Сейчас на форуме: Lohmaty (+7 невидимых)

 eXeL@B —› Вопросы новичков —› Почему не запускается ScyllaHide на Oracle VirtualBox
Посл.ответ Сообщение

Ранг: 9.1 (гость), 20thx
Активность: 0.040.08
Статус: Участник

 Создано: 15 мая 2018 19:26
· Личное сообщение · #1

Добрый вечер.
Пытаюсь запустить ScyllaHide (последняя) + X64DBG (последний релиз) под VM VirtualBox 5.2.10, пробовал Win 7 x32, Win 8 x32, Win 8 x64 - всегда одна и та же ошибка C0000005 после запуска самой программы под отладкой. Падает на пропатченных ScyllaHide функциях, например ZwQueryInformationProcess и т.д.
В чем может быть проблема? На хосте работает хорошо.

c40f_15.05.2018_EXELAB.rU.tgz - 1.jpg



Ранг: 315.1 (мудрец), 631thx
Активность: 0.30.33
Статус: Модератор
CrackLab

 Создано: 15 мая 2018 20:21
· Личное сообщение · #2

Illuzion пишет:
В чем может быть проблема?
в кривом хуке там проблема, и уже достаточно давно.

| Сообщение посчитали полезным: Illuzion

Ранг: 9.1 (гость), 20thx
Активность: 0.040.08
Статус: Участник

 Создано: 15 мая 2018 22:12 · Поправил: Illuzion
· Личное сообщение · #3

SReg пишет:
в кривом хуке там проблема, и уже достаточно давно.

Спасибо. Решил, все работает, запатчил jmp short -> jmp long to Scylla
А есть ли готовое решение/патч?

И еще вопрос. Не получилось в KUSER_SHARED_DATA напрямую запатчить адрес, это возможно из usermode?

P.S. скрин патча в приложении.

c010_15.05.2018_EXELAB.rU.tgz - Screenshot_1.jpg

Добавлено спустя 2 часа 21 минуту
Для Windows 7 Enterprise x86 SP1 у меня работает следующий патч:

Code:
  1. log "X64DBG ScyllaHide hook resolver"
  2. log "KiFastSystemCall = {0}", KiFastSystemCall
  3. cmp "340F", 2:[KiFastSystemCall+2]
  4. jne error
  5. cmp "E990", 2:[KiFastSystemCall-5]
  6. jne error
  7. cmp "8D", 1:[KiFastSystemCall-0B]
  8. jne error
  9. log "Seems everything is OK, ready to patch"
  10.  
  11. mov $VA, 4:[KiFastSystemCall-3]
  12. add $VA, 7
  13.  
  14. fill (KiFastSystemCall-0B), 90, 0D
  15. mov 2:[KiFastSystemCall], "F3EB"
  16. mov 1:[KiFastSystemCall-0B], "E9"
  17. mov [KiFastSystemCall-0A], $VA
  18.  
  19. ret
  20.  
  21. error:
  22. log "ERROR: patch bytes don't match!"
  23. ret


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 16 мая 2018 18:11
· Личное сообщение · #4

Illuzion

> Не получилось в KUSER_SHARED_DATA напрямую запатчить адрес, это возможно из usermode?

Это область не доступна для прямой(это значит что выполняя адресную трансляцию(vm) вы можите любые данные подставить, хоть для процессора не будет выборки, но результат будет темже) записи из юм.

-----
vx

Ранг: 35.3 (посетитель)
Активность: 0.01=0.01
Статус: Участник

 Создано: 14 ноября 2018 12:30
· Личное сообщение · #5

Можно поподробнее про причину ошибок и патчи? У меня на MOVSB исключение C0000005 вылезает, не понимаю, какой JMP править надо.

8a3c_14.11.2018_EXELAB.rU.tgz - c005.PNG




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 14 ноября 2018 12:55
· Личное сообщение · #6

Gauri
См. код Illuzion в сообщении --> #3 <--

Он сначала заполняет код нопами (nop), а потом вбивает два jmp:
- сначала короткий (2 байта: EB F3) в KiFastSystemCall - вверх по коду (по меньшим адресам), чтобы туда вляпать длинный jmp;
- потом длинный jmp (5 байт: E9 46ACCF88): jmp 1E17F0

Но на твоей системе адреса могут отличаться, поэтому у тебя и вылезает ошибка.

-----
EnJoy!

Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

 Создано: 15 ноября 2018 12:30
· Личное сообщение · #7

Gauri

создайте багу в гитхабе сабжа
там толком глянут


 eXeL@B —› Вопросы новичков —› Почему не запускается ScyllaHide на Oracle VirtualBox
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати