o x86, KM, MI, KDR; откат на 5.1, 6.1; недетект всяким аверским говном.

Пиздатый мотор для дебага всякой юзермодной погани. Теперь не нужно юзать ядерный дебаг, чтобы всякая хуита не вышла из под отладки. Возможность выбора сервисной таблицы.

Отлавливаются все сисколы в системе, редирект в юзермод, там наш фильтр их обрабатывает и вертает управленье в юзермод.

Возврат из ядра на адрес PEB[0xFFC], флаг по тому же смещенью в TEB запрещает обработку(по дефолту сброшен, тоесть пропускается).

При возврате имеем в rEax номер сервиса, на стеке:



Прожект с vx.security-portal.cz

3ab6_03.08.2013_EXELAB.rU.tgz - SIDE.zip

| Сообщение посчитали полезным: hors, daFix, Lacoste, Paranoid Koneko, Abraham, JKornev, DenCoder, dosprog, Coderess, Tolkin, VanHelsing

priag

> поменять flt на шаблон (последнее сообщение), то будет ошибка

Конечно, это разные модуля с разным функционалом. Зачем вы это делаете ?

Сабж работает не в длл, это дровина. Дллка сам фильтр. Она подгружается при старте процесса, загружает ссылку на фильтр в PEB после инициализации(это старт фильтрации). Далее все обращения к ядру(за исключением некоторых, но это не сисколы) идут через фильтр, он нужные отслеживает.

| Сообщение посчитали полезным:

>Конечно, это разные модуля с разным функционалом. Зачем вы это делаете ?

хотел сделать вывод сообщений не в отладчик, а в файл. Понимаю, что дллка это фильтр, поэтому и хочу подгрузить куда-нибудь эту либу (хоть через инжект при старте), чтобы логировать в файл хоть что-то, но пока вижу, что нужно достаточно много закодить (прежде чем закодить разобраться в этом фильтре и в вызовах).

| Сообщение посчитали полезным:

> хоть через инжект при старте

Зачем, если она как верифер грузится

| Сообщение посчитали полезным:

ну я написал там "хоть через инжект" причем в скобках - указывая на то, что по барабану механизм попадания длл в друзья к процессу, лишь бы работало как-то...
в принципе, у меня получилось воспроизвести изображение из 21 сообщения, но по дальнейшим прикидкам, чтобы сделать на данном моторе мониторинг действий для исследования деятельности малвари (как на первой странице позиционировался продукт) нужно еще кодить и кодить...

>Добавляете ссылку в массив нтапи(ZwList[]) на имя и хэш от имени. В батник дописываете свой >обьектник(.obj) и дефейните прототип(public/extern blabla)
малопонятно, если честно. хотелось бы помочь допилить хоть до какого-то результата, а то и это изделие останется лишь любопытным концептом...

В ZwList объявлена вроде как
ULONG 0ED209DAEH, pNtTerminateProcess
а я пытаюсь процесс через сисентер прибить - прибивает, а в логе ничего...
то ли я..., то ли лыжи...

| Сообщение посчитали полезным:

priag

> мониторинг действий для исследования деятельности малвари (как на первой странице позиционировался продукт) нужно еще кодить и кодить...

Что там кодить, тупо забивать имена апишек и аргументы. Чисто машинная работа.

> пытаюсь процесс через сисентер прибить - прибивает, а в логе ничего...

Фильтрация не происходит. Мотор не запущен, в процессе фильтрация не запущена(есно в убивающем), отладочный вывод отключен етц. Мб отладчиком глянуть ?

> малопонятно, если честно.

Что именно вам не понятно, как структуры дефейнить, инлайн асм юзать(хз на чём вы там "кодите", дельфя вероятно..) ?

Дёргается ваш сисентер, управление получает указанный код. Он определяет имя сервиса по его номеру и выводит лог как вам угодно. Мне уже надоело это повторять. Приемлемо зная язык(асм, си, да хоть васик) ваш этот лог пилится на автомате за секунды для каждой апи.

| Сообщение посчитали полезным:

priag

Добавил конвертор статуса и немного апишек в лог:



f83e_06.12.2013_EXELAB.rU.tgz - Model.zip

Иногда криво выводит, это походу первая олли захлёбывается или не успевает обрабатывать, хотя ведь синхронно наверно

| Сообщение посчитали полезным: DenCoder, priag, JKornev

Кто хочет может присоедениться, залью весь пакет для билда. Надо довольно много апи описать.

| Сообщение посчитали полезным:

Вот полный пакет(минимально необходимая часть для сборки).

--> Link <--

Забыл, пасс vx.

| Сообщение посчитали полезным:

Dr0p, скачал ваш плагин, который вы мотором обозвали. Почему кстати ?
Как им пользоваться, чтобы скрыть олю ?
Куча файлов в архиве, что запускать и в какой последовательности ?

| Сообщение посчитали полезным:

kola1357 пишет:
скачал ваш плагин
Это уг, но никак не плагин.
kola1357 пишет:
Как им пользоваться, чтобы скрыть олю ?
Проще пропатчить олю, а пропатчить от детекта в ней можно много чего.
kola1357 пишет:
вы мотором обозвали
Мотор - это типа движок, энджин.
kola1357 пишет:
Куча файлов в архиве, что запускать и в какой последовательности ?
Брось эту затею и удали это уг.

| Сообщение посчитали полезным:

kola1357

Да чо ты тупишь. Там нет кнопочки "Скрыть олле и получить профит". Это очередной пак гавна от известного афтара. Поясняю человеческим языком, что это и что оно делает.

Сей мотор это вершина творчества Инде в которой он совместил свои предыдущие двиге типа IDP и прочие буквенные сочетания, окончательно победил аверов, накатил и пыхнул.

Вы создаете длл, регистрируете ее как верификатор выбранного приложения (малоизвестная возможность дебага из ntdll - используется "Image File Execution Options" с ключем "VerifierDlls", называется это Application Verifier).

В этой самой длл вы скурпулезно кодите весь свой гавнокод, т.е. каждую функцию которую вы хотите "покрыть" этим супердвиглом. Супердвигло же, используя жесточайшие хаки в памяти и всевозможное "маршрутизации" вертает сисколы на *уе, выводит их в дебаг принт с параметрами и типа позволяет модифицировать результат исполнения "прозрачно" для caller'a.

И все это запилено в лучших традициях "войны с аверами", чтобы не задетектеле они, чтобы задетектеле их мы и т.д. так победим.

В итоге мы имеем: гору отвратительного X86 мусора, шаблоны, которые интересны только самому афтару и его немногочисленным адептам, тонну батхерта афтара на форумах, где не знают, что с этим делать. Как и в случае с IDP, чтобы только заставить это дать хотя бы какой-то результат нужный вам придется написать тонну такого же мусора, потрахаться в отладчике чтобы это заработало и хорошенько накатить лсд для успеха.

Не ипите мозг - патчьте дебагер.

| Сообщение посчитали полезным: Hellspawn, Gideon Vi, GroundHog, egyp7

Аффтору надо написать пример использования этого и пример длл, которая будит налету менять несколько апи. И выложить все это с исходниками и пояснениями.
Но, даже изменив работу апи и сисколов, есть куча других способов детекта. Половина детектов не завязанна на вызов апи. Инде походу пропил свой мозг и вбрасывает обычный руткит, как хайд для отладчика.

| Сообщение посчитали полезным:

Nightshade пишет:
Аффтору надо написать пример использования этого и пример длл
Пусть длл скомпилирует для ольки, зачем так мозг всем выносить. Да кстати он пытается обмануть аверу (антивирусы ?) зачем ? Он крекер или вирусописатель ? Мне как любителю реверсить программки не понятно, зачем прятать от антивируса их.

| Сообщение посчитали полезным:

Если кому не лень зарегаться там, то может инде про это толковал? Вроде похоже на хайд.
http://vxtech.in/f/showthread.php?tid=135
Правда почитав тему, оказывается что данная тема может приводить к произвольным падениям процесса

| Сообщение посчитали полезным:

Инде много о чем толковал, но нам это не доступно. Нет соответствующего кол-ва мухоморов в крови.

| Сообщение посчитали полезным:

Gideon Vi пишет:
Инде много о чем толковал, но нам это не доступно. Нет соответствующего кол-ва мухоморов в крови.
Судя по предыдущим постам в этом теме, эта погань содержит в себе руткит.

| Сообщение посчитали полезным:

ThugboyZ пишет:
Судя по предыдущим постам в этом теме, эта погань содержит в себе руткит.

ну так они сама - суть руткит, по крайней мере так Инде уверяет. Или имеется ввиду закладка в том, что здесь выкладывалось?

| Сообщение посчитали полезным:

Gideon Vi пишет:
ну так они сама - суть руткит, по крайней мере так Инде уверяет. Или имеется ввиду закладка в том, что здесь выкладывалось?
Имелось ввиду то, как он описывает своей ядреное барахло.Сама технология же работает по методу руткита - отловил -> перехватил -> вернул -> скрылся.А то, что он везде пытается скрыться от аверов означает ли что, что его говнокодес явно содержит в себе вкусняшки.Кто-нибудь сознательно там копался ?

| Сообщение посчитали полезным:

там куча кода, который скомпилированный вызовет нервную реакцию у эвристики параноидальных ав

https://www.virustotal.com/en/file/9275ca301124f8de96aff49cd7988bce96e45a5f96662b5b3711fefda5a56ed0/analysis/1403884878/

алгоритм поведения пациента, взято с выборки его постов на илитном форуме.

1) Им кодится какое-нибудь гавно с криками "смерть аверам! аверам смерть!" причем не важно что это.
2) Скомпиленный бинарник пациентом отправляется на вирустотал. Казалось бы зачем? Это все равно что отдать его этим самым аверам в руки.
3) Какой-нибудь урод типа Аваст или АВГ с Авирой нервно реагирует на его "микоды" и "моторы", потому что они содержат совершенно не типичный для обычных программ код, который больше похож на тот, что встречается в крипторах. Если есть детект авер сразу провозглашается мишенью номер один и укатывается ни один пакетик наркоты для его "обхода".
4) Нет детекта на вирустотал? Пациент провозглашает очередную окончательную победу над аверами и идет накуриваться, потом накуренный или обколотый бродит по форумам и посылает всех нах.
5) В это время аверы забирают гавно через vt-api и отправляют это дятлам-роботам. Какой-нибудь из них лепит детект.
6) В ходе очередного залива на вт внезапно обнаруживается что файл детектится как малварь каким-то авером (http://wasm.ru/forum/viewtopic.php?id=46746&p=1). Начинается форумная истерика и очередная перемога.
7) goto 1

Если вы не обратили внимание то на илитном форуме у него зареганы сплошь и рядом криптовщики, видимо, те которые сами ничего не могут и которым нужно по быстрому вставить в свой палевый румынский криптор свежую антиэмуляцию.

А так его поделия относительно безопасны. Ну хотя бы потому, что они не работают по большей части нигде.

| Сообщение посчитали полезным: elch

Поменьше, господа, говорите.
Если есть какие-то нездоровые сомнения - реверсните и посмотрте чего там и как.
А то вроде как похулил программки чела - и сам в своих же глазах и вырос.

Нездраво это имхо.



| Сообщение посчитали полезным: bizdon

dosprog пишет:
Поменьше, господа, говорите.

есть что сказать по делу - говорите. А нет, так воспользуйтесь своим советом.

| Сообщение посчитали полезным: unknownproject

Alchemistry

> Сей мотор это вершина творчества Инде в которой он совместил свои предыдущие двиге типа IDP и прочие буквенные сочетания, окончательно победил аверов, накатил и пыхнул.

Да, это предел возможностей. Нет больше идей, всё уже реализовано.

Не нужно кодить. Тоесть есть модуль для анти анти дебага. В нём есть куча опций. Для разных защит нужны разные методы. Взять тот же рдтск - сайд его обрабатывает. Более того, создан далеко не типичный механизм. Оказалось и было ожидаемо что обработка фолтов слишком медленна. Инструкция отслеживается, полноценно раскодируется и модифицируется. Далее эмуляция мгновенна без обращений к ядру. Есно это не всюду прокатит, есть самопроверки. Для этого введены опциии конпиля.

Хаки в памяти. Код тежёлый, да. Думаю врятле кто способен осознать механизм маршрутизации тут. Выносящая мозг технология. Но слищком эффективна.

Nightshade

И снова советуем вам изучить, прежде чев вещать о том, чего не понимаете. Да, сайд руткит. Но механизмы его могут использоваться в разных целях. Любой код, скрывающий отладчик это руткит. Так как отладчиком может быть любой процесс. Любой годный код будет являться руткитом, иначе это я обещаю читать больше книжек типо фантома.

Alchemistry

Детекты. Зачем лезть туда, где ничего не понимаете. Суть ваших действий. Вы берёте машинный дамп и заливаете его на вт. Что может сделать с ним авер ?
Он может только дамп проверить на статические сигнатуры. Он не знает еп и аргументы, не может запустить код на вм. Далее код не выполняет никаких подозрительных действий, впрочем их авер не может проверить. Это не малварь. Это же совсем надо быть долбоёбом чтобы взять произвольный машинный дамп залить на тест и давать на его результаты. Фейковые аверы на этом паляться - нет импорта - детект, ты чувак совсем я обещаю читать больше книжек. Вначале узнай что есть мотор.

Микод не содержит в себе данных. Код готов для мутации. Мотор морфится, криптуется, добавляется импорт рандомный, иногда деконпилится, прицепляются анти вм, долинковывается тонны говна и потом выполняется тест. Но позорному ксакепу и клабу эти техники не знакомы. Вы раковая опухоль в мире кодеров..

| Сообщение посчитали полезным:

Dr0p

От модератора: следите за речевыми оборотами, последний раз предупреждаю, без оскорблений и переходов на личности. В следующий раз будет перманентный бан.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Dr0p ты раньше имел архив всех своих коментариев и программ с исходниками на яндексе, ты его и записи случайно не обновлял ?! Где его можно скачать сейчас?!

| Сообщение посчитали полезным:

Hellspawn пишет:
От модератора: следите за речевыми оборотами, последний раз предупреждаю, без оскорблений и переходов на личности. В следующий раз будет перманентный бан.

Да, давай весь форум бань )))) И тогда точно кроме запросов на взлом сюда ходить незачем будет. Я просто поражен нынешнему положению вещей. Говнотоп держишь открытым, грамотным людям снижаешь репу и грозишь баном, при этом трешь и закрываешь посты не понятно по какому принципу, потому что так хочется. Таким образом форум превращается в сливную яму, где даже новичкам помочь некому, потому что топы сразу давятся а грамотные люди уже я так понял давно сюда не ходят - так как незачем.

P.S. Твой бан обходится 2 действиями в браузере. И поверь мне, кому надо - тот найдет способ восстановить доступ. ИМХО. Ничего личного, только факты. Если ты арчер и имеешь полномочия, то хотя бы не считай себя Брюсом всемогущим, больше лояльности.

| Сообщение посчитали полезным: Barh4n

Rainbow пишет:
Да, давай весь форум бань ))))
Гуру.Я все знания приобрел не здесь, к примеру, а сидеть тут начал, спустя 8 лет, написавши кучу трейнеров, редакторов сэйвов и отреверсивши кучу прог etc.Я вправе демонстрировать свои знания тут ? Нет.Это дело каждого.
Rainbow пишет:
грамотным людям снижаешь репу
За грамотных людей ничего не скажу, но если человек позволяет себе открытое хамство или крысиные насмешки на своем детище aka one man forum, то ему здесь не место.Мои минусы обоснованы, к примеру, я знаю все свои косяки.
Rainbow пишет:
Твой бан обходится 2 действиями в браузере.
Смена юзерагента и ника - профит ? Натяжка впн, покупка, чек анонимных проксей ? Тор ? Собственный прокси гейт ? Давай, поучи нас еще.Движок самописный, вероятно у кодеров и тех, кто занимается безопасностью, недостаточно технических знаний, но не в этом суть.Хэллспаун и арчер были единственными, кто абсолютно безвозмездно кодил в течение 6 лет плагин для ольги, который скрывал неплохо отладчик, но стоило тут появиться какому-то прыщу с аватаркой девочки-анимешки, который везде брызжет ненужными кроме него терминами и не знает других слов, кроме мата и тут же появляются шестерки, готовые вылизать ему чсв.
Я уже отмечал, но скажу еще раз - если человек не способен объяснить доступным языком то, что он делает/сделал etc, неважно софт это, плагин, записанное видео, на котором он базарит, то он не специалист, а лох, так как то, что он сделал непонятно никому, кроме него.Я кончил.
Ах да, я пришел сюда с античата, если что.
PS.Мне 23 года, если что.Я даже проходил военную службу в вооруженных силах РФ с июля 2012 по июль 2013 года.Школьник я или нет - это сугубо мнение каждого.Дискуссия на этот счет не имеет смысла.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: Gideon Vi

Rainbow вы неадкват, мне вам нечего объяснять, вас тут не держут насильно.
p.s. читайте вдумчиво пост unknownproject

никакой лояльности неадекватным личностям, которые всех подряд поливают гоуном здесь не будет.
дальнейшее обсуждение будет выпиливаться, как оффтоп.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: kola1357, DimitarSerg, unknownproject

Видимо мы друг друга не поняли ))) Причем и я и вы )))) Я был одним из инициаторов удаления этого говна и закрытия ветки. Причем, объясняю по пунктам.

1. Имелся ввиду ранг (основано на наблюдениях) unknownproject
2. Причем, я сперва подумал что порезали-таки hellspawn'а пост ))

Я просто ща под столом валяюсь :D

Я сам на этом форуме с 5-6 года и вижу что тут происходит с перерывами, но опять же хочу привлечь внимание к тому что сейчас реально контингент где-то и что-то свершений конкретных не видно.

| Сообщение посчитали полезным:

Rainbow пишет:
сейчас реально контингент где-то и что-то свершений конкретных не видно.

"А сегодня, в завтрашний день, не все могут смотреть Вернее смотреть могут не только лишь все, мало кто может это делать." (с) Великий Политик

p.s.: Извините, не удержался

| Сообщение посчитали полезным: ThugboyZ, dosprog

Оля не запущена,хуков нет, все несистемные процессы убиты.
SiDE_EPiC_FAiL

PS.No driver - no test

| Сообщение посчитали полезным: