ScyllaHide - eXeL@B

Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+5 невидимых)

<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>

Посл.ответ	Сообщение
r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 27 июня 2017 14:43 · Личное сообщение · #1 Плаг теперь на github'е https://github.com/x64dbg/ScyllaHide/releases Релиз свежий от 24.06.2017. Добавлено спустя 24 минуты Нуждающимся добавил x64 плаг под иду (sdk 6.95) e7e9_27.06.2017_EXELAB.rU.tgz - ScyllaHideIDAProPlugin-x64.zip ----- старый пень \| Сообщение посчитали полезным: zNob, parfetka, mak, neprovad, VOLKOFF, plutos, nice, VodoleY, dzikar

VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 10 января 2019 13:47 · Поправил: VOLKOFF · Личное сообщение · #2 TryAga1n пишет: У кого-нибудь завалялась сцилка образца 2017 года? Есть --> ScyllaHide_2017-30-05_19-09 <-- --> ScyllaHide_2017-06-04_18-28 + src <-- Есть 1.2 от 2014 Устроит? \| Сообщение посчитали полезным: TryAga1n
Metabolic Ранг: 6.1 (гость), 23thx Активность: 0.01↘0 Статус: Участник	Создано: 10 января 2019 15:41 · Личное сообщение · #3 Последняя сборка 2017 года --> Link <--, если не будет работать на XP, могу предоставить более ранние сборки. \| Сообщение посчитали полезным: TryAga1n
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 14 января 2019 21:54 · Поправил: VOLKOFF · Личное сообщение · #4 --> ScyllaHide_2019-01-14_16-32 <-- Code: Add NtDuplicateObject hook This is actually part of the NtClose hook (in that NtClose is the problem, not NtDuplicateObject), it's just that NtDuplicateObject with DUPLICATE_CLOSE_SOURCE is a very clever way of calling NtClose inside the kernel where our ntdll hook obviously doesn't fly Добавлено спустя 2 часа 15 минут --> ScyllaHide_2019-01-14_21-28 <-- Code: Revert 976f31c for native x86 and Wow64 processes Fixes breakage in places where there is no room for the NOP prefix. Native x64 processes will still have the NOP prefix applied before a hook jmp \| Сообщение посчитали полезным: v00doo
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 06 марта 2019 18:41 · Поправил: VOLKOFF · Личное сообщение · #5 --> ScyllaHide_2019-03-06_16-15 <-- Code: Show a messagebox if the hook DLL does not exist, in case of AVs deleting it ScyllaHide_2019-03-06_19-23 Code: -Add 'olly2patches.h' to the VS project filters file -DLL injection: change the default value of DLLUnload to 0 -DLL injection: replace 'DoThreadMagic' with NtCreateThreadEx-using version -ApplyAntiAntiAttach: remove unneeded check of ntdll image base Ntdll is in \KnownDLLs, it always has the same image base in all processes. Note/TODO: this does not prevent a process from manually mapping ntdll at more than one address, but this was never detected in the first place -ApplyAntiAntiAttach: make sure page is RWX before writing to it
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 11 марта 2019 23:12 · Личное сообщение · #6 --> ScyllaHide_2019-03-11_20-38 <-- Code: Dead code removal CLI injector: remove debug privileges if specified in options CLI injector: kill anti-attach if specified in options
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 26 марта 2019 08:47 · Личное сообщение · #7 --> ScyllaHide_2019-03-25_23-26 <-- Code: NtGetContextThread: if debug registers were requested, zero them
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 05 апреля 2019 18:31 · Личное сообщение · #8 --> ScyllaHide_2019-04-05_13-00 <-- Code: -Update ntdll.h -Add x64 instrumentation callback hook \| Сообщение посчитали полезным: BlackCode
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 06 апреля 2019 00:27 · Поправил: difexacaw · Личное сообщение · #9 VOLKOFF С этой парой костылей отладчик по твоему стал менее заметным ? Увы, но это всё смысла не имеет. Есть есчо куча системных способов его детекта. И это всё без замеров тайминга. Попытка бессмысленна, единственный вариант - отказаться от такого типа отладки/трассировки, решение невозможно(скрыть отладчик). ----- vx
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 06 апреля 2019 00:43 · Личное сообщение · #10 difexacaw Чё обсидиум по зубам дал ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 10 апреля 2019 20:19 · Поправил: difexacaw · Личное сообщение · #11 Я заценил эту поделку. Как и раньше получаем её буфера одним вызовом: Code: comment ' WRK: if (RequestedLimits.MinimumWorkingSetSize && RequestedLimits.MaximumWorkingSetSize) { // // See if the caller just wants to purge the working set. // This is an unprivileged operation. // if (RequestedLimits.MinimumWorkingSetSize == (SIZE_T)-1 && RequestedLimits.MaximumWorkingSetSize == (SIZE_T)-1) { PurgeRequest = TRUE; ... ' EmptyWS proc Local Ps:QUOTA_LIMITS invoke ZwQueryInformationProcess, NtCurrentProcess, ProcessQuotaLimits, addr Ps, sizeof(QUOTA_LIMITS), NULL .if !Eax or Ps.MinimumWorkingSetSize,-1 or Ps.MaximumWorkingSetSize,-1 invoke ZwSetInformationProcess, NtCurrentProcess, ProcessQuotaLimits, addr Ps, sizeof(QUOTA_LIMITS) .endif ret EmptyWS endp EP proc Local Ws[512]:PROCESS_WS_WATCH_INFORMATION ; 8k max. Local S1ze:ULONG invoke ZwSetInformationProcess, NtCurrentProcess, ProcessWorkingSetWatch, 0, 0 invoke EmptyWS invoke ZwQueryInformationProcess, NtCurrentProcess, ProcessWorkingSetWatch, addr Ws, PAGE_SIZE, addr S1ze ----- vx
SegFault Ранг: 44.8 (посетитель), 19thx Активность: 0.04↘0 Статус: Участник	Создано: 10 апреля 2019 23:37 · Личное сообщение · #12 difexacaw и что ето дает?
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 11 апреля 2019 07:08 · Личное сообщение · #13 Ну он повесил монитор набора, сбросил набор и посмотрел потом результаты монитора в которых нашел ссылки на код сцилы. С присущим ему апломбом. Гениально, никто не делал раньше, лол (на самом деле нет). Дальше трех инвоке его код не ушел, поэтому разбор и детект сцилы у него вышел только после ручного долбления лога в самой же олли. Классический код клерка, где чтобы он заработал его надо дебажить. Кстати всю эту хрень можно сварганить при помощи psapi без этих "врк" итд. Так как это потенциальное "information disclosure" с 8.1 и выше это не работает из low IL. Ну нет там обработки этого ну и что с того? Там это пилят очень идейные люди, и достаточный фидбек идет, раз этого там еще нет, значит это просто нигде им еще не попадалось в "боевой" ситуации. Т.е. это классический неуловимый джо. Если бы покойного это так бы волновало, он бы давно пошел и сделал тикет, где хватило бы даже вот этой асм отрыжки для описания.
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 11 апреля 2019 16:07 · Личное сообщение · #14 Alchemistry > чтобы он заработал его надо дебажить. Поведение сервисов не зависит от отладки, это просто способ показать визуально какое сабж уг. Нет тут никакого больше смысла, можешь не искать. > Так как это потенциальное "information disclosure" с 8.1 и выше это не работает из low IL. Отлично работает, проверено есчо перед предыдущим постом. ----- vx
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 11 апреля 2019 17:13 · Личное сообщение · #15 difexacaw пишет: Как и раньше получаем её буфера одним вызовом Очередной пост о том, как приложить совсем немного усилий для решения несуществующей проблемы... Я знаю как минимум с десяток способов задетектить и обломать сабж, тоже касается и DBI движков и любой кто хоть немного разбирается в вопросе, может сказать тоже самое, но внезапно! мы не видим таких постов, ибо никто не хочет лишний раз капитанить, а просто юзает соответствующие инструменты там где они уместны. Но наш любимый поставщик разочарования с 15-ти летним опытом все таки решил поделиться с нами "инсайтом" о неуниверсальности инструмента Х (видимо по сравнению с несуществующим "паровозиком, который смог") в живой природе. В целом спасибо, но все в общем-то в курсе Я сабжем пользуюсь в исключительно редких случаях, ибо он чаще создает проблемы, чем их решает (к сожалению, но имхо), но в тех самых случаях это как раз самый быстрый и незатратный способ решить текущий кейс. А раз уж речь идет о готовых законченных решениях (а не умении героически преодолевать трудности, которые создает твой же собственный инструмент, вместо того, чтобы решать непосредственно прикладную задачу, что мы наблюдаем в немногочисленных бинарях и сырках товарища Инде), то целесообразней было бы наконец выкатить (ну мало ли в припадке здравого смысла) достойную альтернативу, пусть даже на базе текущих опенсурсных вещей. Хотя подобное предложение прокатывает чуть чаще, чем никогда и конец немного предсказуем, так исторически сложилось... потому что каждый год около 200 человек умирают от нападения диких муравьев
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 11 апреля 2019 17:53 · Поправил: Alchemistry · Личное сообщение · #16 difexacaw Я тебя даже воскрешу на эту тему. Отлично работает, проверено есчо перед предыдущим постом. Открываем ядро, ntoskrnl.exe Ищи ExIsRestrictedCaller и ее референсы, PspQueryWorkingSetWatch, NtQueryInformationProcess. Смотришь туда и наблюдаешь if (ExIsRestrictedCaller(PreviousMode)) return STATUS_ACCESS_DENIED; отлично работает - да, но только с медиума и выше. Ну ты там застрял в виндоус хп судя по скрину, так что у тебя все заебися и так. Логирование рабочих наборов это сука такой боян, что кидать это авторам какой-то тулзы как упрек это что-то с чем-то. Если там этого нет до сих пор - значит это или не востребовано или не нужно. Не нравится - сделай тикет, они добавят если сочтут нужным. И самое главное, они там оперируют не пиздежом на форумах и какими-то неуловимыми джо, а фактами из реальной жизни. У них и без твоих джо багов дохера и больше. Есчо глупости будут от тебя?
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 12 апреля 2019 18:47 · Личное сообщение · #17 VOLKOFF А кому это всё нужно, тут все разделы давно следует покилять, оставить один комерс(запросы на взлом). ----- vx
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 29 апреля 2019 08:34 · Личное сообщение · #18 --> ScyllaHide_2019-04-28_22-27 <-- Code: -Don't pass THREAD_CREATE_FLAGS_SUPPRESS_DLLMAINS when injecting a DLL -Validate bitness of DLL files before injecting them -DLL injection: turn error messages into LogError() calls instead of LogInfo() \| Сообщение посчитали полезным: mak
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 03 мая 2019 13:15 · Поправил: VOLKOFF · Личное сообщение · #19 --> ScyllaHide_2019-05-03_23-22 <-- Code: -Add git version info The about box now displays the current git revision count as the patch number instead of 0. The full version number looks like 1.4.<rev-count>-<short-tag> -Update ntdll.h - Fix build error with SDK 10.0.18362.0 - Fix typo in NTDDI_VISTA - Fix NtWaitForWorkViaWorkerFactory declaration for Windows 8 -Put the ScyllaHide ghost icon on a diet - This shaves off 350KB from executables that use it -Update .gitignore -Add version info to plugin DLLs -Remove uses of FlushInstructionCache - This syscall actually does nothing on x86 and x64 architectures -Improve handling of 'Distorm opcode no I_MOV' error - Make the wording of the original error message make sense - If GetSysCallIndex32 fails, print the name of the syscall that could not be hooked - If GetSysCallIndex32 fails, don't spam the user with the same error message box for the remaining syscalls -Add fallback path to make_scmrev.h.bat in case git is not installed -Disable Spectre mitigation crap -Fix deprecated warning with newer Windows SDKs -Update to VS2017 -Fix IDA plugin on WOW64 (#71) -SCMRevGen project: remove DisableFastUpToDateCheck -Move RealGetSystemTime and RealGetLocalTime to HookHelper.cpp -Add Windows 10 WOW64 instrumentation callback hook \| Сообщение посчитали полезным: TRPD
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 08 мая 2019 08:29 · Поправил: VOLKOFF · Личное сообщение · #20 --> ScyllaHide_2019-05-08_12-58 <-- Code: -Fix IDA x64 plugin -Fix hooking syscalls with breakpoints (x64dbg process cookie query) -Merge branch 'master' of https://github.com/x64dbg/ScyllaHide -'Suspend process when applying and restoring hooks' (ну неужели) -Make HookXxx functions return bool; false if DetourCreateRemote fails -Detect hooks before applying new ones and fail if one is found -Write hook DLL data inside the process suspend/resume block \| Сообщение посчитали полезным: plutos
plutos Ранг: 622.6 (!), 521thx Активность: 0.33↗0.89 Статус: Участник _Вечный_Студент_	Создано: 08 мая 2019 22:48 · Личное сообщение · #21 Беда не большая, но почему-то по ссылке https://github.com/x64dbg/ScyllaHide/releases/download/snapshot/ScyllaHide_2019-05-07_21-31.7z выдает 404. Две других ссылки (на source code) работают отлично. ----- Give me a HANDLE and I will move the Earth.
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 09 мая 2019 04:10 · Личное сообщение · #22 plutos ScyllaHide_2019-05-07_21-31.7z \| Сообщение посчитали полезным: plutos
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 16 мая 2019 18:20 · Поправил: VOLKOFF · Личное сообщение · #23 --> ScyllaHide_2019-05-17_02-15 <-- Code: -CLI injector: use settings for PEB patch instead of patching everything -Dead code removal -Make it possible to create profiles that do not cause DLL injection -Add "basic" profile that patches the PEB but does not hook Добавлено спустя 17 часов 25 минут Code: -Remove unused ntdll, kernel32/base and user32 handles from DLL data -Remove NtApiCollection.ini - Get rid of NtApiLoader and replace it with a syscall lookup table (Windows XP through early 10) or win32u.dll addresses (later Windows 10 versions) - Remove NtApiTool/PDBReader project since the NtApiCollection.ini file it generates is no longer used - Rename BlockInput hook to NtUserBlockInput since they are the same function. The INI setting "BlockInputHook" is now also NtUserBlockInputHook - Merge ApplyUser32Hook and ApplyWin32uHook into ApplyUserHook -Update documentation PDF - Remove all references to NtApiCollection.ini - Remove FAQ section since it only dealt with NtApiCollection.ini issues - Misc. spelling/grammar fixes Documentation PDF (2019-05-17)
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 18 мая 2019 11:58 · Личное сообщение · #24 --> ScyllaHide_2019-05-18_10-19 <-- Code: -Improve NtUserBuildHwndList hook - Query NtUserGetClassName and NtUserInternalGetWindowText addresses using the new syscall lookup magic - Add IsWindowBad() helper function which determines for a given HWND not only whether it belongs to the debugger process by PID, but also whether is has a forbidden class name or window text - FilterHwndList: instead of only comparing against the protected PID, use IsWindowBad() both to determine which HWNDs to overwrite and which ones are good replacements. This allows you to have e.g. IDA and x64dbg open and both will be hidden, even if only x64dbg is actively debugging -Fix NtUserBuildHwndList hook on Windows 8 and later - NtUserBuildHwndList gained a boolean parameter in Windows 8, which breaks the call because the original syscall is called with one less argument (which results in STATUS_INVALID_HANDLE). Work around this by exporting a separate HookedNtUserBuildHwndList_Eight function that uses the new prototype. Replace the HOOK_NATIVE() invocation in ApplyHooking.cpp with a manual version that determines the hook to use based on the OS version -Only set the address of NativeCallContinue after all hooks are applied - Fixes an unlikely bug on x86 where the debuggee will crash due to NativeCallContinue being NULL if one or more kernel32 or user32 hooks are enabled but no ntdll hooks -Fix clang error re: pasting invalid preprocessor tokens (hdd->##name) - Fix clang warning re: nonstandard implicit function pointer -> object pointer conversion -Update README.md \| Сообщение посчитали полезным: ClockMan, mak
masterkey0 Ранг: 3.1 (гость) Активность: 0.03↘0 Статус: Участник	Создано: 18 мая 2019 16:53 · Личное сообщение · #25 коллеги, кто-нибудь может пояснить, почему в первой ольге две опции не кликабельны? По сути, их можно задействовать через ini, но работают ли они при этом, я ещё не выяснил
galenkane Ранг: 28.5 (посетитель), 8thx Активность: 0.07↗0.15 Статус: Участник	Создано: 19 мая 2019 03:32 · Личное сообщение · #26 недавно запускал в скилле al-khaser и о чудо, из всех проверок прошли только три.
masterkey0 Ранг: 3.1 (гость) Активность: 0.03↘0 Статус: Участник	Создано: 20 мая 2019 03:47 · Личное сообщение · #27 hash87szf пишет: вам надо усиленно учица гуглевать и читать доки справедливо ) спасибо за то, что делитесь информацией, мне это очень помогает hash87szf пишет: аутпутдебагстр депрекейтед мне смутило легкое раздолбайство разрабов, а именно: опция диприкейтед, но в gui и, что самое злобное, в профилях присутствует. В контекстной справке ни слова и выводе из состава. Конечно, в первую очередь нужно смотреть документацию, my mistake ) hash87szf пишет: х64 фикс маст хэв yeah, but! из gui он выставляется только на встроенных профилях, вручную это можно сделать, только редактируя ini-шник. Вот и возник у меня вопрос, а работает ли опция на самом деле.
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 20 мая 2019 18:29 · Поправил: difexacaw · Личное сообщение · #28 hash87szf > аутпутдебагстр депрекейтед Ты что совсем дурак ?! Это же отладочный вывод, только так логгируются все события системные. Это штатная посылка нотифи в отладчик. ----- vx
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 20 мая 2019 18:58 · Личное сообщение · #29 difexacaw Этого ретарда тяжеловато читать, и что он там вещает порой понятно ему одному. Расшифровываю его поток сознания: он имел в виду, что в мануале Scylla сказано - их хук OutputDebugString более не нужен, потому что они обрабатывают DBG_PRINTEXCEPTION_C.
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 20 мая 2019 19:05 · Личное сообщение · #30 Alchemistry Во первых исключение не будет послано, если сброшен отладочный маркер в PEB. Поэтому в любом случае нужен хук" выводящей сообщения функции. Во вторых как вы догадались про то, что он в своём понимании имеет ввиду, хрустальный шар ? ----- vx
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 20 мая 2019 19:10 · Личное сообщение · #31 difexacaw Потому что ты вырвал кусок из контекста, который я прочитал целиком. Я тебе даже покажу где. hash87szf пишет: вам надо усиленно учица гуглевать и читать доки аутпутдебагстр депрекейтед Открой эту сцилу да посмотри ее код где там какие хуки они ставят, мне как-то фиолетово - это то что у них приведено в доке. \| Сообщение посчитали полезным: difexacaw

<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>

Для печати