o x86, KM, MI, KDR; откат на 5.1, 6.1; недетект всяким аверским говном.

Пиздатый мотор для дебага всякой юзермодной погани. Теперь не нужно юзать ядерный дебаг, чтобы всякая хуита не вышла из под отладки. Возможность выбора сервисной таблицы.

Отлавливаются все сисколы в системе, редирект в юзермод, там наш фильтр их обрабатывает и вертает управленье в юзермод.

Возврат из ядра на адрес PEB[0xFFC], флаг по тому же смещенью в TEB запрещает обработку(по дефолту сброшен, тоесть пропускается).

При возврате имеем в rEax номер сервиса, на стеке:



Прожект с vx.security-portal.cz

3ab6_03.08.2013_EXELAB.rU.tgz - SIDE.zip

| Сообщение посчитали полезным: hors, daFix, Lacoste, Paranoid Koneko, Abraham, JKornev, DenCoder, dosprog, Coderess, Tolkin, VanHelsing

ThugboyZ, справедливости ради, ты не точен и не внимателен. Это не защита, но я помню, что автором советовалось использовать эту поделку на XP под виртуалкой и без блокировки установки неподписанного драйвера )

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
без блокировки установки неподписанного драйвера
Таки отключено было давно.
DenCoder пишет:
на XP под виртуалкой
Он и в 21 году чтоли на XP сидеть будет, как мамонт ? Не юзабельно кроме как на одной ОС - непотребство.

| Сообщение посчитали полезным:

Траблы с загрузкой дрова не мои. Может прав не хватает может есчо что. И обкатывали мы 7/8.

Добавлено спустя 2 минуты
Domino

Аверы выпилили фтп с народа

| Сообщение посчитали полезным:

Ептыть, инде, да запили ты уже нормальный ман по своим моторам, если они реально юзабельны. Или все же не юзабельны?

| Сообщение посчитали полезным:

spinz

Так если ты дров не можешь стартануть или есчо подобные косяки возникают, то о чём можно говорить. Всё просто и понятно. И вообще был дебаг билд с подробнейшим дебаг логом.

| Сообщение посчитали полезным:

Ну не все же такие умные как ты )) Ман бы нам точно не помешал. Разве сложно запилить?

| Сообщение посчитали полезным:

spinz пишет:
Разве сложно запилить?
Да он просто кривляется, никто не обязан это говно разбирать как его запустить. Нормальный разработчик всегда сделает Readme к своей программе и будет заинтересован в популярности своего продукта.

| Сообщение посчитали полезным:

kola1357

Не вижу смысла описывать очевидные вещи. Что нужно было всё описано. Вот что именно не понятно ?

| Сообщение посчитали полезным:

kola1357 пишет:
Да он просто кривляется, никто не обязан это говно разбирать как его запустить. Нормальный разработчик всегда сделает Readme к своей программе и будет заинтересован в популярности своего продукта.
Он писал этот ээээммм...мотор для себя, но я вкурил как его стартовать, но, к сожалению сие не увенчалось успехом (скрин на предыдущей странице).Прав достаточно, UAC вырублен, покиляны антивирусы, хуков нет, отладчик так же не был запущен.Тестилось на учетке админа, которая скрыта, с более высокими привилегиями.Или может суперподелка инде работает с правами system ?

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

Йопт, 6 страниц ниочечем, Dr0p считает, что сделал велосипед в x86, да и хрен с ним пускай считает.
Закройте тему!

| Сообщение посчитали полезным:

unknownproject

А посмотреть чего оно не стартует не дано ?

| Сообщение посчитали полезным:

Dr0p, это твой двиг и это ты должен разбираться как разработчик данной проги с багами пользователей, почему у них не стартует.

Добавлено спустя 2 минуты
Dr0p пишет:
Что нужно было всё описано. Вот что именно не понятно ?
Ну тогда вопрос где это было описано. В архиве нет инструкции как этим чудом пользоваться.
В архиве куча файлов, я что должен гадать, что там для чего и в какой последовательности запустить.

| Сообщение посчитали полезным:

Dr0p маняк, воткни в кейгенми это и будем пробовать и оценим, а то хз что как и для чего)

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

--> ThugboyZ пишет:
PS.No driver - no test <--

Из скриншотов -
Почему вы решили, что дров не запустился? - Он запущен и работает.
А зарубленная TEST.EXE - ну так в ней же забита <int 3> - вот и зарубила система такое.
Уберите <int 3> или запустите TEST.EXE в отладчике.

Это так, по памяти.


kola1357 пишет:
я что должен гадать, что там для чего и в какой последовательности запустить.

Справедливости ради, Dr0p вроде бы и не настаивает, что кто-то должен.
Он же не торгует этой программкой..



| Сообщение посчитали полезным: Dr0p

dosprog

Вы почти правы, ситуация следующая. Есть непосредственно мотор, как и любой иной он идёт в виде дампа(.bin/inc) и в виде обьектника. Сугубо пользователя дело как он это будет юзать, хоть шелл залей в авера с этим дампом, это микод, ему не нужен пеешник. Далее при релизе я взял простейший дров и прилинковал обьектник. Причём проедура инициализации требует в одном из аргументов базу ядра. Мне то сконпилить вписавши базу ядра проблемы нет, но у других может быть. Посему я примитивную вставку накатал когдато, получающую базу ядра. Причём вообще примитивную и кривую, она фейлит в старших версиях. Она и осталось в дрове, можно было пофиксить - так лень, да и кодить там пару минут, любой кто шарит это сам сделает. Вообще же вызов мотора ложится на пользователя целиком.

Повторный вызов дрова. Не прокатит. Загрузчик примитивный, он дёргает несколько апи и IOCTL. Он за собой записи в реестре не чистит. Посему после ребута нужно вручную записи почистить, либо через известную тулзу.

Собственно это всё косяки дроверной системы. Но я не говорил что мотор должен вызываться из дровера. Нужны условия: !CPL, IF и желаельно не выгружаемая память. Всё. Сабж робит во всей линейке.

> ну так в ней же забита <int 3> - вот и зарубила система такое.

У меня все тесты для запуска под дебаггером обычно. Там инты и прочие чудеса. Расчитано на людей, которые в теме, а не на тех кто ожидает выпад меню.

| Сообщение посчитали полезным: dosprog

Dr0p,
Спасибо. Ясно.
Кстати, я же предлагал инициализатор этого дрова,
который запускает драйвер только до перезагрузки компьютера.
Чтобы не связываться с Drvmanager.exe.
Просто перезагрузить систему и можно заускать его по новой.
543d_30.06.2014_EXELAB.rU.tgz - DROV.RAR

| Сообщение посчитали полезным:

dosprog

Так дров вообще не нужен. Загрузчик требует регистрацию и её отмену. Можно есно взять шаблон и дёрнуть процедуру. Это элементарная фигня, не понимаю зачем это обсуждать.

Другое дело выгрузка мотора. Это весьма сложная задача, для этого необходимо саспендить всю ось и использовать трассировку графов/маршрутизации(чтобы отклонить поток, прошедший по ссылке или прерванный шедулером на коде). Короче использовать это смысла не имеет, во первых в силу сложности, во вторых это совсем не нужно.

| Сообщение посчитали полезным:

Dr0p пишет:
Загрузчик требует регистрацию и её отмену.
Это элементарная фигня, не понимаю зачем это обсуждать.[...]
Об отмене и речь. Она делается автоматически сразу после старта драйвера.
Согласен.

Dr0p пишет:
Другое дело выгрузка мотора.
Это да. Остановка этого сервиса приводит к синему экрану.
Обсуждалось..



| Сообщение посчитали полезным:

dosprog

Есно, вся ось через него идёт. Если какая то инструкция или одна из ссылок окажется инвалидной или NA будет синь. Причём даже если восстановить все ссылки, то синь будет спустя время - из за квантования. Не понятно зачем выгружать(вы запускали - знаете что на профайле механизм никак не сказывается).

| Сообщение посчитали полезным:

Аверский плагиат спустя семь лет --> Link <--

Но оригинал статьи сохранился тут --> Link <--

Кстате концепт стал парадигмой, софтверные анклавы

-----
vx

| Сообщение посчитали полезным: redlord, DenCoder

Инде, засуди интел за спизженную идею, станешь богаче короля.

| Сообщение посчитали полезным:

не удивлем. любое апи для AV должно было иметь косяки. еще лет N назад, когда AV выли от (висты?) факов MS, блочащих их творения

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax

Смысл не в уязвимостях, они не имеют отношения к теме. А в обмане, любой человек реверся что то первым делом оценит актуальность и попытается найти инфу гуглом. Ионеску не разраб, это даже не реверсер, это коллектор сторонней инфы, который её быстро обрабатывает. И не всегда такое хорошо.

-----
vx

| Сообщение посчитали полезным:

difexacaw
лолшто? ионеску специалист по безопасности мирового уровня, коллектор блеать

| Сообщение посчитали полезным:

SegFault

Вернитесь к реалу. Данная тема поднята по причине рипа инфы, плагиат. Именно вот что коллектор, вот это и доказательство.

-----
vx

| Сообщение посчитали полезным:

Забей.
Все тягают инфу друг-у-дружки.
А на этом форуме так тем более, чтоб ты понимал.



| Сообщение посчитали полезным:

dosprog

Не все, не правда.

-----
vx

| Сообщение посчитали полезным:

dosprog пишет:
А на этом форуме так тем более, чтоб ты понимал.

На этом форуме на текущий для меня момент всего... сложно оценить, но в среднем где-то в районе от 5% до, может, 30% максимум полезной инфы. Раньше вроде было больше, растём, наверное... Форум, похоже, достиг своего информационного предела. .NET, Flash, unity дополнили бы, может и до 100%, но в этих направлениях не хожу, темы пользы не представляют. Польза сообщения 21, Инде, в том, что посмотрел туда, куда давно не смотрел, оценил возможности, освежил память... но опять отложил на потом

-----
IZ.RU

| Сообщение посчитали полезным:

difexacaw
Как это не правда ежели SIDE который юзоет исключения на передачу управления в свой код ето и есть плагиат. патч гвард это юзол задолго до всяких клерков

| Сообщение посчитали полезным:

SegFault

Во первых вы дату посмотрите, может это только для вас сейчас что то новое. Да и вообще вы весь масштаб техник не понимаете, даже данной(не верифер, а тот самый сайд - изоляция данных). Это школьникам не доступно к пониманию. Слишком высокий порог вхождения, потому что думать нужно, да есчо и знания иметь не малые, что бы вкурить это всё.

Добавлено спустя 4 минуты
DenCoder

Ничего не отложил, вы просто немного не в теме как и все тут. Нужно было за всё это время не говном кидать, а читать, следить за всем.

-----
vx

| Сообщение посчитали полезным: