• XSS.stack #1 – первый литературный журнал от юзеров форума

Sentinel в своем репертуаре

Отслеживать
Stupor

Stupor

system level
Пользователь
Регистрация
09.01.2023
Сообщения
446
Реакции
243
Гарант сделки
5
Депозит
0.0001
Давно забросил тему АВ, но вчера случайно столкнулся с EDR Sentinel One 24.1.2.188,
(правда ставил я ее на Windows Server 2025, но думаю везде так).
Обнаружилась очередная тупая фишка этого АВ в таблицах загрузчика.
Видимо это сделано для противодействия поиску баз по именам и хешам имен библиотек.
Остается догадываться, почему их больной мозг не догадался пропатчить в PEB имена всех системных библиотек.

Код: 
PLDR_DATA_TABLE_ENTRY -> InMemoryOrderLinks:
xxxxx.exe
ntd1l.dll       - [real library with fake name]
kern3l32.dll    - [real library with fake name]
ntdll.dll              - [fake library with real name]
KERNEL32.DLL           - [fake library with real name]
Я как то раньше не замечал этого если оно так и было, т.к. не использую имена либ. для поиска баз.
Т.е. ntdll kernel32 по их мнению это чрезвычайно опасные либы, а то никто не знает что системный загрузчик их помещает постоянно и поочередно exe, ntddl, kernel32.dll и базы к ним легко находятся по их порядку.
 
Последнее редактирование:
Apocalypse сказал(а):
На моей памяти были dll-ки АВ, которые были первее системных. Можно еще ресурсы смотреть по Version
Там ресурсы не посмотришь, т.к. этих фейк dll на диске не существует.
 
Stupor сказал(а):
Там ресурсы не посмотришь, т.к. этих фейк dll на диске не существует.
Я имел в виду ресурсы настоящих dll, у этих в памяти они есть.

Немного покопал этот момент, так вот эти fake-dll в памяти сделаны из оригинальных, часть кода-ресурсов стерта-изменена (например Version Info), но там также стоят хуки на Zw*/Nt* апишках и ведут в inprocessclientXX.dll

Видимо оно сделано для перехвата малвари, которая из PEB берет первые два модуля и не проверяют их имена.
 
Stupor сказал(а):
Т.е. ntdll kernel32 по их мнению это чрезвычайно опасные либы, а то никто не знает что системный загрузчик их помещает постоянно и поочередно exe, ntddl, kernel32.dll и базы к ним легко находятся по их порядку.
Насколько я знаю там связанный список и поменять их расположение не проблема
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх