Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+5 невидимых)

 eXeL@B —› Софт, инструменты —› ScyllaHide
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
Посл.ответ Сообщение

Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 27 июня 2017 14:43
· Личное сообщение · #1

Плаг теперь на github'е
https://github.com/x64dbg/ScyllaHide/releases

Релиз свежий от 24.06.2017.

Добавлено спустя 24 минуты
Нуждающимся добавил x64 плаг под иду (sdk 6.95)

e7e9_27.06.2017_EXELAB.rU.tgz - ScyllaHideIDAProPlugin-x64.zip

-----
старый пень


| Сообщение посчитали полезным: zNob, parfetka, mak, neprovad, VOLKOFF, plutos, nice, VodoleY, dzikar

Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 27 июня 2017 16:24
· Личное сообщение · #2

Спасибо. Да она постоянно в последнее время обновляется.
А так-то давно на гите



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 28 июня 2017 20:24 · Поправил: VOLKOFF
· Личное сообщение · #3

Сегодня новый снапшот запилен, а всего 3 дня прошло
-added some more blacklisted processed from CodeMeter

Как и говорил, в последнее время "радует" частотой обновлений, в этом месяце было уже релизов 7

| Сообщение посчитали полезным: r_e


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 02 июля 2017 10:23
· Личное сообщение · #4

Глянул свежий" плаг под олли. Чего то там копирайты 2014 и всё тот же патч Ki-функи. Я вот понять никак не могу, это же сделано для решения проблем с отладкой, но как можно использовать столь примитивные механизмы(юзер хук через патч и кривая обработка сервисов, самых простых). Какую защиту можно этим отлаживать
Под 64 та же погань, Zw-стабы патчит, там же общей функи нет - сискалы. ZwRemoveProcessDebug обработать не нужно ?

-----
vx




Ранг: 53.9 (постоянный), 33thx
Активность: 0.050
Статус: Участник

Создано: 02 июля 2017 10:32 · Поправил: deniskore
· Личное сообщение · #5

difexacaw пишет:
Глянул свежий" плаг под олли. Чего то там копирайты 2014 и всё тот же патч Ki-функи. Я вот понять никак не могу, это же сделано для решения проблем с отладкой, но как можно использовать столь примитивные механизмы(юзер хук через патч и кривая обработка сервисов, самых простых). Какую защиту можно этим отлаживать
Под 64 та же погань, Zw-стабы патчит, там же общей функи нет - сискалы. ZwRemoveProcessDebug обработать не нужно ?

я уже давно жду, когда вы напишите лучше и выложите на паблик, чтобы все могли пользоваться
Альтернатив сейчас нет и сомневаюсь, что будет, а все что scylla не покрывает приходится разбирать и патчить вручную.




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 02 июля 2017 10:53
· Личное сообщение · #6

deniskore

Да, я знал что это сразу напишут. Дежавю.
Дело совсем не в том, если не нравится - сделай лучше". Если что то реализуется, то оно должно саппортиться полноценно, а не просто делать мелкие фиксы пару раз в год.

-----
vx




Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 02 июля 2017 13:26
· Личное сообщение · #7

difexacaw пишет:
, то оно должно саппортиться полноценно



где вашы Open Issues на сабж на гите?
зачем жалеться тут, пишите автору там где он ожидает

| Сообщение посчитали полезным: dosprog, zNob


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 02 июля 2017 15:36 · Поправил: difexacaw
· Личное сообщение · #8

sendersu

Жалятся пчёлы.

Автору можно написать если есть понимание какой то проблемы. Но если же это детская поделка(примитивные хуки етц) то какие могут быть Issue..

Почему тут написал - потому что тут данная тема. Очевидно же.

Какой адекватный человек реализует защиту, пусть элементарную, без сложных техник; зная что она будет запущена используя сабж. Обычно строится сервисная таблица - отображается в память с диска образ ntdll и создаётся таблица сервисный хэш-ID. Затем через эту таблицу происходит ядерный вызов, но это в крайних случаях. В более простых отменяются хуки - ремап нэйтив образа. Тоесть переходим в буфер, анмапим нтдлл и мапим его не как image, а как private memory, но с фичей - проекция секции с доступом RX. Отваливается при этом всё - и ваша сцилла, и любой код который попытается открыть доступ на запись, так как далее это невозможно. А есчо можно сделать совсем прмитивно - замапить нтдлл и передать управление для вызова Zw-стаба. Можно даже запустить трассировку как ловушку для детекта и через это передать управление, ваши эти интидебаги не смогут это обработать. И нафига такое нужно. Автор поделки, этот немец не знает матчасть, а вы говорите напиши ему..

-----
vx




Ранг: -0.7 (гость), 170thx
Активность: 0.540
Статус: Участник

Создано: 03 июля 2017 01:04
· Личное сообщение · #9

difexacaw пишет: Но если же это детская поделка(примитивные хуки етц)

Для большинства защит и этого более чем достаточно, авторы защит сейчас стараются не прибегать к жестким хакам, за это могут надавать по рукам, проблемы могут возникнуть лишь со всякими древностями. К ресерчу малварки совершенно другой подход.
Сам не пользуюсь, но не вижу причин осуждать. Лучше такая тулза, чем тысячи вопросов, а как обойти A,B,C,D и без этого хватает upx с восстановлением импорта.




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 03 июля 2017 01:54 · Поправил: difexacaw
· Личное сообщение · #10

shellstorm

Может вы правы, но я не знаю уровень текущих защит, разве что могу сделать выводы из этой темы --> Link <--
Я уже давно никакие семплы не разбираю, а строю свою защиту(с-анклавы и полная блокировка АП, можите подробно на васме почитать).
Но всё же считаю что уровень данной реализации никакой.

Добавлено спустя 6 минут
shellstorm

В той теме кстате я пытался использовать визор, из за не доработки это результатов не дало, можно было бы доделать, но учитывая стиль общения автора, это напрочь всякое желание удаляет.

-----
vx




Ранг: 47.8 (посетитель), 16thx
Активность: 0.020.01
Статус: Участник

Создано: 29 июля 2017 22:55 · Поправил: Tyrus
· Личное сообщение · #11

Фемида64 патчит начало функции ntdll.DbgUiRemoteBreakin

Code:
  1. 00000000776E7F10 | 48 83 EC 28                       | sub rsp,28
  2. 00000000776E7F14 | 65 48 8B 04 25 30 00 00 00        | mov rax,qword ptr gs:[30]
  3. 00000000776E7F1D | 48 8B 48 60                       | mov rcx,qword ptr ds:[rax+60]
  4. ...

на такой код:
Code:
  1. 0000000077017EC0 | E9 DB C2 F2 FF                | jmp <ntdll.LdrShutdownProcess>
  2. 0000000077017EC5 | 48 8B 04 25 30 00 00 00       | mov rax,qword ptr ds:[30]
  3. 0000000077017ECD | 48 8B 48 60                   | mov rcx,qword ptr ds:[rax+60]
  4. ...


Как я понял отсюда --> Link <-- - это достаточно классический прием, однако в Scylla такой опции нет.
Кто-нибудь видел плагин для x64dbg, решающий это?



Ранг: 10.2 (новичок), 7thx
Активность: 0.020
Статус: Участник

Создано: 30 июля 2017 04:39
· Личное сообщение · #12

Tyrus пишет:
в Scylla такой опции нет

Кто мешает чиркануть авторам? Ребята запилят, если уже не запилили
PS: Языковой барьер не отмаза - с французом, было дело, на кривом(мягко говоря) английском общался, помог с защитой - получил лицензию бесплатную Кто хочет, тот поймёт




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 30 июля 2017 05:05
· Личное сообщение · #13

gajemuxi пишет:
получил лицензию бесплатную Кто хочет, тот поймёт


Дык поделись, не будь жадным!

-----
Give me a HANDLE and I will move the Earth.




Ранг: 10.2 (новичок), 7thx
Активность: 0.020
Статус: Участник

Создано: 30 июля 2017 05:08 · Поправил: gajemuxi
· Личное сообщение · #14

plutos пишет:
Дык поделись, не будь жадным!

У него на серваке теперь всё палится - SUMo прога. Если поделюсь, то и меня вбанит. Способа обойти его проверку не нашёл. Пускай зарабатывает, хоть не жадный
Да и обещал я ему, что лицензия не на вынос. Не хочется подводить доброго француза, сам понимаешь
Если что на его софт нароешь, то и тебе даст. Его тут найти можно: http://www.nsaneforums.com/

Добавлено спустя 19 минут
на ответах мейла проскакивал здешний старичок, знакомый с интом. не спрашивал его ник по определённым причинам - в выдачу поисковиков попадёт. бедгай паразит рекламой всё угробил. такой форум был в своё время...



