Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+5 невидимых)

 eXeL@B —› Софт, инструменты —› ScyllaHide
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
Посл.ответ Сообщение

Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 27 июня 2017 14:43
· Личное сообщение · #1

Плаг теперь на github'е
https://github.com/x64dbg/ScyllaHide/releases

Релиз свежий от 24.06.2017.

Добавлено спустя 24 минуты
Нуждающимся добавил x64 плаг под иду (sdk 6.95)

e7e9_27.06.2017_EXELAB.rU.tgz - ScyllaHideIDAProPlugin-x64.zip

-----
старый пень


| Сообщение посчитали полезным: zNob, parfetka, mak, neprovad, VOLKOFF, plutos, nice, VodoleY, dzikar

Ранг: -0.7 (гость), 170thx
Активность: 0.540
Статус: Участник

Создано: 24 ноября 2017 21:21 · Поправил: shellstorm
· Личное сообщение · #2

difexacaw пишет: Вы вот написали свои мысли, но у вас стиль изложения не гуд.

Там перечислены задачи которые нужно сделать и это минимум, а не гуд, потому что здесь аналогично тому, как кто то не видел разницы между графом и деревьями, но поучительный тон, да. Это несложность, а необходимость, во первых, чтобы сократить портянку кода, во вторых банально ускорить работу выполнения, если динамический анализ. Это только у обоссаных школьников ассемблер всё и все рвет, но реальность немного отличается от фантазии киндеров, на ряде задач качественный jit может порвать качественный компилятор сишки, не говоря уже о том, что выстрадают дети, решать задачи, это не то же самое, что написать темплейт для кейгена на полтора килобайта.



difexacaw пишет: Вы так выражаете свои мысли, но я это понять не могу. Описывайте плз доступно для понимания, конкретно нужно связывать предложения и обьекты, иначе вообще ничего не понятно.

Что тут может быть непонятно, у вас и другого чувака был пост о том, что нет никакой проблемы восстановить case, после подобного все ясно с товарищами, на подобный бред могут повестись лишь школьники, case2case не восстановить с помощью dfs и ida не восстанавливает, потому что на месте этих конструкций будет равиоли, аналог спагетти кода, только с сильным дроблением на блоки и могут быть множественные пересечения.

difexacaw пишет: Зачем вы упомянули эти конструкции, не понимаю.

Зачем вы везде форсите свой визор? Он не имеет отношения к теме и дереву обсуждения от слова совсем, и никто не проявляет к нему особого интереса, вот пишите вы о визоре, а я о нубстве автора визора, когда такие пробелы даже в теории, что тут можно обсуждать, неологизмы которые родило невежество? Чуваку нужно было снять вызов сисколов, все, задача решена, что тут обсуждать, если бы кого то интересовала альтернатива сабжа или другие варианты решения, без уязвимого к подобным детектам отладчика, не вижу проблемы, но когда в каждой второй теме форс на уровне вк раковальника, это мягко говоря выглядит нездорово. Пишете тул, окей, но зачем всем его совать в лицо, как сутенер проститутку, клиентов нет и вряд ли будут. Как будет законченная идея или нормально работающая реализация, тогда с чистой совестью можно создать топ со своими мыслями или проектом, но в данный момент вы говорите синица х*ня, берете журавля, но с такими журавлями лучше душить гномика, больше пользы будет.

| Сообщение посчитали полезным: ajax, Bronco, sefkrd

Ранг: 145.8 (ветеран), 190thx
Активность: 0.140.36
Статус: Участник

Создано: 25 ноября 2017 06:31
· Личное сообщение · #3

Младой человек страдает недостатком внимания, если вы есчо не поняле. Поэтому ему нужен спор и конфликт. На его клоне васма одни подхалимы и дауны, поэтому он приходит сюда.

| Сообщение посчитали полезным: Bronco


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 25 ноября 2017 08:39 · Поправил: difexacaw
· Личное сообщение · #4

shellstorm

> Зачем вы везде форсите свой визор?

Я не форсил, а ответил вам по case. С этим проблемы возникают в двух случаях и оба они к данной теме не относятся - это статик анализ всего кода и динамик защита(проблема смещения), в этих случаях нужно знать функцию индексации, для линейного массива его лимиты. Определить их можно лишь вероятностным путём.

Каким образом это относится к вызову какого то сервиса не понятно. Напомню тут третий лист не могут обработать/вызвать сервис.

Alchemistry

Если бы это было так, то что бы это меняло - ничего. Выбросить следует вашу дурь из головы, юный психиатр

-----
vx





Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 25 ноября 2017 19:32 · Поправил: Bronco
· Личное сообщение · #5

shellstorm пишет:
если бы кого то интересовала альтернатива сабжа или другие варианты решения

из того что уже есть(--> титан<-- и др), натыкается на те же грабли.
для х64 на паблике альтернативного нет ничего.
предложенное в этом --> посте <--, реализовывалось и -->раньше <--, но вроде для х64 не --> перспективно <--
гипервизор пока наиболее привлекательное , но однозначно не паблик решение. перекрыть две архитектуры одним дровом не уверен. про стелс бряки на закуску пока не смаковал.
shellstorm пишет:
перечислены задачи которые нужно сделать и это минимум

упс это даже не тяжёлая артиллерия, это полный глобальный разбор, и как я понял есть проблемы с памятью.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..


| Сообщение посчитали полезным: ajax

Ранг: -0.7 (гость), 170thx
Активность: 0.540
Статус: Участник

Создано: 25 ноября 2017 23:35
· Личное сообщение · #6

Bronco пишет: как я понял есть проблемы с памятью

Там на самом деле много проблем и решение их почти сопоставимо с написанием самого jit, будь то pin или drio.
Подобные инструменты уязвимы к таймингу, поэтому нужно делать фильтр и править результат с учетом средней задержки которую дает jit, другая проблема это выделение и освобождение памяти, вот она как раз самая проблемная, но тоже решаемая, еще есть проблема с хуками системных библиотек и флагами секций, чтобы все проблемы встречались разом это редкость, да и сам детект jit исполнения пока что не стараются особо ловить.

Bronco пишет: гипервизор пока наиболее привлекательное , но однозначно не паблик решение

На данный момент это просто наименее уязвимый к детектам вариант и наиболее универсальный, есть отладчики на базе гипервизора, но часть из них недоделанные, а часть требуют компорт.
Хм, здесь разве что мистер возьмет какой нибудь дров, допилит под отладчик, у него в отличии от нас есть возможность его подписать, думаю ребята из реактоса вряд ли ему откажут, как пример.
Сами же хуки, да полно на гхабе реализаций разной степени паршивости, некоторые варианты даже от крупных вендоров, но все равно придется допиливать под задачу, вот прям готового к использованию и публичного не знаю вариантов.



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 26 ноября 2017 12:20
· Личное сообщение · #7

ScyllaHide_2017-11-26_05-37

Code:
  1. -Remove Hook.cpp/.h as they aren't actually used by anything (this functionality is implemented in RemoteHook.cpp using distorm), and remove LDE64 from the libs dir as it was only required by Hook.cpp in the first place
  2.  
  3. -distorm: define DISTORM_STATIC and SUPPORT_64BIT_OFFSET in the project options as per the documentation. config.h still defines it if it is externally included
  4.  
  5. -distorm: define DISTORM_LIGHT because we don't use distorm_decode() / distorm_format() to print disassembly output
  6.  
  7. -Update distorm




Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 28 ноября 2017 05:49
· Личное сообщение · #8

ScyllaHide_2017-11-27_21-36

Code:
  1. Fix ScyllaHide not working on any x86 version of Windows released in the past 5 years. Not that anybody noticed





Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 29 ноября 2017 11:52
· Личное сообщение · #9

как достало это гавно мамонта вот отладчик с виртуализацией СPU , где ты тра**ешь VMP а он даже это незнает это вещь

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.


| Сообщение посчитали полезным: difexacaw

Ранг: 128.8 (ветеран), 21thx
Активность: 0.060.05
Статус: Участник

Создано: 29 ноября 2017 18:09
· Личное сообщение · #10

ClockMan

WTF ? GDB+IDA ?




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 01 декабря 2017 08:01
· Личное сообщение · #11

ClockMan пишет:
вот отладчик с виртуализацией СPU , где ты тра**ешь VMP а он даже это незнает это вещь

упс... надо смотреть шире
к примеру дебагер в студии мелких, на минуточку ваще не прикрыт от этого злодея.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..





Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 01 декабря 2017 16:22
· Личное сообщение · #12

ClockMan пишет:
вот отладчик с виртуализацией СPU , где ты тра**ешь VMP


а потом ты раз и просыпаешься.

| Сообщение посчитали полезным: VOLKOFF

Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 02 декабря 2017 18:46
· Личное сообщение · #13

ScyllaHide_2017-12-02_16-17

Code:
  1. WriteJumper: prefix a NOP before JMP when writing to the original address (not trampolines). This fixes at least one protector detecting the hook that I know of





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 03 декабря 2017 00:30
· Личное сообщение · #14

ClockMan

На счёт говна мамонта тут и не поспоришь, можно только согласиться

-----
vx





Ранг: 331.1 (мудрец), 561thx
Активность: 0.190.06
Статус: Участник

Создано: 23 декабря 2017 12:24
· Личное сообщение · #15

Вопрос знатокам - работает ли последняя Сцилка с Ида 7.0?

Добавлено спустя 24 минуты
Похоже и тут кислород перекрыли: --> Link <--

-----
Everything is relative...





Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 23 декабря 2017 15:48
· Личное сообщение · #16

Vamit
ее и под 6.8 чет не апдейтят. фигня какая-то

-----
От многой мудрости много скорби, и умножающий знание умножает печаль




Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 23 декабря 2017 17:04
· Личное сообщение · #17

Ну уже после вежливой просьбы Ильфака, там были подвижки типа
Code:
  1. ScyllaHide_2017-11-09_21-00  Add IDA 7.0 process names. You're welcome Hex-Rays SA

но на этом все и остановилось...



Ранг: -0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 13 апреля 2018 16:27 · Поправил: G100M
· Личное сообщение · #18

У меня почему-то даже IsDebuggerPresent не обходит в x64dbg.
Это я дурачок, в pdf написано как ставить в x64dbg.



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 27 августа 2018 11:04
· Личное сообщение · #19

--> ScyllaHide_2018-08-27_08-49 <--

Большой список изменений:
168 commits

| Сообщение посчитали полезным: mak, r_e, BlackCode, TRPD, neprovad, v00doo

Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 02 сентября 2018 09:18
· Личное сообщение · #20

Если есть любители погонять TitanHide на вм-ке, то хорошие новости,- проект не совсем заброшен.
Сегодня было добавлено несколько исправлений:

Code:
  1. *Fix handle leak in NtQueryInformationProcess(ProcessDebugObjectHandle)
  2. *NtClose hook improvements: (#31)  …
  3.  
  4.  - Change the fast mutex guarding the NtClose hook to a kernel mutex. This is slower but safer since it prevents a deadlock in the case that NtClose recursively calls itself, which is highly unlikely but possible
  5. - Use ObQueryObjectAuditingByHandle() to test handle validity. This has the advantage of not needing to clear and reset the process debug port each time ObCloseHandle is called. This way other kernel threads will never see a NULL debug port on a process that is actually being debugged
  6. - Remove the DebugPort class, which was mostly a lot of hairy version specific code to find the debug port offset. This is no longer needed due to above change
  7. Also add a bunch of casts (HANDLE to ULONG) to satisfy the VS2017 compiler
  8.  
  9. *Do not attempt to hook NtSetContextThread if the call is coming from kernel mode
  10.  
  11. -Zw*Get/SetContextThread behaves very differently from *Nt*Get/SetContextThread; e.g. calling ZwSetContextThread will modify a thread's kernel trap frame rather than the user mode CONTEXT structure that the Nt syscall expects. Modifying the KTRAP_FRAME is a good way to kill a thread and probably the rest of the OS with it


Релизов как таковых не было уже давно, но в репке все исправления присутствуют. Для пачгарда по прежнему рекомендуется UPGDSED.

| Сообщение посчитали полезным: Gideon Vi

Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 22 сентября 2018 17:26
· Личное сообщение · #21

--> ScyllaHide_2018-09-22_14-37.7z <--

Code:
  1. - Fix signed/unsigned comparison
  2. - Fix VMProtect detection of NtQueryInformationProcess(ProcessDebugObjectHandle).
  3.  
  4. This was caused by an incorrect order of operations (modifying return length after changing the return status).
  5. In the interest of saving time on both sides, pre-emptively fix this for other syscalls/classes as well




Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 11 октября 2018 22:10
· Личное сообщение · #22

--> ScyllaHide_2018-10-11_11-41 <--

Code:
  1. Fixed return length adjustment for SystemHandleInformation/Ex in HookedNtQuerySystemInformation


| Сообщение посчитали полезным: v00doo, TRPD

Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 18 октября 2018 09:37
· Личное сообщение · #23

VOLKOFF
При попытке указать любую функцию из области ntdll все валится. Win 7 x32.
Code:
  1. D20000: process C:\Windows\notepad.exe has started (pid=2552)
  2. [ScyllaHide] Hook Injection successful, Imagebase 00070000
  3. 76E40000: loaded C:\Windows\system32\ntdll.dll
  4. 0: The instruction at 0x0 referenced memory at 0x0. The memory could not be executed -> 00000000 (exc.code c0000005, tid 2720)


-----
старый пень




Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 18 октября 2018 09:55
· Личное сообщение · #24

r_e, лучше тут
Вчера кстати тоже кто-то на Access Violation под х32 жаловался.



Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 18 октября 2018 11:27
· Личное сообщение · #25

сей ктото уже все починил, но решение зажал



Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 18 октября 2018 12:13
· Личное сообщение · #26

Ну судя по ошибке где-то косяк в резолве базы модуля или адреса функции для сплайсинга. Будем надеятся что пофиксят )
Тут вот, похоже, IdaStealth приводит на ВМваре к triple fault. Вот это беда ))) Ни одного хайдера рабочего.

-----
старый пень




Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 18 октября 2018 17:33
· Личное сообщение · #27

r_e пишет:
Ни одного хайдера рабочего

По причине того, что в последних *дцати версиях сциллы постоянные баги, краши и вылеты(во всяком случае под хр, на виртуалке), я вернулся к оригинальной версии 1.3 от NtQuery, а этот кривой x64dbg форк — фтопку



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 20 октября 2018 10:51 · Поправил: VOLKOFF
· Личное сообщение · #28

В тикете по Вин х32 появился забавный коммент от Mattiwatti, цитирую:

Mattiwatti пишет:
Раз уж на странице загрузки у нас присутствует линк х86 версии ScyllaHide, думаю мы должны выбрать:
- приложить все усилия и запилить работающий х86 код
- перестать наконец притворяться что у нас есть поддержка х86 ОС и оставить в загрузках лишь х64 версию и(или) написать предупреждение, что х86 версия будет корректно работать только под WOW64 на х64 ОС


там он еще ХР упоминает и вообще негодует



Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 20 октября 2018 13:30
· Личное сообщение · #29

VOLKOFF
А оно работает под WOW64? Меня бы устроил и такой вариант. Другой вопрос как оно под х64 rdtsc отрабатывает, если отрабатывает вообще.

-----
старый пень




Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 11 ноября 2018 22:22 · Поправил: VOLKOFF
· Личное сообщение · #30

--> ScyllaHide_2018-11-11_20-41 <--

Code:
  1. -Fixed return length adjustment for SystemHandleInformation/Ex in HookedNtQuerySystemInformation (#59)
  2.  
  3. -InjectorCLI: add optional "nowait" argument to skip waiting for charon exit (#63)
  4.  
  5. * InjectorCLI" add optional "nowait" argument to skip waiting for char on exit
  6.  
  7. * InjectorCLI: remove hardcoded lengths for argument strings.
  8.  
  9. * InjectorCLI: Added "[nowait]" to usage text.
  10.  
  11. * InjectorCLI: return injection status (0 - ok, failed otherwise).
  12.  
  13. -Update documentation PDF sources
  14. - Update... date
  15. - Update version number to 1.4. This is not a real version update, but the title incorrectly said v1.3
  16. - Update link to TitanHide repository
  17. - Update screenshots because they were years out of date (using the new Windows 10 dark theme so it doesn't look like this is a plugin for Windows 95)
  18. - Compress screenshots with PNGOUT magic so they are now half their original file size, making the resulting PDF 30% smaller while containing 5% more content. Ken Silverman be praised
  19. - Change claim of support for "Hex-Rays IDA v6+" to "Hex-Rays IDA v6" to not give the impression that IDA v7.x is supported
  20. - Document the new "nowait" flag for the CLI injector added in efd8002
  21. - Add mrexodia and Mattiwatti to developer contact information section
  22. - Misc. cleanup: remove empty sections, force early page breaks in places where there were unfortunate <title><page break><content> scenarios
  23. -Update README.md
  24. - Update PDF download link
  25. - Change claim of support for "Hex-Rays IDA v6+" to "Hex-Rays IDA v6" to not give the impression that IDA v7.x is supported




Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 10 января 2019 13:15
· Личное сообщение · #31

У кого-нибудь завалялась сцилка образца 2017 года? На гитхабе все релизы потерли, а новые с XP не дружат


<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
 eXeL@B —› Софт, инструменты —› ScyllaHide
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати