатывает и вертает управленье в юзермод.

Возврат из ядра на адрес PEB[0xFFC], флаг по тому же смещенью в TEB запрещает обработку(по дефолту сброшен, тоесть пропускается).

При возврате имеем в rEax номер сервиса, на стеке:



Прожект с vx.security-portal.cz

3ab6_03.08.2013_EXELAB.rU.tgz - SIDE.zip

| Сообщение посчитали полезным: hors, daFix, Lacoste, Paranoid Koneko, Abraham, JKornev, DenCoder, dosprog, Coderess, Tolkin, VanHelsing

reversecode

> необязательно его запускать,

Обязательно, иначе придётся неделями полностью весь код отбивать.

> тебя +100500 раз просили и на васме и здесь привести реальный конкретный пример примениения твоей технологии в действии, бери любой удобный софт с защитой(ты в них спец), только не хелов ворлды

Возьми любой софт, вашим тимом крякнутый или кейген и ты с вероятностью 98% инфицируешь систему. А как же иначе, ведь там будут не только вызовы виньапишек :D

Кстате ядерный дебаггер тоже подходит под категорию - выкинь нах, не так ли ??

У пару лет назад ось слетела, дебажил зероаццесс(или софтина какая с ним была, не помню точно; не на варе). Так вот не ту кнопку тыкнув в ольке наебнулось всё. Потому что там были хитровыебанные методы.

| Сообщение посчитали полезным:

неделями и больше это только ты можешь аверов ресечить

ядреный дебаг тоже не очень нужный

практическое примение твоему дивигу от тебя я услышу? или будешь дальше игратся в дурачка?

| Сообщение посчитали полезным:

reversecode

Для тебя сабж не имеет практического примененья.

> ядреный дебаг тоже не очень нужный

Не удивительно.

| Сообщение посчитали полезным:

остаюсь в теме и жду ответов от тех для кого сабж имеет практическое применение
врядли такие найдутся, с 2008 года их досих пор не видно

| Сообщение посчитали полезным: Abraham

>>vx.security-portal.cz:
>>VX: На курятнике решили, что Инди выложил свои движги на вудмане и экселабе, жаль (или не жаль), что они так и не узнают, что там дампы, а здесь исходники + дампы.
>>Indy: Есно сурсы только тут .

DrOp, так на что же тут смотреть?..

| Сообщение посчитали полезным:

dosprog
На илитный бинарь же. Нужно распечатать дамп и обклеить стены. Заюзать сие все равно никто из нас не сможет, ибо мы - тупые маглы и не знаем матчастей...

| Сообщение посчитали полезным:

Скопировал на виртуалку с win xp папку IMAGE_SUBSYSTEM_CUI запустил батник, создался пустой файл лог.тхт.
Вывод: очередное работающее только на ЭВМ клерка гуано

| Сообщение посчитали полезным:

dosprog

Вам сурсы видеть не положено. Не доросли вы есчо до сабжа. Освойте виньапишки для начала. Да и накой вам ядерные сурсы, всёравно нихуя в них не поймёте.

| Сообщение посчитали полезным:

SegFault

Надо вначале дров запустить лоол

| Сообщение посчитали полезным:

а с бубном вокруг кампека поплясать не надо?
учи как драйвера грузить лол http://msdn.microsoft.com/en-us/library/windows/desktop/ms685141%28v=vs.85%29.aspx
потом релизь что-либо

| Сообщение посчитали полезным:

SegFault

Ахаха ну и идиот

| Сообщение посчитали полезным:

идиот это тот кто релизит год от года никому не нужный хлам для winXP написанный на асме х86, да еще и оформлять не научился свои поделки. Даже те полтора землекопа которые захотят из любопытства посмотреть на релиз выкинут его увидев кучу левых файлов с которыми непонятно что делать. Шлак короче, выкинут в корзину. Судя по лог.тхт любой вин-апи логгер делает это унылое поделие влегкую

| Сообщение посчитали полезным:

неполенился скачал nthdrv.sys запустил через kmdmanager, тоже самое пустой лог.тхт. Давай бубен индий!!!

| Сообщение посчитали полезным:

SegFault

Там всё что нужно для запуска есть, откатано на XP, 7 и 8 многократно. Какие тебе запуски, неуч. Иди уроки делай. Такого пиздеца я есчо не видел

| Сообщение посчитали полезным:

Ты пишешь, что нужен драйвер. Запускаем nthdrv.sys через кмдменеджер, видим что он успешно загрузился. Дальше запускаем IMAGE_SUBSYSTEM_CUI\Run.bat он запускается, выдает мессажбокс. Но log.txt пустой.

Скорее всего ты не умеешь обрабатывать свои ошибки, поэтому даже в случае неудачи твой говнокод продолжает работать, вместо корректного вывода сообщения об ошибке. Собственно все малварщики мнящие себя гениями на деле оказываются говнокодерами.

А в случае упоротых типа тебя пишущих на голом асме неудивительно, что на входе компелятора элитные асм коды (овощи не поймут) а на выходе - неработающее говно.

Но тут индий самое время сказать: вы все нубы, и не шарите или неуч. Иди уроки делай

| Сообщение посчитали полезным:

SegFault

> Запускаем nthdrv.sys через кмдменеджер, видим что он успешно загрузился.

Номер IOCTL'а для ручного запуска икона твоя выдала чтоле ёба. Иди еби гусей дальше.

| Сообщение посчитали полезным:

Видимо телепаты должны были понять, что запускать нужно nthdrv.exe. Но чтобы телепатов сбить с пути ты положил туда же еще и KmdManager.exe? Да ты упорот

Вот теперь шлак заработал, выдал спам в логах. Только вот нет шадоу вызовов, да и обычные вызовы тоже не полны. Последний вызов должен быть NtTerminateProcess. А в твоем шлаке последние вызовы:



| Сообщение посчитали полезным:

SegFault

Монитор в не нэйтивной в дллке, там есть деинит. Посему до терменейта оно не дойдёт. Шадов я не обрабатывал(накой нужны тонны NtUserSendMessage etc), он обычно не нужен. А про шлак я не понял, аналога нет. Только ядерный дебаг и пиши вручную скрипты.

А kmdm я туда запулил, так как вы не стартапите повторно дров после ребута(так как он не деинсталится).

| Сообщение посчитали полезным:

Что-то я не понял... При помощи логера натив апи это типа тут предпринимается попытка предотвращения вторжения малвари или что ??

| Сообщение посчитали полезным:

Rainbow

Да. Точнее мониторятся нтапи на уровне ядра.

| Сообщение посчитали полезным:

Ну и на каком принципе основан мониторинг системы ? Обычным хайджеком etc? Ну если так, то действительно софт врятли имеет право на жизнь... Т.к. Ring0 сплоиты никто не отменял. и хер там подступишься к телу коня при грамотном раскладе.

| Сообщение посчитали полезным:

Dr0p
почему с твоим хелловордом не работает (пустой лог) ?
создавал другой батник и переименовывал в Test.exe..

| Сообщение посчитали полезным:

))
bizdon,
DrOp устал. Это ж надо, такие сложные программы составлять...

Вкратце,
его примОчка работает так:

1)
устанавливаете драйвер: C>nthdrv.exe
Это - реквест на загрузку nthdrv.sys.
Если всё прошло успешно, то ничего не произойдёт. Тишина.
Иначе вылезет бокс с сообщением, что драйвер не может быть зарегистрирован.

2)
Запускаете тот самый RUN.BAT
,из которого запускается TEST.EXE >log.txt.
Эта test.exe подгружает FLT.DLL и выводит бокс с надписью "psapi.dll".
Жать "Ок" не нужно. Пусть висит.
Протокол льётся в файл log.txt.
В этот момент засекаем его размер.

3)
А вот теперь запускаем этот самый "хеловорд" .
Как только завершим этот "хеловорд" и следом же и TEST.EXE -
увидим полный лог вызовов в файле log.txt.
Это вызова, сделанные при загрузке TEST.EXE->FLT.DLL и вдобавок те,
которые сгенерировал "хеловорд".

Оччччень удобно...
------------------------------------------------------------------------------------------------------------
))DrOp может угадывать, сколько времени ушло на получение сорса из 4Кб текста.

Вообще, должен сказать, что такие "сырые" вещи если и выкладывать,
то с исчерпывающими комментариями и полным сорсом.
Иначе - только занимать бестолку чужое драгоценное время.

| Сообщение посчитали полезным:

Rainbow

> Ну и на каком принципе основан мониторинг системы ?

KDR. Нет никакого смысла тут что либо обьеснять, если вам интересно, сморите семпл, который я дал выше в аттаче. Если вы поймёте, я дам вам инвайт на свой форум, где не поленюсь вам всё обьяснить.

dosprog

Почему всегда так трудно

Во первых сабж является викс мотором, его базовая задача - в обход аверских детекторов перехватывать всю юзерскую систему. Общение её с ядром идёт через системный шлюз.
Во вторых фильтр я дал вам открытый, с исходным кодом, специально для того, чтобы те, кому это интересно, смогли разобраться. Там всё абсолютно прозрачно.
Дров всего лишь оболочка, минимально необходимая для стартапа. Сам же мотор является микодом, это самодостаточный код, ему не нужен пе-фаел. Стартапь дамп откуда хочешь на пассиве. Для диагностики есть отладочный билд, который выводит тонну мессах, сообщающих причину фейла. Он может быть в случае, если оригинальное загруженное ядро модифицированно, тоесть патчи всякие. Мотор не грузит ядро с диска, это реализуется за минуту, но тот код, который парсится никто не изменяет. А по сему нет смысла утяжелять.
Батник нужен для запуска консольного модуля. Тогда csrss может выполнять его команды. В данном случае это редирект консольного вывода в файл. Там накапливается полный лог, каждое обращенье к ядру. Консолька сделана не просто так. Если ты посморишь в сурс, то поймёшь надеюсь. При вызове DbgPrint() в зависимости от наличия порта вывод направляется либо в ядро, либо генерится фолт при наличии порта. Этот фолт обрабатывает дебаггер. Оказалось что строку из нескольких десятков символов они обработать не способны, в частности олли не может обработать перенос каретки(CRLF). Поэтому в ней выводить текст не приемлимо.
Любой произвольный код может дёрнуть к примеру NtRemoveProcessDebug и отлаживаемый код выйдет из под отладчика. Вне апи, вне стабов(Zw) это нельзя отследить вне ядра. Сабж это делает. И делает пиздато.
Хелловорлд запилен как простейший пример. Не пойму чем эта апи вам не нравится. Она затрагивает шадов, тоесть вызовы и из него фильтруются. Тут мне нечего сказать.

> ))DrOp может угадывать, сколько времени ушло на получение сорса из 4Кб текста.

У меня сотня кб мгновенно создаётся. Причём система тормазнутая пиздец.

> Вообще, должен сказать, что такие "сырые" вещи если и выкладывать,

Это полноценный релиз. Да, есть один нюанс. Это ссыль на фильтр. Но конфликты будут только с моим кодом. Посему это не существенно. Можно выделить левый буфер под это дело. Но накой оно надо..

> Иначе - только занимать бестолку чужое драгоценное время.

Проходите мимо. Вот я например ваши юзермодные тулзы и прочее ламерское говно не юзаю и не обращаю внимания на такие вещи. Если для ваших целей инструмент не пригоден, то не считайте что он не нужен другим. Вообще он вылажен для тех, кто работает с нэйтивом. Выше - проходите мимо. Я не понимаю схуяле вы срёте глыбами тут

| Сообщение посчитали полезным:

Dr0p пишет:
KDR. Нет никакого смысла тут что либо обьеснять, если вам интересно, сморите семпл, который я дал выше в аттаче. Если вы поймёте, я дам вам инвайт на свой форум, где не поленюсь вам всё обьяснить.

Ты хочешь сказать ты изобрел новый способ перехвата, отличающийся от существующих ? Ну не знаю... На сегодня все способы перерхвата восстанавливаются самым примитивным образом. Даже SSDT.

| Сообщение посчитали полезным:

Rainbow

Я это изобрёл" когда ты есчо не знал что такое ядро, IDP метод древний как динозавры. И вы это хуй чем задетектите, не говоря уже про выпил. Массив сервисов я не трогал в сст. Это вы не начто более не способны, кроме как портить в памяти модуля(тот же патч сст). За это надобно сразу руки отхуяривать.

> На сегодня все способы перерхвата восстанавливаются самым примитивным образом.

На сегодня аверы у меня хуй сосут. Да и ваще, давай в студию пример детекта и выпила. Есчо один обосрался ?

| Сообщение посчитали полезным:

Dr0p
ms-rem еще в 2005м хучил функции ядерные, ты через 8 лет смог повторить и хвастаешься? ну молодец чо

| Сообщение посчитали полезным:

Dr0p пишет:
Я это изобрёл" когда ты есчо не знал что такое ядро, IDP метод древний как динозавры. И вы это хуй чем задетектите, не говоря уже про выпил. Массив сервисов я не трогал в сст. Это вы не начто более не способны, кроме как портить в памяти модуля(тот же патч сст). За это надобно сразу руки отхуяривать.

Дедуль тебе явно на пенсию пора.. Песок из жопы видимо уже сыпется.. Ну так поведай миру о своем гениальном изобреетений ))) Патент на способ, кандидатская диссертация и т.п. Хотя о чем я говорю... Наверное придется сперва учебник русского языка за 5 класс изучить )))

| Сообщение посчитали полезным:

SegFault

Пруф или пиздабол!

Rainbow

Не понял вашего высера. Где детект ёба!?

| Сообщение посчитали полезным:

Dr0p
гуглить не умеешь шайтан? http://www.cracklab.ru/download.php?action=get&n=NTkw

| Сообщение посчитали полезным: