Детект Avast на копирование Хрома

[merdock]

Теневое копирование геморно тем, что требует прав админа. Это раз. Второе - делать это надо только через cmd /c , т.к. чистый СОМ VSS - уж поверьте, адский ад, особенно х32 бот и х64 система. Там ошибка есть в самой винде.

Понял, СПАСИБО всем за советы (лимит на спасбо кончился на сегодня, атк что извиняйте), пару направлений дали буду пробовать.

 

[merdock]

Вот попробовал из с++ запускать и производить копирование через VBS, JS, CMD, POWERSHELL и везде одинакого. Инжект и через хром профиль пока не пробовал.

 

[Topstrelok]

При реверсе ноунейм стиллеров натыкался на интересную реализацию, вот что то похожее на пш

Вот реализация на с++, возможно будет полезно

 

[merdock]

При реверсе ноунейм стиллеров натыкался на интересную реализацию, вот что то похожее на пш Скрытое содержимое
Вот реализация на с++, возможно будет полезно Скрытое содержимое

спасибо, проверю, НО разве чтобы нативно прочитать файловое дерево не нужны админ права?

 

[KasperWAF]

спасибо, проверю, НО разве чтобы нативно прочитать файловое дерево не нужны админ права?

Попробуй работать с нужным файлом через direct syscalls, правда под wow64 тебе прийдётся юзать хивенсгейт. У аваста, насколько я помню, хуки в юзермоде.

 

[DildoFagins]

У аваста, насколько я помню, хуки в юзермоде

Специально же для этих целей сделал утилиту, запустите, да посмотрите, чо там с хуками в юзермоде: https://xss.pro/threads/43097/

Там правда есть неочевидный сначала баг, если искать перехваты во всех библиотеках, а не только ntdll, то процесс упадет, если у проверяемой dll не будет таблицы экспорта. Вы спросите в какой же dll не будет экспортов? Я вам отвечу: в библиотеках аверов и некоторых сендбоксов юзермодных, которые они инжектят в процесс для установки хуков. Я у себя заправил это, достаточно проверку на ноль добавить в парсинге таблице экспорта, если это нужно.

 

[merdock]

При реверсе ноунейм стиллеров натыкался на интересную реализацию, вот что то похожее на пш Скрытое содержимое
Вот реализация на с++, возможно будет полезно Скрытое содержимое

Всем огромное спасибо за помощь, отвалился аваст через совет Topstrelok.

 

[H2SO4]

При реверсе ноунейм стиллеров натыкался на интересную реализацию, вот что то похожее на пш Скрытое содержимое
Вот реализация на с++, возможно будет полезно Скрытое содержимое

А можно мне тоже посмотреть?

 

[Quake3]

Специально же для этих целей сделал утилиту, запустите, да посмотрите, чо там с хуками в юзермоде

Раньше аваст грузил свою говнодллку во все процессы и в юзермоде хуки ставил; но не смотрел его года 3-4, как сейчас хз; тогда он обходился легко.
Это обычный аваст или премиум имеет защиту от стиллеров?

 

[merdock]

Раньше аваст грузил свою говнодллку во все процессы и в юзермоде хуки ставил; но не смотрел его года 3-4, как сейчас хз; тогда он обходился легко.
Это обычный аваст или премиум имеет защиту от стиллеров?

имеет, если ее скажим так включить, у меня покупной авас на кластере стоит для тестов софта, там я специально включил защиту паролей браузеров - вот она и срабатывает, на бесплатном сколько помню ее нет. Сейчас как я понял аваст делает ставку в премиуме на системные фильтры ос доступов к файлам и к реестру.

 

[merdock]

Это обычный аваст или премиум имеет защиту от стиллеров?

вот динамика полностью отвалилась , Авира дает детект на статику криптера,а битдефендер лень чинить, касперский ругнулся что какой что странный софт но данные дал выкачать, видно на втором скрине панели куда файлы были высланы.

 

[Exfazo]

а можно и мне ?

Там ничего особенного. Админ права права нужны + заточено под определенную версию нтфс. Самый норм варик предложил рел, через инжект, у меня вообще почти никем не палится

 

[Morik]

Native API?

 

[reqwest]

Извиняюсь за некропостинг. Потестил несколько вариантов - аваст всё равно выдаёт детект. Есть ещё пару идей: инжект и запуск самого хрома с некоторыми cmd-аргументами (выше об этом писали), какие есть ещё варианты?

 

[Apocalypse]

DuplicateHandle из процессов хрома всех хендлов, там поискать проекции файлов с паролями и отмапить эти секции себе в процесс. Ну или хендлы открытых файлов и там уже ReadFile для чтения данных. На словах легко, на деле придётся заняться сэксом.

 

[CheckerChin]

DuplicateHandle из процессов хрома всех хендлов, там поискать проекции файлов с паролями и отмапить эти секции себе в процесс. Ну или хендлы открытых файлов и там уже ReadFile для чтения данных. На словах легко, на деле придётся заняться сэксом.

1) Нужно открыть процесс хэндл к процессу хрома с правами PROCESS_DUP_TOKEN
2) Возможно придется для своего процесса выставить SeDebugPrivilege
3) Разве от дубликата хэндлов не придет коллбэк в ядро?
По-моему тоже палевный способ

 

[DoomSlayer2002]

1) Нужно открыть процесс хэндл к процессу хрома с правами PROCESS_DUP_TOKEN
2) Возможно придется для своего процесса выставить SeDebugPrivilege
3) Разве от дубликата хэндлов не придет коллбэк в ядро?
По-моему тоже палевный способ

Ну судя по этой доке https://learn.microsoft.com/en-us/w...on_registration#ob_operation_handle_duplicate на дублирование файлового хендла или хендла секции не придёт коллбек.

На открытие процесса хрома с PROCESS_DUP_TOKEN вот придёт точно - как отреагируют ав хз

 

[Noizefan]

я почти не системный кодер, но взгляд со стороны иногда бывает полезным.
Копирование в память и отправка на сервер для анализа не решит проблему?

 

[DoomSlayer2002]

я почти не системный кодер, но взгляд со стороны иногда бывает полезным.
Копирование в память и отправка на сервер для анализа не решит проблему?

Ну дак тут проблема как раз в копировании в память своего процесса - при чтении с диска файла Login Data антивирус кидает детект, люди предлагают в треде методы обхода детекта

 

[merdock]

1) Нужно открыть процесс хэндл к процессу хрома с правами PROCESS_DUP_TOKEN
2) Возможно придется для своего процесса выставить SeDebugPrivilege
3) Разве от дубликата хэндлов не придет коллбэк в ядро?
По-моему тоже палевный способ

подниму некротему - большинство способов или не работают или надо админ права, лучшим способом такая раскладка - проверяем есть ли админ права, если есть то работаем с файлами через секции и NTFS дерево, если нет админ прав делаем инжект.