o x86, KM, MI, KDR; откат на 5.1, 6.1; недетект всяким аверским говном.

Пиздатый мотор для дебага всякой юзермодной погани. Теперь не нужно юзать ядерный дебаг, чтобы всякая хуита не вышла из под отладки. Возможность выбора сервисной таблицы.

Отлавливаются все сисколы в системе, редирект в юзермод, там наш фильтр их обрабатывает и вертает управленье в юзермод.

Возврат из ядра на адрес PEB[0xFFC], флаг по тому же смещенью в TEB запрещает обработку(по дефолту сброшен, тоесть пропускается).

При возврате имеем в rEax номер сервиса, на стеке:



Прожект с vx.security-portal.cz

3ab6_03.08.2013_EXELAB.rU.tgz - SIDE.zip

| Сообщение посчитали полезным: hors, daFix, Lacoste, Paranoid Koneko, Abraham, JKornev, DenCoder, dosprog, Coderess, Tolkin, VanHelsing

Dr0p пишет:
Не понял вашего высера. Где детект ёба!?

Какой детект мудофил ? Товарищи модераторы вам самим не смешно смотреть на этого папуаса ?

| Сообщение посчитали полезным:

Ребята, давайте жить дружно (с)кот леопольд

| Сообщение посчитали полезным:

SegFault

Читал я эту уёбищную статью. Паганый там дельфи, примитивнейшая хуйня, галимые патчи. Какое отношение это ущербное гавно имеет к сабжу ?

Вы явно учились по этому шлаку. Так вам сразу скажу что эмсирем - эту паганую сабаку повесили, и по делом ему, он многим мозги заебал своим паскалем.

Rainbow

Ты зачислен в группу пиздаболов, я виду в уме списки.

| Сообщение посчитали полезным:

Dr0p
как же тогда работает перехват если там нет патча сдт и сплайсинга?

| Сообщение посчитали полезным:

ясное дело известная клерко технология захвата разрушеного указателя!

| Сообщение посчитали полезным:

reversecode пишет:
ясное дело известная клерко технология захвата разрушеного указателя!

Я понял -- он наверное суровый челябинец, он хукает малварь на транзисторах ))

| Сообщение посчитали полезным:

Rainbow
--> Link <--

| Сообщение посчитали полезным:

reversecode
Clerk ещё тогда неадекватно объяснялся на техническом языке. Что уж говорить об обычном. Это несколько аутичность, коей и я, в меньшей степени, но всё же страдаю...

Суть не в этом! Суть в том, что у многих, включая reversecode, Rainbow, SegFault, ... (и это я думаю только 5-10% собралось), накопились обиды на "великовысказывания" (высокомерные оскорбления с отправкой учить матчасть). У человека серьёзная проблема во взаимоотношениях с другими людьми и отчасти из-за того, что кроме ядерных или околоядерных способов решения задач, ничего не видит. Проблема также на непонятной ненависти к тем, кто на своём таланте и труде зарабатывает деньги (что Clerk не делает принципиально, судя по его постам).... Человека, пока он человек, нужно как-то лечить, а не издеваться!

Что от себя:
несмотря на его многочисленные высказывания в мой адрес, я буду беспристрастен и справедлив. Его инструмент, окрещённый названием SIDE, нужен! Причины есть:
1) reversecode, ты никогда заранее не угадаешь, с чем тебе предстоит столкнуться в будущем )
2) Этот сайт посвящён защите программ! Программами в том числе являются и малвари. Чему даже посвящён отдельный топик --> запросы на исследование вирусов <--

-----
IZ.RU

| Сообщение посчитали полезным: dosprog, =TS=, Abraham

лол же? у меня нет никаких обид ни на кого))
но посоветовашись с великими силами, было решено ему воздвигнуть очередную песочницу аля vx..чего там

какого ж Х он опять вылез из нее и опять как упоротый лезет по форумам?
потому что у пациента диагноз социопатия
вот сечас его пообсуждали, и этот пациент радуется )) но когда о нём все забывают, у него начинается очердной приступ он как упоротый опять лезет на публику

вообщем все взрослеют, обзаводятся семьями, делают карьеру, только клерк как ононировал так и ононирует на свою текналогию которая нах никому не уперлась


DenCoder пишет:
Его инструмент, окрещённый названием SIDE, нужен!
не смеши, сам клерк неможет найти ему применение уже шестой или седьмой год...

| Сообщение посчитали полезным:

DenCoder
reversecode пишет:
Rainbow--> Link <--

Ну что сказать.... афффтор испей йаду )

| Сообщение посчитали полезным:

Я как бы особо не вникал, у Клерка всё, как всегда, не очень дружество для беглого осмотра, а долго сидеть мне некогда. Но описание прочёл, и в связи с этим возник у меня вопрос по поводу разрушающего указателя, что-то я не нашёл в описании, каким способом он делается невалидным?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

reversecode пишет:
DenCoder пишет:Его инструмент, окрещённый названием SIDE, нужен! не смеши, сам клерк неможет найти ему применение уже шестой или седьмой год...
Он не может объяснить, как найти ему применение. Но за него я могу ))
Но естественно способ не использовать на реальной машине, только на ВМ!

Скажем, я сталкивался с трояндаунлоадером в 2010г. Тогда, проникнув в мою систему, он накачал за 5 минут всякого говна, и начался спам по полной - тысячи коннектов неизвестно куда, сменяющихся один за другим новыми через пару секунд. Естественно всю юзермодную часть удалил быстро, но когда увидел что систем продолжает спамить, ясно было что это проблема. Переустановка системы не подходила, поскольку было много полезных данных на системном диске. Решение от EPX0FF'а также ничего не выявляло... Через день на другом компе в режиме "хард-оффлайн" было выяснено, что подменён драйвер CD-Rom'a, запакован, извлекал при старте оригинальную часть...

Обладая тогда инструментом, который бы спалил коннекты, устранил бы проблему, не прибегая к помощи других компов. )

ARCHANGEL пишет:
что-то я не нашёл в описании, каким способом он делается невалидным?
установкой старшего бита(касаемо юзермода). В ядре - наиболее приемлемый из вариантов - NULL, но требуется запоминать каждый указатель для его восстановления, чтобы работало без бсодов.

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder
установкой старшего бита(касаемо юзермода). В ядре - наиболее приемлемый из вариантов - NULL, но требуется запоминать каждый указатель для его восстановления, чтобы работало без бсодов.

Так, ёлки-палки, это ж патч! И, плюс, что-то меня одолевают смутные сомненья. Ну да, вот сделали мы указатель невалидным, хорошо, это ж приведёт к генерации исключения. А каким образом мы сможем это исключение обработать? Опять патч idt? Получается, что без патчей - никуда!

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
можно сказать "патчи", а можно сказать и "установка обработчика исключений".

И кстати, такие трюки - самая обычная практика в системном программировании.
Например, на Pentium'aх до MMX присутствовала ошибка "Pentium F0 bug", так Intel там пришлось
"делать недействительной" часть IDT, содержащую шлюз UD#, тобы всё-таки обрабатывать эту
ошибку, но уже в обработчике Page Fault. Это уже история...

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Так, ёлки-палки, это ж патч!
У Клерка ака Инди другое вИдение и названия. В частности, он разделяет патч кода от подмены таблиц

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
Но за него я могу ))
ура! хоть один за 6 лет смог найти хотя бы ефимерное применени клерко двигов
такими темпами скоро в серию выдете ))

| Сообщение посчитали полезным:

DenCoder
Хотя, знаете, а, может быть, это видение не такое уж и неправильное. Получается патч кода плох тем, что его можно задетектить. А как его детектят? Сравнивают с эталоном и видят различия. А сравнить его можно, потому что он всегда постоянный, константный для системы. Другое дело указатели на всякие колбэки. Колбэк - это функция, функция должна где-то располагаться, например, в динамической библиотеке. А кто знает, по какому адресу должна подгрузиться эта библиотека? Мало ли, каков будет порядок загрузки + ASLR всякие, и предсказать адрес никак нельзя, значит и сравнивать затруднительно. А ещё огня может добавить и то, что сама ОС не запрещает этому колбэку находиться в разных библиотеках или не библиотеках вовсе. Также и с idt могло бы быть, но она должна принадлежать ядру - конкретному модулю ядра ntoskrnl.exe. Хотя, вполне может быть, что я не до конца понимаю суть вещей. В любом случае, Клерк читает, поправит, если мы с вами уж так заблуждаемся. Как по мне, даже плохонький конструктив лучше хорошей ссоры.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: plutos

reversecode
Ёрничать мы все умеем. И если честно, хотелось бы и на вашу сторону привлечься, против Инди. Особенно, беря во внимание --> FMOD <-- ... , где его посты безнадёжно игнорировали и впоследствии потёрли. И правильно!

DenCoder пишет:
Проблема также на непонятной ненависти к тем, кто на своём таланте и труде зарабатывает деньги (что Clerk не делает принципиально, судя по его постам)
Мало его знаю, но достаточно общался с ним, чтобы понять это. Оценивая труды кого-то, не хочу смотреть на личные отношения! Это ни к чему!

ARCHANGEL пишет:
В любом случае, Клерк читает, поправит, если мы с вами уж так заблуждаемся.
Дада, мы всё сами прекрасно знаем и видели как оно устроено. Но вот открыто только такой нашёлся выложить на обсуждение одну из своих реализаций. Немного неудачно время и надо было отношения попортить перед этим

Будущих ему реализаций! Я не считаю безнадёжным его труд )

-----
IZ.RU

| Сообщение посчитали полезным:

ARCHANGEL:
Как по мне, даже плохонький конструктив лучше хорошей ссоры.

Это правда.
Но мне кажется, что проблема в том, что здесь обсуждаются параллельно две весьма отдельные темы.

Первая, это собственно разработки Клерка. Мне лично они нравятся, как нравятся всякие абстракции независимо от того, имеют они практическое, утилитарное применение или нет.

Вторая, это хамское поведение Клерка, его ругань, нецензурная брань и т.д.
То, что человек болезненно самовлюблен не вызывает сомнений.
То, что у него мания величия и истерическая потребность в получении внимания (любого) не вызывает сомнений.
Но это уже вопрос скорее психиатрии, а не форума программистов.
Горбатого могила исправит!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
Но это уже вопрос скорее психиатрии, а не форума программистов.
Горбатого могила исправит.

Ну просто в точку. В яблочко.

| Сообщение посчитали полезным:

plutos пишет:
То, что человек болезненно самовлюблен не вызывает сомнений.То, что у него мания величия и истерическая потребность в получении внимания (любого) не вызывает сомнений.
А что если человек без этого не вдохновляется? )

Ну да ладно. Как мне кажется, разделение обсуждения началось с меня. По сему предлагаю всю нетехническую часть в дальнейшем выкинуть и продолжать исключительно по сабжу.
По сабжу - оно пока сыровато!

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
А что если человек без этого не вдохновляется? )

Это называется "граждане с нетрадиционной сексуальной ориентацией". Но если гей выйдет в поле десантников, где другие порядки и взгляды и начнет пропаганду ессно результат известен. Образно выражаясь сйечас он публично демонстрирует свое нетрадиционное достоинство, в обществе нормальных людей, результат опять же известен и налицо.

| Сообщение посчитали полезным:

ARCHANGEL

Патч это модификация кодосекций, частей пе фаелов имеющих атр R/E. Это вредоносно, детектится и выпиливается тривиальным сравнением копии на диске.

Я не использую шлюзы в IDT, это также палево, чисто в целях отладки(помню вы что то такое пытались замутить) можно заюзать, реализация примитивна - морфим в буфер любой системный шлюз из таблички. Мы поимеем полноценный код, формирующий т-фрейм.

Не охота обьяснять подробности. Используются таблицы аргументов сервисного диспетчера. Их никто не трогает, ибо накой они кому нужны - это не ссылки на код, в отличие от массива векторов в той же сст. Сам фолт хэндлится в KDR(KiDebugRoutine). В следующем апдейте будет использован STPT механизм, ссылка будет системной(для фундаментального недетекта, ато мало ли что).

> Хотя, вполне может быть, что я не до конца понимаю суть вещей.

Именно. Помню вы трассировать ядром кодес хотели. И не понимали, что его можно по одной инструкции выполнять - альтернатива трейсу, никаких фолтов. Узко просто сморите

reversecode

> сам клерк неможет найти ему применение

Сто раз уже сказал зачем. Ты бот какой то, не иначе.

DenCoder

> По сабжу - оно пока сыровато!

Что именно сыро ?

Единственная нестабильность, которая там есть и которую вам знать не нужно связана с отсутствием проверок ссылок на стек. Сформировав специальные аргументы можно порушить ось и поднять привилегии. Но это же не аверский фильтр, так что про это можно забыть.

> установкой старшего бита(касаемо юзермода). В ядре - наиболее приемлемый из вариантов - NULL, но требуется запоминать каждый указатель для его восстановления, чтобы работало без бсодов.



| Сообщение посчитали полезным:

Антидебаг на сабжевом моторе.

eff9_19.10.2013_EXELAB.rU.tgz - Filter.zip

| Сообщение посчитали полезным:

Перепилил чуток. Обход(отладчик скрывает) следующие методы:



ec74_21.10.2013_EXELAB.rU.tgz - Pub.zip

| Сообщение посчитали полезным:

Затестил кто ?

Добавил лог таймеров и есчо пару фич.

b771_22.10.2013_EXELAB.rU.tgz - Pub.zip

| Сообщение посчитали полезным: drone

Большой апдейт, полноценный rdtsc монитор/эмулятор, оптимизировано быстродействие, зафиксилось несколько дедлоков. Прототип фильтра изменился, ридми в некоторых моментах не актуально.

--> Link <--

| Сообщение посчитали полезным:

что ж вы такие крутые моторы пишете и в кишках венды разбираетесь лучше чем сам некрософт, а такое гавно болтается в памяти и еще там что-то нехорошее, которое сразу выпиливать надо:

jusched.exe
jqs.exe
googlecrashhandler.exe

| Сообщение посчитали полезным:

int_256

Оно не мешает, так что пусть висит.

| Сообщение посчитали полезным:

Ядерную часть немного допилил, бэкдор добавил для быстрой загрузки кода из юзермода и выполнения его в ядре. Нужно в частности что бы инфу доставать(нп стек колбеков тени полистать).

Что за херня с аттачами

5bc5_22.11.2013_EXELAB.rU.tgz - SIDE.zip

| Сообщение посчитали полезным: