В шапке.
Заранее спасибо!
Заранее спасибо!
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Можно ли скрыть вызов api windows?
- Автор темы fristailxxx
- Дата начала
Скрыть от чего? Он антивируса? Если мониторинг реализован через перехват API на уровне пользователя, то да. Если в ядре или на уровне гипервизора, то нет.
Смотря что за API. Можно написать свою имплементацию.
Это так "интересно", когда человек задает нечеткий вопрос, а все в теме начинают угадывать, что же он хотел.
ТС, конкретизируй - какие вызовы и от кого нужно скрывать.
ТС, конкретизируй - какие вызовы и от кого нужно скрывать.
Конкурс телепатов объявляется открытым...
А толку?, все равно упрешся в сисколы и ядерну функу. Там тебя ав и будет принимать если хода не найдешь.
upd - ну да. не всегда, в большинстве случаев.
Последнее редактирование:
Предполагаю, ТС имел ввиду импорт.
например, говНод32 может неадекватно реагировать на lstrlen lstrcat и подобное в импорте, поэтому тут как вариант написать свою реализацию (хотя конечно лучше юзать strsafe или еще что). Если вопрос именно в импорте, а не в чем-то другом.
Я же написал - "Смотря что за API". К примеру GetProcAddress, GetModuleHandle, легко эмулируется. И там нет никаких сисколов.
Для того, чтобы АВ не "приняли", существую методы обхода проактивки, чтобы выскочить из санбокса. К примеру, импользовать Heavens Gate, на х64 винде. Очень эффективная весчь
Последнее редактирование:
как правило, таблица импорта, существует для "отвода глаз" АВ, если мы о "зверьках" говорим.
А вот те АПИ, что реально юзаются, их адреса получают в динамике, или эмулируются, имхо
Последнее редактирование:
Но там нужно лезть в fs:0x30, что ни одно нормальное приложение в здравом уме и трезвой памяти делать не будет... И так можно придумывать тысячи различных приблуд, и все равно какая нибудь какашка да вылазит, просто Оп нормально не сформулировал мысль, вот в чем косяк. Да и к тому же - в любом случае ты будешь вызывать функции которые подгрузишь таким образом, а там уже сисколы....
Ты можешь добавить в таблицу импорта рандомную функцию из нужной тебе DLL, которая не вызывает эрекции у антивируса, от ее адреса отсчитать страницами виртуальной памяти вверх до DOS-заголовка, тем самым получить базовый адрес.
Впринципе да, но сам по суди, если мы говорим о вызове CreateFile - то автоматом вызываем все равно на NtCreateFile которая похученная. Да я знаю что ты знаешь, я статьи твои читал, снимаю кепку, очень полезные. Но если быть уж на самом деле честным и откровенным, мало какая действительно функция вызывает агр антивируса по умолчанию, только потому что она есть, все дело в параметрах которые даются на вход. Например та же URLDownloadToFile которая потом вызывает кучу функций из сетевых библиотек, не считая системых, не будет светиться как елка если подгружать с доверенных сайтов, подписанные бинарники. Тут дело не в то как ты все будешь вызывать, а для чего. Все максимально индивидуально в каждом конкретном случае, так что Оп ну реально не расскрыл тему вопроса. Потому что вопрос имеет столько же граней как в стакане с чаем в купе.
Ответ опу такой: Да можно, но для чего? (В стиле его вопроса)
Не, я просто вкинул о том, как можно обойтись без получения адреса TEB из fs/gs.
А ну наверное, я не вкурил просто... (Много много кофе выпил, я как ускоренный)
Да ну емое, теперь не усну пока не сделаю... Спасибо большое, за ночь без сна, вот реально спасибо! Вот как дальше жить то...
Можете проверить на слово, что АВ никак не реагирует на это. По крайней мере в моем случае.
Это тоже вариант, для загрузки необходимых либ.
Но тоже не всегда спасает, к примеру если нужны АПИ их wininet.dll или wsock32.dll
Опять же, есть более сложные, но более эффективные методы.
К примеру использовать crc имен необходимых либ, с последующим их поиском в System32 и их загрузкой в память. Загрузка в память тоже может быть не только банальным LoadLibrary или LdrLoadDll (на более низком уровне), но и эмуляция того же LdrLoadDll, ака Reflective загрузка в память с последующей инициализацией. В общем, вариантов масса. Все зависит от того, на сколько хватит фантазии у кодера.
не только, детекты могут полететь еще от связки апи.
OpenProcess не даст детект, а если после него стоят VirtualAllocEx, WriteProcessMemory, CreateRemoteThread - это будет поводом задуматься для авера.
Я думаю, на уровне ядра у авера - хуки это самая банальная вещь, там есть защиты лучше.
не выстрел в холостую? А если ав будет хучить эту функцию, а на самом деле у тебя не вызывается, то полетит детект?
Вряд ли, в легитимном софте API вполне может никогда не быть вызванным в процессе работы в зависимости от входных данных в софт. Например, образно если пользователь не нажимал "сохранить", то и WriteFile не будет вызвана. Привязываться к коду, который берет адрес API функции тоже не имеет смысла, так как легитимный софт тоже вполне может это делать.