Плаг теперь на github'е
https://github.com/x64dbg/ScyllaHide/releases

Релиз свежий от 24.06.2017.

Добавлено спустя 24 минуты
Нуждающимся добавил x64 плаг под иду (sdk 6.95)

e7e9_27.06.2017_EXELAB.rU.tgz - ScyllaHideIDAProPlugin-x64.zip

-----
старый пень

| Сообщение посчитали полезным: zNob, parfetka, mak, neprovad, VOLKOFF, plutos, nice, VodoleY, dzikar

just_simple пишет: Выбирать особо не из чего, ZwQueryInformationProcess(ProcessDebugObjectHandle/ProcessDebugPort) + ZwClose + флаги в пебе

Это все понятно, полулегальных методов раз-два и нет, сейчас не то время, чтобы использовать жесткие хаки, работоспособность которых зависит от фазы луны, антивирусы первые внесут в блеки, да и пользователи еще не забыли SF. Проблема в том, чтобы накодить обход все же неплохо знать точный способ детекта и для этого нужны мелкие файлы с сабжем или сам сабж, а этого ничего нет.

| Сообщение посчитали полезным:

shellstorm пишет:
чтобы накодить обход все же неплохо знать точный способ детекта и для этого нужны мелкие файлы с сабжем или сам сабж, а этого ничего нет.
упс...отписано было , что игры и...,не треба...
мой семпл, "Истоки", на русторке у фишера, всегда можно торрентом мин набор выбрать.
мне для разбора кода в статике антидебаг не мешает, там пакер не юзают.
для обхода антидебаг в динамике, мин_набора хватит дойти до еп, либо гавнопрота, либо следующего слоя др защиты.
по логам, для ловли сисек, в тестовом режиме вроде можно гипервизор привлечь.. но хз что это даст, если сисколы по сигнатуре найти можно..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

shellstorm пишет:
неплохо знать точный способ детекта
то что я написал вполне точный способ детекта

| Сообщение посчитали полезным:

Bronco пишет: упс...отписано было , что игры и...,не треба...

Так и есть, трасса сильно большая получается, тот же анпакми можно полностью выделить код vmp, вплоть до распаковки со срезанием секций vmp. На нескольких анпакми можно использовать автоматизированную систему для выделения общих для всех зависимостей.

Bronco пишет: в тестовом режиме вроде можно гипервизор привлечь

Даже не просто можно, а это наиболее рациональный способ, как в плане времени, так и в плане простоты, учитывая, что на гхабе куча драйверов валяется, единственная проблема, что они не подписаны, что это даст, кхм, полный контроль за сисколами, перехват и подмена, больше в принципе ничего, но в случае с vm это не имеет принципиального значения, подписан драйвер или нет, это интересно только конечному пользователю.
Гипервизор годный способ и как раз советую копать именно в этом направлении.

| Сообщение посчитали полезным:

shellstorm пишет:
единственная проблема, что они не подписаны
собрать дровину для одного пк (для паблика нах надо), это не проблема , на крайняк, можно и с тестовой подписью сиськи по логировать. ВМ обработчик для сискола в гипервизоре есть.
Но в км, вызовы фунок юм ( для лога), не приветствуются. А хочется больше контекста засейвить.
Если есть на с++, код лога_контекста_цпу для км, закиньте, я время выделю для теста.
И это...а если злыдень гипервизор чекает?
И повторюсь
Bronco пишет:
сисколы в вм, по сигнатуре найти можно.
или на эвентах в отладчике

но у меня, обработка событий в отладчике мистера, не быстрая.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

ScyllaHide_2017-11-14_21-08



| Сообщение посчитали полезным:

Bronco пишет: или на эвентах в отладчике

Это самое плохое решение, медленно и ненадежно.

Bronco пишет: И это...а если злыдень гипервизор чекает?

VMP пока что не ловит ни гипервизоры, ни факт рекомпиляции.
Вот небольшой проект, вполне годится под задачу.
https://github.com/DarthTon/HyperBone
Нет, на плюсах у меня нет кода, из плюсов использую только движки, а логику пишу на скриптах, бо за*бывает постоянно собирать после каждого изменения.

| Сообщение посчитали полезным:

shellstorm пишет:
VMP пока что не ловит ни гипервизоры
а на форуме вроде видел, что ловит.

а вообще, то ли я не понимаю чего вы хотите, то ли у вас своя атмосфера.
написать драйвер, в котором захучить 2(две) функции - максимум 30-40 минут, учитывая, что тема ядерных хуков обсуждена просто до невозможности. зачем все эти сложности с гипервизорами и прочим, академический интерес ?

ну и по моему антиотладка в этом протекторе - не самая большая проблема

| Сообщение посчитали полезным:

just_simple пишет: а вообще, то ли я не понимаю чего вы хотите, то ли у вас своя атмосфера.

Я ничего не хочу, тему с сабжем не я поднимал.
И нет, рекомпиляцию не палит, там может возникнуть проблема с памятью, никак не связано с vmp, с гипервизорами вообще все прекрасно.

just_simple пишет: написать драйвер, в котором захучить 2(две) функции - максимум 30-40 минут

Это костыль и давно уже все написано до нас, зачем писать драйвер в котором костылить обход, если можно сделать нормально и перекрыть функционал scylla.
Какой то особой антиотладки никогда не видел в vmp, вся сложность в лапше в которую он превращает бинарь.

| Сообщение посчитали полезным:

shellstorm пишет:
VMP пока что не ловит ни гипервизоры
подтверждаю...
shellstorm пишет:
Я ничего не хочу
та и мне особо не надо, тем паче хлопот то на 40 минут

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет: подтверждаю...

И не будет, многие энтерпрайз антивирусные решения используют гипервизор в хвост и гриву для сканирования в памяти, подобные детекты отправят софт в лучшем случае в riskware.

| Сообщение посчитали полезным: Bronco

Заранее прошу не пинать ногами если уже был фикс или если изобрел велосипед.

То что явно попадалось на глаза
1)
pusha
push ds
mov eax, large fs:18h
pop gs
mov eax, gs:[eax+20h]
popa
db 0F3h, 0F3h, 0F3h, 0F3h
rep pushf
pop eax

2) RtlRaiseStatus

3) cmp large dword ptr fs:0C0h, 0

4) call GetTickCount
+
вызов эмулятора
int emulGetTickCount()
{
int bldNum; // eax@1
int result; // eax@12

bldNum = OS_Build_xorkey ^ OS_Build;
if ( (OS_Build_xorkey ^ OS_Build) == 2600 )
{
result = v7FFE0004 * (unsigned __int64)v7FFE0000 >> 24;
}
else if ( bldNum == 3790
|| bldNum == 6001
|| bldNum == 6002
|| bldNum == 7600
|| bldNum == 7601
|| bldNum == 9200
|| bldNum == 9600
|| bldNum == 10240
|| bldNum == 10586
|| bldNum == 14393 )
{
while ( v7FFE0324 != v7FFE0328 )
_mm_pause();
result = v7FFE0004 * (v7FFE0324 << 8) + (v7FFE0320 * (unsigned __int64)v7FFE0004 >> 24);
}
else
{
result = 0;
}
return result;
}
И сравнение времени после первого и второго вызовов

5) int 2Dh

6) GetStartupInfoW под вопросом (для меня), просто вызывалось после функции которая предшествовала всем антиотладкам
7) GetNativeSystemInfo, аналогично тоже под вопросом применимости к антиотладке

8) call DbgPrompt

| Сообщение посчитали полезным:

ScyllaHide_2017-11-18_17-20
ScyllaHide_2017-11-18_18-12




| Сообщение посчитали полезным:

shellstorm

> связано с vmp, с гипервизорами вообще все прекрасно.

>> --> Link <--

Пример решения, который я искал. Реалтайм свёртка.

В данной теме есть несколько независимых потоков обсуждений, между ними какие то посты про апдейт софта, короче полный хаос.

Разделите эту тему как следует, задачи в соответствующий топ, апдейты пусть останутся. Иначе обсуждение бессмысленно, я например его давно прекратил читать. Так как это уже не обсуждение/решение задачи, а просто чат.

-----
vx

| Сообщение посчитали полезным:

AKS-конверт кладет х на сциллу. задачка решена, чисто интересно, почему HW бряки не работают. плюсом, нет поддержки x64 ida

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
задачка решена
ну когда знаешь больше, то да...
с чем "сверяет" данные из раздела системрут_дрова, пока не понятно, и у меня пока дальше мсг --> "Initialization error 4" <--, под дбг мистера, дело не идёт...
а вроде до еп --> гавнопрота <-- вот чуть чуть осталось.
difexacaw пишет:
Реалтайм свёртка.
ну только как метод, и не больше, в остальном без контекста( а в массивах с данными практисески всё), или знаний_разбора структуры данных защиты, этот пром код, просто гиговый хлам.
но...самое забавное, что рецензии в менторском тоне от тебя на месте, и вызов сервиса и аргумент(ProcessDebugObjectHandle) ты заметил и тупо прокоментил 2 раза, набив статус на ни о чём, а вот про ретурны сервиса целЬную неделю молчанка...как то так ...в общем форум на днище.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Psalmopoeus Pulcher пишет:
Конкретно, детекты не покрываемые сциллой:
из того что было описано выше можно добавить:
syscall NtSetInformationThread (ThreadInformationClass)
syscall NtProtectVirtualMemory пока под вопросом но думается что работает в связке с
с вызовом апи CloseHandle (0xDEADC0DE)
ибо после ретурна апи ниже по коду вмп имеем стелс бряк в виде исключения

красивая реализация. снимаю шляпу как обычно
из приведённого примера у меня исключение на второй инстр, но под вмп отладчик её пропустил
плюс к этому при записи рфлага резервный бит сбрасывают в ноль.

в итоге состояние RFLAGS не меняется.
но...
в обработчике вмп, который получает управление из диспатчера по таблице искл, в сохранённом контексте цпу, гавнопрот проверяет пока поле с адресом искл(чтобы наш адрес не обрабатывать и мы получим 2й егор) и поля с дрх регистрами.
в перспективе поле рфлаг и поле для ракс, может там ещё что то есть
простенький скрипт для ACOrigins 1.03 работает в связке с сцилкой. режим для вмп

что касается ошибки "Initialization error 4" . это чисто косяк вмп
нех юзать замеры тактов так часто.
на слабеньких пк мсг поэтому и вылазит.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: mak, v00doo, red0x, bartolomeo

ScyllaHide_2017-11-22_12-09



| Сообщение посчитали полезным:

Почитал я ваши последние посты в этой теме и очень похоже, что то, что было описано в -этой теме- перешло в сам вмпрот. Дерьмопротовцы шустрые ребята, форумы тоже читают, и всякие разные плюшки быстро в свой прот пихают.
Сцилка с хуками сислиб тут бесполезна.

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit пишет:
Сцилка с хуками сислиб тут бесполезна.
Читал на другом форуме, что при тонкой настройке ScyllaHide обходят антидебаг.
Но честно говоря, мне мало в это верится.

Если брать файл без антидебага, то путь до вызова стандартный
ntdll!LdrpDoDebuggerBreak->ntdll!LdrpInitializeProcess->ntdll!_LdrpInitialize->ntdll!LdrpInitialize->ntdll!LdrInitializeThunk->ntdll!NtContinue

В АСО (а речь судя по всему о ней) разрабы нахимичили примерно так
ntdll!LdrpDoDebuggerBreak->ntdll!LdrpInitializeProcess->ntdll!LdrpCallTlsInitializers->ntdll!LdrpCallInitRoutine->USER32!_ClientLoadLibrary->ntdll!NtCallbackReturn

Ну а цепочка LdrpInitializeProcess->LdrpRunInitializeRoutines->LdrpCallTlsInitializers->LdrpCallInitRoutine думаю и так всем понятно к чему приводит (в лоадере ntdll возможен вызов этих функций до передачи управления отладчику).

| Сообщение посчитали полезным:

Vamit пишет:
и всякие разные плюшки быстро в свой прот пихают.
большая часть была, просто в х32 не встречалось. к примеру в х64 защита страниц была уже 1.5 г назад.
Vamit пишет:
Сцилка с хуками сислиб тут бесполезна.
понятное дело что переход авторов на сисколы, сам по себе с хоризмой
то бишь внимание им придётся уделить, но... сцилка в предложенном примере скрипта вроде как востребована.
dezmand07 пишет:
разрабы нахимичили примерно так
мысль примерно понятна, но не получив управление на свой код, влиять на загрузчик возможно только через дос или пе заголовки.Много там вариантов для антидебага?
Что касается АСО, да и вообще игровых приложений, они больше ориентированны на шелэксекуте. при креатепроцесс большая часть из них закрывает процесс, передав управление клиенту цифровой площадки.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Vamit вроде, один дерьмопротовец. ес-но мониторит "изыскания". как говорится "кто пасет, тот куй сосет". пусть читает

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Bronco пишет:
Много там вариантов для антидебага?
Ну если только tlscallback секции.

Bronco пишет:
при креатепроцесс большая часть из них закрывает процесс
Там не сразу при создании процесса, но в целом да. Процесс создаёт кучу всякой ерунды... TppWorkerThread.
Как-то попадался мне один флаг (никак не могу найти), что-то типа CREATE_THREAD_HIDDEN_DEBUG (точное название не помню). Не знаю существует ли он или это чья-то выдумка, но инфы в инете о нём совсем не густо.
АСО вроде как создаёт 3 дочерних потока, а потом валится (DEADC0DE). А если продублировать хендл через DuplicateHandle и пересоздать потоки с этим флагом?
Или это уже что-то из области "занесло меня на повороте"

| Сообщение посчитали полезным:

dezmand07 пишет:
Как-то попадался мне один флаг (никак не могу найти), что-то типа CREATE_THREAD_HIDDEN_DEBUG
не помню такого. совсем. за много лет криэйтпроцесса.
потом валится (DEADC0DE). А если продублировать хендл через DuplicateHandle и пересоздать потоки с этим флагом?
шняга. смысл в инвалидном хендле. хоть C0FECAFE и т.п.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Bronco

> рецензии в менторском тоне от тебя на месте, и вызов сервиса и аргумент(ProcessDebugObjectHandle) ты заметил и тупо прокоментил 2 раза, набив статус на ни о чём, а вот про ретурны сервиса целЬную неделю молчанка...как то так ...в общем форум на днище.

Я давно знаю что вы не способны свои мысли выражать. Опущу всякий примитив с сервисами(то что в не можите до сих пор их ровно обработать, стыдно должно быть, но мне глубоко пофиг, сформулированной задачи я не вижу).
Счётчик статусов - я всегда был против использования его. Посему можите мне его обнулить, ну что бы было правильно и вы не думали что это для меня что то значит. Даже подниму этот вопрос.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: В данной теме есть несколько независимых потоков обсуждений, между ними какие то посты про апдейт софта, короче полный хаос.

В теме на которую ссылаетесь ТС неосилятор трущий посты, я принципиально ничего не буду писать ни о кэше потока инструкций, ни о ребилде графа для оптимизации трасы, ни о натягивании данных на итоговый граф с последующим разборе его в IDA, это первая причина, вторая, русский для меня даже не второй язык и я банально половины постов не понимаю, о чем там пишут и чего хотят, когда выражают мысли нормальным языком без специфического сленга тогда и отвечаю, ибо не люблю отвечать на вопросы которые толком не понимаю, можно глупо выглядеть.

| Сообщение посчитали полезным:

shellstorm

Ну так прикройти этот спам, толпа людей не может разобраться с прямым, подчёркиваю с прямым вызовом сервисных апи(без всяких буферов ловушек, рк атак, снятий профайла, снятия ядерного лога етц, просто элементарный вызов апи). Это значит что особо одарённые в теме, про какой то не стандартный вызов речи идти не может, раз нельзя прямо вызвать и отфильтровать. Впрочем мне глубоко пофиг, я это давно уже не использую.
А по нормальному как я и говорил - нужно нормально сформулировать вопрос и его обсудить. А не перетирать что то по понятиям".

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Ну так прикройти этот спам

Окей, попробую объяснить понятней, дабы понимали, что предлагаете сделать и масштаб задачи.
Начнем трассы и гигабайтов треша, нужно объяснить, что такое бэйзик блок, атомик блок, как найти цикл, затем как сжать его в линейный код, как настраивать входной выходной контекст, как строить карту адресов для бэйзик блоков и атомик блоков, создания индексов для блоков, чтобы выкинуть куски этих блоков из трассы, а подставлять индексы, настроить карту контекстов и проиндексировать ее, нет смысла хранить контекст на каждую инструкцию атомик блока. Это огромный пласт теории и это не тема для форума, а самостоятельное и длительное изучение предметной темы с разбором или написанием простейшего джит-компилятора, хоть луашного. Фильтрация функций, тут даже не знаю что комментировать, можно просто посмотреть в других проектах, хоть тех же рекомпиляторах типа пина. Касательно обхода каких то кусков кода, которые приводили выше, да их проще вообще выкинуть, перестроив контекст, зачем идти в гору, если ее проще обойти. Писать код, он у меня написан, но он под NDA, а писать бесплатно то, что у меня есть, не вижу смысла, тем более когда банили за рациональную критику, когда терли посты с адекватными вариантами решения задачи, причем чувака который с легкостью восстанавливает case, которая составная конструкция и которую в равиоли коде можно восстановить лишь вероятностно, но хомяки хавают этот пиздец. Теперь вопрос, зачем мне писать мини лекцию, тратить свое время, если часть не поймут, а часть еще и раскритикует. Поэтому проще посоветовать в какую сторону смотреть и как проще решить задачу, а не озадачивать себя, при этом получая в ответ неблагодарность (бан, посты). Есть вопросы по кэшированию велком ЛС, а распинаться, увы, но се ля ви, бисер.

| Сообщение посчитали полезным:

difexacaw пишет:
толпа людей не может разобраться с прямым, подчёркиваю с прямым вызовом сервисных апи
кукла моя, очнись, тема про сабж, который не фильтрует прямые вызовы. чтобы знать какие, надо их найти, но уже сторонними средствами или дебажить в том что есть. задача решена без тебя, так что тебе стоит тихо зныкнуть.
Ибо фабула твоих постов сводится к трём критериям, но никак ни к теме топа:
1.не мешали б фаберЖе, прокатился бы на ж..
2.дАртоньяном вам не стать, вы не знаете матча..ть.
3.пчёлы это не моё, люблю мушек , всё в гавно.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: shellstorm, v00doo

shellstorm

Вы вот написали свои мысли, но у вас стиль изложения не гуд. Что бы влиться в ваш поток мыслей нужно анализить ваш пост, так как просто чтение его всё лишь усложняет, не говоря про то, что вы написали. Сложностей и так достаточно, но многие вещи лишь кажутся сложными.

Bronco

Сабж вы не можете сформулировать даже. Вы ходите вокруг, можете десяток страниц форума засрать обсуждением ниочём, но никогда не можете сказать чётко и конкретно, формулировать. Даже на это вы не можете просто и понятно ответить.
Известен ваш стиль общения - поток текста бес смысла, главное чтобы он был. Прямо как у школьников на экзамене - оценка ставиться по количеству текста, а не по смыслу.

Добавлено спустя 17 минут
shellstorm

> чувака который с легкостью восстанавливает case, которая составная конструкция и которую в равиоли коде можно восстановить лишь вероятностно, но хомяки хавают этот пиздец.

Вы так выражаете свои мысли, но я это понять не могу. Описывайте плз доступно для понимания, конкретно нужно связывать предложения и обьекты, иначе вообще ничего не понятно.
Case-конструкция, смысл её зависит от темы. Есть лишь одна проблема с этим, но это не относится к данному обсуждению(проблема смещения при реализации анклавов). Зачем вы упомянули эти конструкции, не понимаю.

-----
vx

| Сообщение посчитали полезным: