ScyllaHide - eXeL@B

Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+5 невидимых)

<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>

Посл.ответ	Сообщение
r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 27 июня 2017 14:43 · Личное сообщение · #1 Плаг теперь на github'е https://github.com/x64dbg/ScyllaHide/releases Релиз свежий от 24.06.2017. Добавлено спустя 24 минуты Нуждающимся добавил x64 плаг под иду (sdk 6.95) e7e9_27.06.2017_EXELAB.rU.tgz - ScyllaHideIDAProPlugin-x64.zip ----- старый пень \| Сообщение посчитали полезным: zNob, parfetka, mak, neprovad, VOLKOFF, plutos, nice, VodoleY, dzikar

difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 20 мая 2019 19:40 · Поправил: difexacaw · Личное сообщение · #2 Alchemistry Понятно. Я не читал док плагина, мне он не нравится, из за патчей в юзермод. С тем пациентом всё ясно, но а с дебагпринтом нет. В зависимости от маркера в пеб выполняется посылка сообщения юзер отладчику исключения(того DBG_PRINTxx) или ядерному отладчику, это совершенно разные механизмы. Что бы началась посылка исключений маркер должен быть установлен, но тогда это запалит отладчик. Эта область памяти специфическая, она не может быть освобождена или изменены её свойства, но для этих блоков ядро поддерживает монитор(#PG). Тоесть блок может быть guard(типо как стек), при выборке сработает ловушка(это однопоточный механизм). Но эти плагины столь примитивны, что они не могут подменять выборку(DF). Это примитивная сервисная обработка. Поэтому что бы исключение вбрасывалось нужно захватить функцию вывода, иначе никак. ----- vx
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 22 мая 2019 08:59 · Поправил: VOLKOFF · Личное сообщение · #3 --> ScyllaHide_2019-05-23_01-01 <-- Code: -NtUserQueryWindow hook improvements - Do not return the real PID or TID of any window with a bad owner process, window class name or title - Instead of returning a bogus handle, return the debuggee's own client ID -Don't leave RWX pages around after hooking (change to RX) -Fix memory leak in GetModuleBaseRemote -Better heap (force) flags clearing … - The original method of a whitelist for the heap flags and simply zeroing the force flags is overly aggressive and also clears flags set by protectors (leading to detections) and flags set by the debuggee (leading to crashes due to missing e.g. HEAP_CREATE_ALIGN_16). Switch to a blacklist-based approach of clearing only those (force) flags that are valid and indicate the presence of a debugger and/or NtGlobalFlags -Make user32/win32u.dll hooks work on Windows 10 WOW64 -Update release.bat \| Сообщение посчитали полезным: ClockMan
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 01 июня 2019 10:57 · Поправил: VOLKOFF · Личное сообщение · #4 --> ScyllaHide_2019-05-31_22-45 <-- Code: -Fix IDA plugin build -Ignore return value in HOOK_NATIVE_NOTRAMP since it is always NULL -"Obsidium fixes": - Enable NtUserQueryWindow hook for Obsidium profile - Obsidium thinks anyone who simply has a WinDbg window open is out to get them, and uses some 1990s era detection techniques like window enumeration to find these evil hacker tools. Guess what, some people use WinDbg and IDA for their work (shock!). Isn't it ironic that Obsidium protected software is actually more user friendly when you run it in a debugger? - Write WOW64 x64 transition detours as far jmps - Obsidium checks syscalls for hooks, or at least it tries to. But if something only kinda looks like the original it's good enough. And thus was born: the absolute far jmp with segment selector that doesn't actually change the segment. Good to go! - Tip for Obsidium: take a cue from your competitors at VMProtect and try doing something that's actually innovative and hard to bypass instead of these hardcoded byte checks. I almost feel second hand embarrassment committing this - Same thing as previous commit, but for native x86 - OK, I admit I clearly stopped trying here. But I bet I still put more effort into this lazy hack than Obsidium put into their hook detection \| Сообщение посчитали полезным: plutos, Ate
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 02 июня 2019 09:37 · Личное сообщение · #5 Я сурки листал, заметил это: // Windows 10 NtQueryInformationProcess specific Интереса ради решил посмотреть: Code: .text:4B2EA3D0 _ZwQueryInformationProcess@20 proc near .text:4B2EA3D0 mov eax, 19h .text:4B2EA3D5 call $+5 .text:4B2EA3DA pop edx .text:4B2EA3DB cmp byte ptr ds:(off_4B2EA3EB+3 - 4B2EA3DAh)[edx], 4Bh .text:4B2EA3DF jnz short loc_4B2EA3EF .text:4B2EA3E1 call large dword ptr fs:0C0h .text:4B2EA3E8 retn 14h .text:4B2EA3E8 ; --------------------------------------------------------------------------- .text:4B2EA3EB off_4B2EA3EB dd 4B280000h .text:4B2EA3EF ; --------------------------------------------------------------------------- .text:4B2EA3EF loc_4B2EA3EF: .text:4B2EA3EF mov edx, offset _Wow64SystemServiceCall@0 .text:4B2EA3F4 call edx .text:4B2EA3F6 retn 14h .text:4B2EA3F6 _ZwQueryInformationProcess@20 endp Это использование дельта-смещения в системном модуле с релоками ----- vx
ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 10 июня 2019 00:41 · Личное сообщение · #6 difexacaw там много жути по коду вопрос в другом. кто-то юзал сциллахайд не для трейса, а в своем модуле для а-антидебага (подгрузка сциллахайд)? как реализовали? чистая подгрузка хрен что дает, или я торможу уже смысл - инжект в процесс под ида7 x64, родная трассировка, а окошки иды и прочее запрятаны должны быть ----- От многой мудрости много скорби, и умножающий знание умножает печаль
fedik Ранг: 3.5 (гость), 1thx Активность: 0.03↘0 Статус: Участник	Создано: 10 июня 2019 01:47 · Личное сообщение · #7 у Скилы (Сцылы?) ведь плаг для Иды?
galenkane Ранг: 28.5 (посетитель), 8thx Активность: 0.07↗0.15 Статус: Участник	Создано: 10 июня 2019 08:34 · Личное сообщение · #8 fedik если вы хотели спросить есть ли плагин для иды, то могу ответить вам что его нет
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 10 июня 2019 09:21 · Личное сообщение · #9 fedik ScyllaHide -Standalone (debugger-independent) -OllyDbg v1 -OllyDbg v2 -IDA v6 -x64dbg -TitanEngine
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 10 июня 2019 10:31 · Личное сообщение · #10 ajax > в своем модуле для а-антидебага А зачем это нужно. Необходимость в таких плагинах это косяк разрабов отладчиков - используют штатный дебаг механизм, просто что бы крутить элементарный дебаг цикл и получать несколько сообщений(запуск потоков, исключения). Тоже самое можно сделать и без дебаг механизма, тогда ничего скрывать не нужно. ----- vx
plutos Ранг: 622.6 (!), 521thx Активность: 0.33↗0.89 Статус: Участник _Вечный_Студент_	Создано: 10 июня 2019 10:52 · Личное сообщение · #11 fedik пишет: у Скилы (Сцылы?) ведь плаг для Иды? galenkane пишет: fedik если вы хотели спросить есть ли плагин для иды, то могу ответить вам что его нет Есть же ScyllaHide --> documentation <--PDF. Или проще бежать на форум с таким вопросом, чтобы получить такой же ответ? Code: 2.4 IDA v6 32-bit: Copy scylla_hide.ini, HookLibraryx86.dll and ScyllaHideIDA.plw to your IDA plugins directory. 64-bit: Copy scylla_hide.ini, HookLibraryx64.dll, ScyllaHideIDASrvx64.exe and ScyllaHideIDA.p64 to your IDA plugins directory ----- Give me a HANDLE and I will move the Earth.
PEvgen Ранг: -1.9 (гость), 3thx Активность: 0.16↘0.1 Статус: Участник	Создано: 12 июня 2019 11:52 · Личное сообщение · #12 Доброго времени суток! Поставил Scilla на x32dbg - работать не желает! Выдает следующее: [img]http://www.cyberforum.ru/attachments/1047173d1560188484[/img] В то же время на VM эта ошибка отсутствует... Объясните новичку что это и как с этим бороться...
Vamit Ранг: 331.1 (мудрец), 561thx Активность: 0.19↘0.06 Статус: Участник	Создано: 12 июня 2019 15:01 · Личное сообщение · #13 Поставил Scilla на x32dbg - работать не желает! Какая операционка, либы все просканировали как указано в документации? Если делать всё по инструкции, то проблем быть не должно. ----- Everything is relative...
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 12 июня 2019 16:05 · Личное сообщение · #14 Code: if (!ReadProcessMemory(hProcess, lpFuncOrig, originalBytes, sizeof(originalBytes), nullptr)) { MessageBoxA(nullptr, "DetourCreateRemoteX86->ReadProcessMemory failed.", "ScyllaHide", MB_ICONERROR); Если бы это было ограничение прав, то ошибка была бы при открытии процесса. Тогда варианта два - либо какой то ав блокирует операцию, либо операция с невалид адресом. ----- vx
PEvgen Ранг: -1.9 (гость), 3thx Активность: 0.16↘0.1 Статус: Участник	Создано: 12 июня 2019 17:44 · Личное сообщение · #15 Vamit пишет: Какая операционка Win7x64 Vamit пишет: как указано в документации документации чего? Scillы? В глаза не видел.....в той что с пакетом шла ничего вообще нету, в доках дебагера тоже ничего не нахожу... Добавлено спустя 1 минуту difexacaw пишет: Тогда варианта два - либо какой то ав блокирует операцию Отключение АВ ничего не дало...
Vamit Ранг: 331.1 (мудрец), 561thx Активность: 0.19↘0.06 Статус: Участник	Создано: 12 июня 2019 18:42 · Личное сообщение · #16 документации чего? Scillы? В глаза не видел..... Не знаю что вы там загрузили, но в пакете идет pdf файл с описанием инсталяций, а в папке NtApiTool утилиты под конкретную операционку для создания NtApiCollection.ini файла, он обязателен. ----- Everything is relative...
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 12 июня 2019 19:10 · Поправил: VOLKOFF · Личное сообщение · #17 PEvgen пишет: В то же время на VM эта ошибка отсутствует Если на ВМ аналогичный сеттинг ОС и программы, то скорее блочит что-то из "защиты". В конце концов можно попробовать отладить отладчик и посмотреть. \| Сообщение посчитали полезным: PEvgen
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 12 июня 2019 22:26 · Личное сообщение · #18 PEvgen > Отключение АВ ничего не дало... Отключение не значит что отключение его фильтров. Как минимум известно что у вас запущен ав, вот он вероятно и блокирует. Добавлено спустя 5 минут VOLKOFF А что там смотреть, сервис вернёт ACCESS_DENIED или ошибку копирования, из за того что область невалид, но такой расклад маловероятен. ----- vx
PEvgen Ранг: -1.9 (гость), 3thx Активность: 0.16↘0.1 Статус: Участник	Создано: 13 июня 2019 08:39 · Личное сообщение · #19 difexacaw пишет: Отключение не значит что отключение его фильтров. С полностью не загруженым ситуация аналогичная... Добавлено спустя 1 минуту Vamit обнаружена подозрительная активность, похожая на троллинг. Добавлено спустя 28 минут VOLKOFF пишет: В конце концов можно попробовать отладить отладчик и посмотреть. Я не знаю как словить момент загрузки Scilla (в смысле попробовал)... Добавлено спустя 34 минуты К слову... c76e_13.06.2019_EXELAB.rU.tgz - scylla_hide.log Добавлено спустя 3 часа 32 минуты В общем, перепроверив на виртуалке выяснил, что, таки, фаервол блокирует, а на виртуалке с WinXP - нет! интересно, существует ли решение помимо отказа от софта или замены хз на что?
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 13 июня 2019 18:59 · Личное сообщение · #20 PEvgen > таки, фаервол блокирует Как и предполагалось. > существует ли решение помимо отказа от софта Удали этот авер, он тебя не защищает, а только мешает и создаёт видимость защиты. ----- vx \| Сообщение посчитали полезным: morgot
PEvgen Ранг: -1.9 (гость), 3thx Активность: 0.16↘0.1 Статус: Участник	Создано: 13 июня 2019 20:29 · Личное сообщение · #21 difexacaw пишет: > существует ли решение помимо отказа от софта Удали этот авер, он тебя не защищает, а только мешает и создаёт видимость защиты. Удалить софт не отказываясь от него? ) Удаление АВ и ФВ по моему не вариант....если с АВ я еще согласен, что он скорее вредитель (в виду неограниченных прав и непорядочности человеков), то ФВ, в котором собственно и проблема - нет! Я понимаю, что украсть у меня нечего, но залезающих, прошу прощения, "посрать" ребят я им хоть как-то сдерживаю....Да и непонятно, почему на ХР-шной виртуалке с ним нету проблем.
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 13 июня 2019 21:27 · Поправил: difexacaw · Личное сообщение · #22 PEvgen Никого не волнуют ваши трудности и софт. Вот мне например интересно было что за фигня с чтением памяти - я понял и мне уже глубоко пох что у вас там за авер и сколько он стоит. > почему на ХР-шной виртуалке с ним нету проблем. Потому что XP и например 8-ка это совершенно разные ОС. В десятке вообще это всё говно не запустится наверно. Моё мнение такое - эти плагины для кривого отладчика удел школьников(какой то ппц основанный на патчах, да есчо и удалённых - из другого процесса это дичайший изврат), норм чуваки юзают норм инструменты - виндебаг и визоры в разных вариантах, их много очень. ----- vx
morgot Ранг: 69.9 (постоянный), 82thx Активность: 0.14↗0.73 Статус: Участник	Создано: 13 июня 2019 22:51 · Личное сообщение · #23 PEvgen не знаю, правильно ли я понял суть проблемы. Но - для реверса лучше держать отдельное железо / ВМ без аверов. Это должна быть чистая ОС, без шлака, который везде лезет и все перехватывает. На ХР совсем другая архитектура + вы не написали, есть ли там ав-софт. \| Сообщение посчитали полезным: difexacaw
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 14 июня 2019 00:52 · Личное сообщение · #24 morgot Они не понимают на счёт аверов, что фильтры ав - обьект атаки, впрочем это нормально для юзера. Вопрос в другом, зачем нужны эти плагины. Я например их не юзаю. Человек использующий отладчик должен понимать с чем имеет дело и механизмы. Дебаг механизм это своего рода некоторый мод, где очень сильно изменяется окружение и что то там скрыть врядле вобще возможно. Можно конечно из г&п построить примитивный механизм фильтрации и пропатчить образ нэйтив, но это всё фигня. Если человек не может преодолеть трудность без готового софта, то на этом нужно заканчивать, закрыть всё и забить. ----- vx
PEvgen Ранг: -1.9 (гость), 3thx Активность: 0.16↘0.1 Статус: Участник	Создано: 14 июня 2019 05:06 · Личное сообщение · #25 Мне жаль людей, живущих под диктовку....(нет!) Хотя многие этим довольны - из них....Голова стала еще одним "ненужным органом".
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 14 июня 2019 11:12 · Поправил: difexacaw · Личное сообщение · #26 PEvgen Так ты САМ не смог даже выполнить примитивные действия в пару кликов что бы посмотреть код ошибки(статусный код). А есчо и авера поставил Да, а пришёл спрашивать вопрос на котором нужно гадать. e334_14.06.2019_EXELAB.rU.tgz - scy.7z ----- vx
Bronco Ранг: 312.0 (мудрец), 349thx Активность: 0.46↗0.65 Статус: Участник Advisor	Создано: 07 сентября 2019 14:06 · Личное сообщение · #27 Пока не вкурил, на чём сабж палится, но на последнем билде винды что то не всё гладко. Функи вроде похучены правильно, по ретурнам ещё не разбирался, адрес возврата после сиськи гавнопрота в стеке есть, и прерывания на ней по ходу не было, хотя аппаратный зарегистрирован. --- чуть чуть не по теме. не срослось поставить старый билд вин10, из-за девайсов hdd&ssd(SCSI\Disk___Intel_Optane+932GBHDD16.8). Как дрова подкинуть инсталу понятно, но как их в образ всунуть хз. В итоге на первом ребуте гальма. ----- Чтобы юзер в нэте не делал,его всё равно жалко..
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 07 сентября 2019 16:58 · Личное сообщение · #28 Bronco пишет: как их в образ всунуть хз попробуй NTLite \| Сообщение посчитали полезным: Bronco
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 07 сентября 2019 18:16 · Личное сообщение · #29 Bronco Опиши проблему понятной. Может я бы и помог чем то, но твой эльфийский язык не понимаю. ----- vx
Bronco Ранг: 312.0 (мудрец), 349thx Активность: 0.46↗0.65 Статус: Участник Advisor	Создано: 07 сентября 2019 21:09 · Поправил: Bronco · Личное сообщение · #30 difexacaw пишет: Опиши проблему понятной. для обхода вмп_сисек, по скрипту три аппаратных, и после первого детект отладки. если поскролить в окне стека, то после "первого прерывания", можно найти адрес возврата в секцию гавнопрота.Набор антидебага стандартный для вмпротекта, часть сабж перекрывал по дефолту. Надо вникать, почему аппаратный не сработал. ----- Чтобы юзер в нэте не делал,его всё равно жалко..
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 08 сентября 2019 00:53 · Поправил: difexacaw · Личное сообщение · #31 Bronco Лучше вообще не трогать др-контекст. Я например в крэкми решил использовать его как содержащий ключи, тогда отладчик с ним не сможет работать. Что бы о чём то говорить конкретно, нужно снять два лога - сервисный и по исключениям вне отладчика. Иначе это гадание, к примеру есть кучи способов снять тайминг, под отладочным портом он на порядки ниже для исключений, так как их доставка происходит через тормозные механизмы по типу lpc. Например файловый I/O - filebasicinfo вернёт время последней выборки или например nt-таймеры. Один из протов(аспротект вроде) использует два процесса и синхронизацию, у которой задан таймаут. Так вот если их крутить визором, то происходит временное переполнение и обмен прекращается с ошибкой.. Добавлено спустя 19 минут Ну а что бы запалить любые плаги есть способы, вот например: Code: ; + ; assume fs:NOTHING WsGet proc uses ebx esi edi Local Self:RANGE, Exe:RANGE Local Mm[512]:ULONG Local Wse:DWORD mov ecx,fs:[TEB.Peb] invoke MmQueryViewSize, PEB.ImageBaseAddress[Ecx], addr Exe .if !Eax invoke MmQueryViewSize, SFC.Ip[Ebp], addr Self .if !Eax lea eax,Mm push NULL push 5124 push* eax push MemoryWorkingSetList push 0 push NtCurrentProcess mov eax,CRC_NT_QUERY_VIRTUAL_MEMORY Call WspGate add esp,64 .if !Eax mov* ebx,MEMORY_WORKING_SET_LIST.NumberOfEntries[Mm] .repeat mov eax,MEMORY_WORKING_SET_LIST.WorkingSetInfo[Mm][ebx4][-4] bt eax,1 ; MM_EXECUTE \| MM_EXECUTE_READWRITE \| MM_EXECUTE_WRITECOPY mov* Wse,eax .if Carry? .if (Eax < Self.Base) \|\| (Eax >= Self.Limit) ; ~ current .if (Eax < Exe.Base) \|\| (Eax >= Exe.Limit) ; ~ exe invoke MmCrc, Wse .if (Eax != CRC_NTDLL) && (Eax != CRC_WOW64) && (Eax != CRC_WOW64CPU) && (Eax != CRC_WOW64WIN) ; ntdll.dll ; wow64.dll ; wow64cpu.dll ; wow64win.dll .if !Eax ; !File bt Wse,8 ; Shared for XP jc Skip .endif mov eax,-1 jmp Exit .endif .endif .endif .endif Skip: dec ebx .until Zero? xor eax,eax .endif .endif .endif Exit: ret WspGate: %NTCALLCRC WsGet endp ----- vx

<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>

Для печати