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 30 июля 2017 10:07
· Личное сообщение · #15

Tyrus пишет:
Как я понял отсюда --> Link <-- - это достаточно классический прием, однако в Scylla такой опции нет.
Кто-нибудь видел плагин для x64dbg, решающий это?

SecuROM / денуво первых версий. Я такое без плагов реализовал в SPR_I. Чтение как-то так:
Code:
  1.            FARPROC My_DbgUi = ::GetProcAddress(ntdll_handle,"DbgUiRemoteBreakin");
  2.            if(My_DbgUi==NULL)
  3.                    return AA_NOT_DETECTED;
  4.  
  5.            memcpy(&AA_original_DbgUiRemote[0],My_DbgUi,29);
  6.  
  7. AA_Target_NTDLL_DbgUiRemoreBreakIn_adress=(DWORD)me32.modBaseAddr+(DWORD)((DWORD)My_DbgUi-(DWORD)ntdll_handle);
  8.   ::ReadProcessMemory(Targer_Process_Handle,(LPCVOID)AA_Target_NTDLL_DbgUiRemoreBreakIn_adress,&AA_chenged_DbgUiRemote[0],sizeof(AA_chenged_DbgUiRemote),NULL);
  9.   
  10.   if((memcmp(&AA_original_DbgUiRemote[0],&AA_chenged_DbgUiRemote[0],29))==0)
  11.          return AA_NOT_DETECTED;
  12.            
  13. return AA_ENABLE;

Соотвественно обратно возвращам байты посредством WriteProcessMemory. Ничего особенного.
Только денуво (и вроде самые последние версии секурома) в этом вопросе идёт чуть дальше - делает сторожевой трэд, который охраняет эти байты (в цикле крутится VirtualProtect). Но это тоже фигня конечн - всё легко фиксится.



Ранг: 47.8 (посетитель), 16thx
Активность: 0.020.01
Статус: Участник

Создано: 30 июля 2017 11:52 · Поправил: Tyrus
· Личное сообщение · #16

gajemuxi пишет:
Кто мешает чиркануть авторам?

Написал mrexodia в личку, если он ее читает
других контактов не знаю

ELF_7719116
5 байт при аттаче и руками прописать не долго, в принципе, просто хочется чтобы Scylla полноценно работала без лишних действий - можно самому туда допилить, но она через час обновится и все заново))

Нашел решение на exetools:
AttachHelper plugin for x64dbg
This plug-in automatically restores that "DbgBreakPoint", "DbgUiRemoteBreakin".
--> Link <--




Ранг: 62.3 (постоянный), 51thx
Активность: 0.040.01
Статус: Участник

Создано: 30 июля 2017 15:28 · Поправил: Haoose-GP
· Личное сообщение · #17

Tyrus пишет:
Написал mrexodia в личку, если он ее читает
других контактов не знаю

Можно попробовать здесь (если не достучитесь): https://github.com/x64dbg/ScyllaHide/issues



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 30 июля 2017 16:08
· Личное сообщение · #18

А можно сразу сделать pull request



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 17 августа 2017 11:35 · Поправил: VOLKOFF
· Личное сообщение · #19

--> ScyllaHide_2017-08-17_00-31 <--

fixed a hooking bug on Windows 10
Commits on Aug 17, 2017
Do not call GetSystemTime or GetLocalTime since these functions use RIP-relative addressing in KernelBase, which breaks if they are moved without relocating.
Instead add replacement versions for the above functions and call these directly


| Сообщение посчитали полезным: mak

Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 11 октября 2017 14:12 · Поправил: VOLKOFF
· Личное сообщение · #20

--> ScyllaHide_2017-10-11_13-18 <--

Code:
  1. Update x64dbg plugin SDK to snapshot_2017-10-10_21-10
  2.  
  3. 11 changed files  with 264 additions and 16 deletions:
  4. 3rdparty/x64dbg/_dbgfunctions.+2 -0  
  5. 3rdparty/x64dbg/_plugin_types.+23 -1  
  6. 3rdparty/x64dbg/_plugins.+18 -2  
  7. 3rdparty/x64dbg/bridgegraph.+2 -2  
  8. 3rdparty/x64dbg/bridgelist.+152 -9  
  9. 3rdparty/x64dbg/bridgemain.+6 -2  
  10. 3rdparty/x64dbg/jansson/jansson_x64dbg.h
  11. 3rdparty/x64dbg/x32bridge.lib
  12. 3rdparty/x64dbg/x32dbg.lib
  13. 3rdparty/x64dbg/x64bridge.lib
  14. 3rdparty/x64dbg/x64dbg.lib


Добавлено спустя 10 часов 1 минуту
В лучших традициях сегодня выпущены еще снапшоты... кто уже обновился, можете смело повторять процедуру

--> ScyllaHide_2017-10-11_21-42 <--


Code:
  1. Remove duplicate "WinDbg" array entry and fix capitalisation
  2.  
  3. Do not copy the hook DLL image headers to the target process after mapping sections.
  4.  
  5. This stops my 5 year old niece's "MZ" scanner from finding HookLibrary.dll. The headers were never needed by HookLibrary itself, as evidenced by the fact that we were copying the headers with the wrong (non-relocated) base address anyway.
  6.  
  7. Wiping the headers in MapModuleToProcess() is optional so as to not further break injection of other DLLs than HookLibrary (which should theoretically be possible according to legends)
  8.  
  9. Avoid copying the relocation directory to the target process if possible. We already process the relocations when mapping
  10.  
  11. Clean up MapModuleToProcess logic a bit to not require the DLL to be relocatable (cheating with IMAGE_FILE_RELOCS_STRIPPED doesn't count, so this is mostly philosophical)
  12.  
  13. Add new query classes to NtQuerySystemInformation hook: 
  14. - SystemExtendedProcessInformation
  15. - SystemCodeIntegrityInformation
  16. - SystemKernelDebuggerInformationEx
  17. - SystemKernelDebuggerFlags
  18. - SystemCodeIntegrityUnlockInformation




Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 19 октября 2017 18:29 · Поправил: VOLKOFF
· Личное сообщение · #21

--> ScyllaHide_2017-10-19_17-42 <--

Code:
  1. -Fix double free in StealthDllInjection()
  2.  
  3. -MapModuleToProcess: a DLL can be relocatable without having a reloc dir, so make this distinction
  4.  
  5. -Update the PE headers to the 'relocated' base address (as LoadLibrary does) if the DLL memory is not allocated at the base in the image headers, but only apply relocation fixups if there is a relocation directory
  6. -Fixes
  7.  
  8. -Added check for NtQueryInformationProcess ProcessDebugPort


--> ScyllaHide_2017-10-19_18-54 <--
Code:
  1. Added check for NtQuerySystemInformation_SystemKernelDebuggerInformation


--> ScyllaHide_2017-10-19_21-11 <--
Code:
  1. -Fix warning
  2. -Scylla: move ntdll_xx.lib to the .props file with the rest of the dependencies and remove the #pragma comment(lib) for it
  3.  
  4. -Minor ScyllaTest changes: 
  5. - Move duplicate 'is_x64' variables to one place as this is a compile time constant
  6. - Change SCYLLA_TEST(x,cond) macro to SCYLLA_TEST_IF(cond,x) to clarify the meaning of the second (now first) argument
  7. - Add SCYLLA_TEST(x) macro to replace awkward SCYLLA_TEST(..., true) constructs for tests that should execute unconditionally
  8. - Remove 'ver >= XP' checks and instead simply require at least XP to run at all
  9. - Return -1 rather than 0 in error cases


| Сообщение посчитали полезным: mak

Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 22 октября 2017 04:58
· Личное сообщение · #22

--> ScyllaHide_2017-10-22_03-37 <--

Code:
  1. Remove hardcoded SDK version now that $(LatestTargetPlatformVersion) finally works properly


| Сообщение посчитали полезным: Bronco

Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 26 октября 2017 22:50
· Личное сообщение · #23

--> ScyllaHide_2017-10-26_21-49 <--

Code:
  1. -Update version.h to match documentation
  2.  
  3. -Replace usages of strncpy with strncpy_s, as only the latter guarantees null termination. Fixes string corruption in OllyDbg 1 menu (#41)
  4.  
  5. -strcpy isn't better
  6.  
  7. -NtQuerySystemInformation hook: add SystemHandleInformation and SystemExtendedHandleInformation. Handles to objects of types DebugObject, Process and Thread are filtered out.
  8.  
  9. -Currently this is done by PID *for the debugger process only* (i.e., it does not work when using the CLI, and it does not hide a process handle from windbg.exe to the debuggee if ScyllaHide is running as an x64dbg plugin)





Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 27 октября 2017 00:34 · Поправил: Bronco
· Личное сообщение · #24

дерьмопрот всё равно на 2-й тлц палит..
на чём пока разбираюсь.
add
да нах тут разбираться, если по тупому повесили...давно так не веселился, когда дерьмопрот в статике шинковал
ну юбики и отожгли, нах им лецензия вмпсофт, если юзать не умеют, а ещё филиалы по всему шарику..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..


| Сообщение посчитали полезным: v00doo, VOLKOFF

Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 28 октября 2017 00:42 · Поправил: VOLKOFF
· Личное сообщение · #25

--> ScyllaHide_2017-10-27_22-21 <--
--> ScyllaHide_2017-10-28_00-46 <--
--> ScyllaHide_2017-10-28_01-27 <--

Code:
  1. -Rename CustomExceptionHandler to OllyExceptionHandler to more accurately convey why this abomination exists
  2. -Minor cleanup in said OllyExceptionHandler (dead code removal, improve some variable naming)
  3. -Fix an issue where Olly v2 was expected to be able to deal with exceptions on its own. Instead add OllyExceptionHandler to the Olly v2 plugin as well. Bugs fixed: #44. Bugs introduced: TBD
  4.  
  5. -Add SystemSessionProcessInformation to NtQuerySystemInformation hook (#42)
  6. -Update IDA SDK to v6.95




Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 05 ноября 2017 18:40 · Поправил: VOLKOFF
· Личное сообщение · #26

ScyllaHide_2017-11-05_13-43
ScyllaHide_2017-11-05_14-15
ScyllaHide_2017-11-05_14-23


Code:
  1. Remove IDA SDK on request of Hex-Rays SA


Just got a nice email from Ilfak so I removed the latest SDK:
Только что получил email от Ильфака, поэтому и убрал новый SDK:




Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

Создано: 05 ноября 2017 20:09
· Личное сообщение · #27

Как и прежде, плагин к первой ольки, не скрывает вмпрот одной из последней версии, что только не перепробовал (SharpOD в связке со стронгом тоже). Вот --> Пример <--




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 05 ноября 2017 21:55 · Поправил: Bronco
· Личное сообщение · #28

Jaa пишет:
не скрывает вмпрот одной из последней версии

есть такое, пока не впоймал на чём, проверяет хидеры в систем библах процесса , потом вызовы:
IsDebuggerPresent ретурн 0
CheckRemoteDebuggerPresent ретурн 1, на стеке после адреса возврата 0
если в сцилке функу хукнули (!) или на стеке после вызова CheckRemoteDebuggerPresent не -1, тогда дерьмопрот юзает системный вызов (syscall)
NtQueryInformationProcess, с аргументами 0хFFFFFFFFFFFFFFFF и 0x1E, ретурн 0, в переменой дескриптор (дебаг_объект), но вроде дескриптор не проверяют.
Вроде с самими хуками всё пучком!
в нудном цикле сравнивают адреса стека "cmp rax, rbp"
Дальше получаем путь и имя файла GetModuleFileNameW
А дальше виндой вроде не документированное
NtUserGetProcessWindowStation
NtUserGetObjectInformation

После этого вызов LoadLibrary, грузим системную юзер, и мсг бла-бла-бла.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..


| Сообщение посчитали полезным: Jaa


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 05 ноября 2017 23:58
· Личное сообщение · #29

Не нужен сабж имхо. Он лишь мешает учиться.

-----
vx




Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 06 ноября 2017 02:32
· Личное сообщение · #30

Ога, а особо упоротые дизассемблируют в уме, пока им снова не вколют аминазин...
Это ветка по сабжу - плагину для отладчиков (etc), подразумевается, что люди знают, что делают.
Это же не раздел для новичков. Комент ради комента?

| Сообщение посчитали полезным: Gideon Vi, mak, v00doo
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
 eXeL@B —› Софт, инструменты —› ScyllaHide
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати