Плаг теперь на github'е
https://github.com/x64dbg/ScyllaHide/releases

Релиз свежий от 24.06.2017.

Добавлено спустя 24 минуты
Нуждающимся добавил x64 плаг под иду (sdk 6.95)

e7e9_27.06.2017_EXELAB.rU.tgz - ScyllaHideIDAProPlugin-x64.zip

-----
старый пень

| Сообщение посчитали полезным: zNob, parfetka, mak, neprovad, VOLKOFF, plutos, nice, VodoleY, dzikar

VOLKOFF

Я заметил выше знакомую константу 0x1E: ProcessDebugObjectHandle и подумал что не следует юзать какой то инструмент, не понимая сути.

-----
vx

| Сообщение посчитали полезным:

--> отредачил <--
в посте есть вызовы не документированные виндой, пока рою чего за беда.
кто в теме по этим функам , жду коментов

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Может спросонья не понял сути, но в user32.dll GetProcessWindowStation и GetUserObjectInformation. Первая сразу дергает теневой сервис, вторая обертка побольше. Обе функи документированы + в реактОС нашлись совпадения по ядерным именам.

| Сообщение посчитали полезным:

Psalmopoeus Pulcher пишет:
но в user32.dll GetProcessWindowStation и GetUserObjectInformation
user32.dll в памяти процесса нет, её подгружают позже для мсг. обёртка для вызова ядерных в win32u.dll.
родительский процесс отладчик, это скрыто, но для системы окно то уже есть. на этом видно и палят. плюс дескриптор дебаг_объект в переменной после сискола NtQueryInformationProcess , плюс как то палят сцилкины хуки. если хука нет, то и на сискол не идут.
Psalmopoeus Pulcher пишет:
в реактОС нашлись совпадения по ядерным именам
ок. брал --> отсюда <--

-----
походу сцилке свой дров нужен, как в фантике или стронге.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

зачем сразу дров, там где дров жди беду
захучить и отфильтровать (ИМХО)

| Сообщение посчитали полезным:

ScyllaHide_2017-11-08_19-45
ScyllaHide_2017-11-08_19-51



| Сообщение посчитали полезным: Bronco

sendersu пишет:
захучить и отфильтровать (ИМХО)
чтобы перехватить syscall из мяса аппа, придётся хучить отладочное ядро дебагера, а для него апи в сдк нет..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Соглашусь с Bronco - в общем случае необходим перехват syscall'а, т.к. используется "прямой" вызов ядерных функций. А на WOW64 еще и переключение режима на х64 через call far 33:XXXXXXXX, что совсем не добавляет удобств в х32 дебугере. Я сам то давно в ядро не лазил и могу ошибаться, но вроде раньше с перехватом сискола были какие то трудности. Кто знает?

В общем, гугл по запросу wow64 syscall hook предлагает прописать хук в fs:[0xC0]. Я не долго думая впихал туда 0 перед сменой режима и таки словил эксепшн. Дальше разбираться пока некогда, но, думаю, дело перспективное.

| Сообщение посчитали полезным:

На WOW64 похукать можно через x64 переходник, в том числе и в юзермоде. Если натив х64 или натив х86 и вызов идёт напрямую, только драйвер. Который надо будет в х64 подписывать+он не понравится патчгарду.
Что касается 2 юзерских функций, их более стандартные варианты GetProcessWindowStation и GetUserObjectInformation вполне экспортируются и документированы. Другой вопрос, я не думаю, что по ним можно отследить отладчик, скорее всего где-то ошибся.

| Сообщение посчитали полезным:

Хз...я не проверял обход в лоб, пока решаю по другому, тут просто любопытно было, почему сцилка не перекрывает. Выложил то что попалось при трассировке, может что-то и пропустил (там же мясо).
тогда типо встречный вопрос, зачем на тлц, загрузчику вмп нужен дескриптор окна, через обёртку win32u.dll.?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
зачем на тлц, загрузчику вмп нужен дескриптор окна, через обёртку win32u.dll.?
ну можно узнать в каком окне работает пользователь и по HWID получить PID запущенной программы,класс окна,название окна,если даже процесс скрыт от глаз, я где-то в своём блоге приводил пример

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Bronco пишет:
нужен дескриптор окна, через обёртку win32u.dll
Если разговор про всё те же GetProcessWindowStation и GetUserObjectInformation, то это не дескриптор окна, это Window Station, оно с окнами связано мало.
Если разговор про другое, то таки да, можно искать окна отладчика.

| Сообщение посчитали полезным:

Archer

Вы понимаете задачу и вообще о чём идёт обсуждение ?

Тогда опишите задачу кратко и чётко; и какие проблемы с этими апи; и зачем тут фильтровать ядерные события. У Bronco своеобразный стиль описания, не логичный и что бы понять его ход мыслей нужно перечитать стопицот раз топик и десяток тех, что рядом

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Вы понимаете задачу и вообще о чём идёт обсуждение ?

Не арчер, но осилил. Говнопрот детектит отладку в tls, сабж это не фильтрует, если там сисколы совсем все плохо, суть вопроса в том, как этот засранец отлавливает факт отладки, зачем ему дескриптор окна и как жить дальше, пилить дров, не пилить и вообще как это работает, то есть нужен подробный лог вызовов, желательно отфильтрованный от всякого неинтересного шлака, после запилить фильтр для обхода детектов. Как то так.
Я может почесал бы мозг, но нет жертв, нужно несколько анпакми накрытых по максимуму и с умом, а в идеале сам говнопрот, возиться с играми или малваркой нет желания.

| Сообщение посчитали полезным:

shellstorm

Ну а почему тогда не описали суть, сделать ясным и понятным понимание, а обсуждать какие то мутные и не понятные вещи..

Тоесть происходит обычный юзер детект, фильтр не правильно работает. То что он не учёл какой то сервисный вызов - недостаток, ошибка, её пофиксят. Огромное число методов есть, можно снять полную активность фильтра, в данном случае это мотор реализующий антидебаг. Не зависимо от мода, при этом накопить все адреса к которым он обращается. Элементарная выборка данных, например через монитор рабочего набора, это уже вроде обсуждалось.

Какие проблемы с сервисами, базовый набор есть в врк.

Для чего нужно было(начали обсуждать) ядреные фильтры ?

Есть множество методов и реализаций, которые отлично проработаны и решают задачу.

По мойму как обычно проблемы из за некоррект описания. Странно что это пишут люди, которые знакомы со всей этой системой.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Ну а почему тогда не описали суть, сделать ясным и понятным понимание, а обсуждать какие то мутные и не понятные вещи..

Наверное потому что выше нет уверенности в том, как именно все детектится, поэтому и нужен очищенный лог вызовов, дабы выделить проблему, а после уже думать, как ее решить, вот как раз годный тест для визора, снять лог и отфильтровать от мусора. Вот это собственно и обсуждается, сталкивался ли кто то с подобной проблемой. У меня нет файлов которые можно изучать, а ковыряться в многомегабайтном софте нет особого желания.

| Сообщение посчитали полезным:

shellstorm

Не вижу никаких не знакомых сервисов и есчо каких то вещей. Пусть сформулируют свой вопрос нормально. Упомянули какие то апи не ясно зачем, куда и зачем смотреть на их имплементацию, если нет задачи ?)

А ядерную фильтрацию - забудьте про это, не тот уровень задачи, что бы лезть в ядро и небыло бы решения в юм.

Короче учиться формулировать свои мысли.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
какие то мутные и не понятные вещи...мотор... есть множество методов и реализаций, которые отлично проработаны и решают задачу!
Обычный четверг, обычный пост Инди строго по шаблону...
Помог бы "знающим" товарищам, кинул бы парочку конкретных из этих "множества методов", а лучше сразу "реализаций". И себе лойсов заработаешь и людям приятно, по быстрому заштопаем Scyll-ку и пойдем по домам ;)
Если тут все начнут одними туманными неопределенностями изъяснятся, будет вообще край, итак хрустальные шары далеко не уберешь, еще и ваши "сущности в виде гномика" там высматривать xD

Про трассы и в часности сисколы мы тут буквально недавно же общались (не помню где, помню что оффтопом), там и упоминания инструментов есть, емнип вмпрот особо не сопротивлялся (без доп оберток вокруг себя), все системные вызовы писались.

| Сообщение посчитали полезным:

shellstorm, на прошлой странице Jaa привел пример.
Конкретно, детекты не покрываемые сциллой:





х64 код тоже под вм, его я не смотрел, но по всем признакам - дальше syscall. Про GetProcessWindowStation и GetUserObjectInformation пока забудьте, как они используются, похоже, никто еще видел из-за невозможности это нормально отладить.

difexacaw пишет:
Не вижу никаких не знакомых сервисов и есчо каких то вещей.
Нигде не вижу ни слова о чем то необычном, речь все о том же CheckRemoteDebuggerPresent, только вызов ядерного сервиса идет минуя прослойку винапи, исполнением syscall где то в недрах аппликухи со скрытого в вм места, без возможности быстро его перехватить.

| Сообщение посчитали полезным:

VOLKOFF

Я ведь уточнил суть вопроса, для того, чтобы на него ответить. Вы же мне обьясняете про туманность", я это понимаю и сказал выше.

Так просто между делом - вы никак меня не переубедите; человек должен иметь мотивацию и проходить путь решения от меньшего знания к большему и не нужно трогать большие методы/знания не понимая меньших.

Добавлено спустя 11 минут
Psalmopoeus Pulcher

Давайте углубимся в тех детали.

Вы приводите два сервисных шлюза для разных юм архитектур, без указания сервисного номера. Какой в этом смысл, ну есть шлюз и что дальше ?

GetProcessWindowStation() обычный сервис гуя, не понимаю о чём вы говорите.

-----
vx

| Сообщение посчитали полезным:

Psalmopoeus Pulcher пишет:
Конкретно, детекты не покрываемые сциллой
так и дровины не помогают, в частности стронг, всё равно детект \

| Сообщение посчитали полезным:

difexacaw
Бесспорно, но слишком много методологизма тоже не всегда нужно, если задача доехать в другой район, конечно можно начать с изучения принципа работы двигателя внутреннего сгорания и всех остальных агрегатов авто, но для решения задачи достаточно просто уметь водить... избыточность такая избыточность.
Соломон пишет:
От многой мудрости много скорби, и умножающий знание умножает печаль
зачем нам лишние печальки?

SReg пишет:
в частности стронг
он же не охватывает все новые фичи, может в связке смогет?

| Сообщение посчитали полезным:

VOLKOFF

Я мог бы привести пример, но данный форумный двиг не может показать мой лог по аттачам. Это уже обсуждалось, критерий поиска я не могу составить. Это недостаток скрипта, давно нужно было обновить. Так что ищите сами, проще наверное гуглом будет.

-----
vx

| Сообщение посчитали полезным:

Psalmopoeus Pulcher пишет: х64 код тоже под вм, его я не смотрел, но по всем признакам - дальше syscall

Без файла и особых раздумий самый простой вариант это собрать вызовы сисколов в dbi (pin,dmr, практически готовый тул есть в сеплах), запилить небольшой плагин в который собственно загружать этот лог в отладчик и обрабатывать вызовы, вариант конечно дубовый, но для использования "от случая к случаю" вполне рабочий.

| Сообщение посчитали полезным:

Вот кстати --> про dbi <--

Трейсеры от Dr. Memory готовые бинари кстати под обе архитектуры. Я в "простых случаях" их все время юзаю слету так - в папке bin лежит батник (если сами положите ):

Дропаешь на него ехе и... собственно все
Лог сохраняется рядом с файлом.

Для Code Coverage соответственно:

сырой файл кормим иде, или конвертим в читаемый вид для разбора ручками.

| Сообщение посчитали полезным:

shellstorm пишет:
потому что выше нет уверенности в том, как именно все детектится
+1.
погружение в контекст вм дерьмопрота, оставлю великим. пока довольствуюсь малым - передачей управления.
Последовательность вызовов, аргументы для них, и что возвращают, выложил. текста не много, хз где товариЩь, алогизмы увидел. Хуки на месте, воркают корректно, но пока сцилка в ауте.
Psalmopoeus Pulcher пишет:
Про GetProcessWindowStation и GetUserObjectInformation пока забудьте
согласен, тут я поспешил, указатель на строку "бла-бла" в стеке и декриптовка текста для мсг, идёт после сискола NtQueryInformationProcess( вызов из кода вм)

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

--> ScyllaHide_2017-11-09_21-00 <--



| Сообщение посчитали полезным:

shellstorm пишет:
суть вопроса в том, как этот засранец отлавливает факт отладки
Выбирать особо не из чего, ZwQueryInformationProcess(ProcessDebugObjectHandle/ProcessDebugPort) + ZwClose + флаги в пебе

| Сообщение посчитали полезным:

just_simple пишет:
Выбирать особо не из чего
хз хз...указатель в стеке, на переменную строки мсгбокс (сама стр, ещё отсутствует), появляется после вызова GetModuleHandleA. Функу, юзают 2 раза, с указателями на стр библ kernel32.dll и ntdll.dll. После каждого вызова GetModuleHandleA, стандартная проверка хидера (этот участок слегка обфусцирован), и....дальше после этой проверки, нудно_цикличное сравнение адресов стека, с переходом на мясцо по примитивам.
С диска библы не грузит, значит checksum не проверяют, но правку прологов в библах, на предмет хуков, скорее всего палят
отдельно ProcessDebugPort не проверяют, для этого юзают CheckRemoteDebuggerPresent.(стоит хук сцилки)
ProcessDebugObjectHandle проверяют при вызове NtQueryInformationProcess напрямую, ретурн тут поправить ручками можно, но эффекта от этого нет.
Остаётся только снять все хуки, и шагать в "ручном режиме".

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

ScyllaHide_2017-11-11_23-29


ScyllaHide_2017-11-12_03-05



| Сообщение посчитали полезным: