Статья Обход проактивной защиты антивирусов

[X-Shar]

Вот хорошая статья как получить номер сискола, с приведенным решением:https://www.evilsocket.net/2014/02/...anism-and-syscall-numbers-extraction-methods/

Да я не стал в этой статье раскрывать тему сисколов, про то-что говорит Апокалипс, это нужно сделать свою обертку, т.е. по сути самим в программе вызывать сискол, минуя ntdll.

Идея хорошая, можно попробовать.

 

[weaver]

Ну кто-то просто перепостил эти статьи в телегу, или он там себе авторство присваивает, не совсем понимаю?

Он рофлит не обращай внимания

 

[heybabyone]

Идея хорошая, можно попробовать.

Идея отличная кста, я вот как нуб буду рад углубиться в сисколы. Тем более разрешено писать несколько статей)
А Апокс, хз, было бы круто увидеть от него статью, но он жи в своем репертуаре, ничего не раскроет))) Хотя инфа от него льется по его мессагам)

Одним словом - сисколы!

Видел эту статью в одном телеграмм канале,автор статьи krebs. Ты автор канала? Так же и конкурентная Обфускация С/С++ кода с помощью Python и libclang. Часть №1.Тоже на канале)...

Если он указал источник, то вродь можно по правилам.
Можно линк?
Спасибо.

 

[RED]

Сисколлы не панацея. Тут есть два варианта, либо хардкодить таблицы с их номерами под каждый билд ОС, либо дизасмить нтдлл в рантайме и вытаскивать номера. Только вот, если внутри нтдлл что-то поменяется - всё рухнет. Первый метод стабильнее, в случае отсутствия нужного билда можно завершить работу.

 

[CFiBO]

Идея отличная кста, я вот как нуб буду рад углубиться в сисколы. Тем более разрешено писать несколько статей)
А Апокс, хз, было бы круто увидеть от него статью, но он жи в своем репертуаре, ничего не раскроет))) Хотя инфа от него льется по его мессагам)

Одним словом - сисколы!

Если он указал источник, то вродь можно по правилам.
Можно линк?
Спасибо.

Обход проактивной защиты антивирусов

Всем привет, в этой статье хочу обсудить тему обхода проактивной защиты антивирусов и других решений в реальном времени. Что сподвигло меня написать эту статью ? Ну разумеется жажда наживы, ведь бабло побеждает зло.))) Я просмотрел форум, так и форумы схожих тематик, там-где есть у меня доступ и...

telegra.ph

 

[Roller]

Идея отличная кста, я вот как нуб буду рад углубиться в сисколы.

здесь есть кое-что, с примерами вызовов..

 

[X-Shar]

здесь есть кое-что, с примерами вызовов..

Спасибо за статью, посмотрим как со временем, попробую сделать проект, с реализацией функций открытие/чтение/запись при помощи сисколов, ну и если получится напишу вторую часть этой статьи, типо дополнение и раскрытие темы сисколов.)

Ну разумеется, проект будет как положенно в вижуалке на си, на ассемблере только вызовы syscall, с передачей параметров.

Попробую сделать именно для windows 10, т.е. для x64.

Хочу извинится может-быть за школьные статьи, я тоже учусь, эти все технологии для меня например новые, т.к. я не работаю профессионально в иб. т.е. я не авер, не малварьщик и не реверсер...

Но интересно, многие наверное скажут что конкурс это не место для учебы, как-бы статьи должны учить чему-то, но никто-же не гарантирует что статья займет призовое место, а так мне даже нравится, есть какой-то стимул что-то изучить, есть обратная связь.)

В общем тут польза больше не в денежном призе, хотя он тоже не плохой, а в скиле который можно наработать в таких статьях.)

 

[heybabyone]

Спасибо за статью, посмотрим как со временем, попробую сделать проект, с реализацией функций открытие/чтение/запись при помощи сисколов, ну и если получится напишу вторую часть этой статьи, типо дополнение и раскрытие темы сисколов.)

Ну разумеется, проект будет как положенно в вижуалке на си, на ассемблере только вызовы syscall, с передачей параметров.

Попробую сделать именно для windows 10, т.е. для x64.

Хочу извинится может-быть за школьные статьи, я тоже учусь, эти все технологии для меня например новые, т.к. я не работаю профессионально в иб. т.е. я не авер, не малварьщик и не реверсер...

Но интересно, многие наверное скажут что конкурс это не место для учебы, как-бы статьи должны учить чему-то, но никто-же не гарантирует что статья займет призовое место, а так мне даже нравится, есть какой-то стимул что-то изучить, есть обратная связь.)

В общем тут польза больше не в денежном призе, хотя он тоже не плохой, а в скиле который можно наработать в таких статьях.)

В качестве дополнения к сисколам (чтоб сухо не получилось) попробуй решить то, что я выше писал, а именно адреса функции. Будешь ли под каждый ОС отдельный брать или из ntdll.dll реверсить на месте смотреть. Ну, дело твое) Действительно, темы много на сисколов, но хочется увидеть кроме того, что я выше написал, тесты аверов на динчеке. Во, это буде не сухо и интересно. Если осилишь. (а я уверен, что осилишь)

Может для кого-то статьи твои смешные и глупые, но таким нубам как я и другим вполне себе нормас как для практики изучения.
В конце концов, все мы учимся

 

[DildoFagins]

Может для кого-то статьи твои смешные и глупые, но таким нубам как я и другим вполне себе нормас как для практики изучения.

Ну знаешь, если мне память не изменяет, то на прошлом конкурсе его статья заняла призовое место, и еще одно призовое место заняла статья, где автор искал уязвимости в коде его статьи. Так что считай, что он сделал два призовых места своей статьей.

 

[heybabyone]

Ну знаешь, если мне память не изменяет, то на прошлом конкурсе его статья заняла призовое место, и еще одно призовое место заняла статья, где автор искал уязвимости в коде его статьи. Так что считай, что он сделал два призовых места своей статьей.

ну он тогда не один жи писал. С Jeffs. Ну в целом да. Лайк было за готовое реализацию кода, и лайканули +100500 скрипткиддсов. Ну считай, на паблике вполне себе такой норм лодырь, который да еще поддерживается. Не рай ли школьников?) Ах еще стилер был...
Кста, ты тоже можешь написать еще статью на счет Сишки, плюсах, асма, в общем low level программинг. Такое редко пишется. И еще отдельное упоминание заслуживает Octavian со своим криптором. Вот это был уровень, ну и сейчас старт не плохой) Криптор, рат, обфускатор...

 

[DildoFagins]

У меня есть интересная (ну в моей голове она кажется сейчас интересной) идея по анализу и обхода юзермодных хуков, завтра надо потыкать в код, если все заработает, то будет хорошая вторая статья.

 

[X-Shar]

а именно адреса функции. Будешь ли под каждый ОС отдельный брать или из ntdll.dll реверсить на месте смотреть.

Ну естественно буду автоматичеки вычислять номера сисколов, иначе и смысла делать нет.)

Вообще хочу сделать проект, по сути движек, по началу там будут системные вызовы Create/Read/Write, если всё заработает, выложу в гит, там потом может сообщество дополнит для других функций, а т.к. это будет в виде модуля, то его можно потом будет подключать для других проектов, короче что-то типо такого проекта, только для сисколов:https://github.com/XShar/Win_API_Obfuscation

В итоге если будет рабочий проект и сообщество поддержит, то современем этот модуль может быть как замена ntdll.

Но пока это просто слова, нужно всё это проверить, закодить и т.д.

 

[Quake3]

А можно ли заранее на всех линейках узнать какой адрес, сделать массив и в рантайме в зависимости от OS?

Можно, вот таблицы https://github.com/j00ru/windows-syscalls , но это не очень хорошее решение, мягко гвооря.
По сисколам множество матчасти есть, от древних статей до "переизобретенной" техники HellsGate (куча сорцев на гитхабе). Насчет эффективности хз, от юзермодных хуков мб и спасет, от ядра понятно что нет.

 

[heybabyone]

Насчет эффективности хз, от юзермодных хуков мб и спасет, от ядра понятно что нет.

А есть ли какой-либо выход? Т.е. антихук на уровне ядра или что-то еще такое? Я прост не шарю

 

[X-Shar]

Лучше дизасемблировать ntdll и в автоматическом режиме получать номер сискола, тогда будет универсальный вариант для всех систем и вызовов, вот такой код примерно будет у всех функций на ассемблере:

my_syscall proc
        mov r10, rcx
        mov eax, number_syscall
        syscall
        ret
my_syscall endp

Вот number_syscall и нужно получить будет, только и всего.

Дальше можно либо макросом создавать нужные функции, либо вручную, что тоже несложно.

Короче самое сложное в этой задаче, это распарсить ntdll и вытянуть от туда номер сискола.)))

 

[DildoFagins]

Короче самое сложное в этой задаче, это распарсить ntdll и вытянуть от туда номер сискола.)))

Я сегодня экспериментировал с поиском похученных функций, надо еще на аверах потестить и подумаю, хватает ли материала на статью или нет. Дизассемблер есть встроенный в венду, если что.

 

[X-Shar]

Я могу на динчеке проверить, сделай модификацию инжекта от каими, я так хотел проверить, на динчек залить.

Если что могу залить, у меня есть акк.

Ты наверное быстрее сделаешь.)

У меня опыта в этом деле меньше просто.

 

[DildoFagins]

Я могу на динчеке проверить, сделай модификацию инжекта от каими, я так хотел проверить, на динчек залить.

Хорошо, я подумаю над этим, у меня не густо аверов на виртуалках, чтобы хорошо потестить. Пока просто получается не пропатченный сисколл разместить на исполняемой памяти и это вроде как работает. Едиственное не особо понятно, как определять длину функции с сисколом, пока я просто копирую 32 инструкции, чтобы наверняка. Модексп предлагал из эксепшн директории взять размер фрейма, но это само собой только для 64-битных процессов актуально.

 

[Quake3]

А есть ли какой-либо выход? Т.е. антихук на уровне ядра или что-то еще такое? Я прост не шарю

Ничего нет, потому что ядро ниже (или выше, считайте как угодно) юзермодного кода, и фильтры там в юзермоде никак не обойти. Пример - хук на создания процесса / доступ к файлу (минифильтры). Разве что самому лезть в ядро.

Дизассемблер есть встроенный в венду, если что.

Что имеется ввиду?

 

[DildoFagins]

Что имеется ввиду?

dbgeng.dll, я подробно опишу это в статье, если для нее хватит материала.