Как чистить детекты в рантайме (C++)?

[Matanbuchus]

это немного иная сфера применения

Я был в свое время один из первых кто это вообще стал юзать именно для рынка. Хоть меня тогда вообще не поняли. Но на тот момент да и сейчас это как по мне самый эффективный способ закрепления и обхода рантайма. Да не всемогущий но как я выше сказал что обход рантайма малвари это не про конкретный метод это комплекс методов и в основе лежит понимание механизма работы av/edr. Тут многие помешаный на сисколах я вижу но эти обсуждение как бы оторваны от реальной практики. Сисколы не решают проблем других методов мониторинга которыми пользуються аверы. От этого не могу понять причины частого обсуждения? Показать скил кодинга? Или сделать рекламу продукту?

 

[DildoFagins]

Ну проблема рантайм детектов не решается в общем случае, а только в частных случаях. Против каких-то аверов можно попробовать одно, против других - другое, против третьих ничего толком не помогает, кроме полной смены палевного алгоритма. Серебрянной пули не было и не будет скорее всего.

Если хуки уровня пользователя можно как-то легко задетектить, проанализировать ( https://xss.pro/threads/43097/ ) и обойти через сисколлы или что-то, то то, что происходит в ядре или на уровне гипервизора - совершенно другая история.

 

[Matanbuchus]

Ну проблема рантайм детектов не решается в общем случае, а только в частных случаях. Против каких-то аверов можно попробовать одно, против других - другое, против третьих ничего толком не помогает, кроме полной смены палевного алгоритма. Серебрянной пули не было и не будет скорее всего.

Если хуки уровня пользователя можно как-то легко задетектить, проанализировать ( https://xss.pro/threads/43097/ ) и обойти через сисколлы или что-то, то то, что происходит в ядре или на уровне гипервизора - совершенно другая история.

Разница только в том что одни методы более универсальны чем другие) Моя задача на протяжении последних почти двух лет было дать продукт который пробъет большинство av/edr (и прочие срества защиты и мониторинга) проживет как можно дольше в системе и запустит последуйщие этапы (чаще всего кобу). Скажу честно сисколы я не делал так как чаще всего работали с кобальтом а там было отдельного потока достаточно (в моем случае) кобе инжект не поможет ну если только клиент не хочет работать из explorer.exe например (но там это и не нужно). По этому резюмирая скажу. Сисколы я понимаю как работают и как их использовать и какой результат они дают. Но! У них есть свои минусы и если понимать работу аверов. Иметь другой подоход... При правильном подходе без сисколов обойтись можно) Но сразу надо понимать насколько этот подоход собственно совместим с задачей и результатом который мы хотим получить)

 

[KasperWAF]

Использование сисколлов хорошая методика борьбы с EDR, правда в паблике нигде не видел нормальной библиотеки для работы с сисколлами, которая позволит универсально вызывать любые функции без костылей в виде асм функций-оберток под каждую. А вообще, отказывайтесь от бинарщины и будет вам счастье

 

[unhappyangel]

Использование сисколлов хорошая методика борьбы с EDR, правда в паблике нигде не видел нормальной библиотеки для работы с сисколлами, которая позволит универсально вызывать любые функции без костылей в виде асм функций-оберток под каждую. А вообще, отказывайтесь от бинарщины и будет вам счастье

https://github.com/JustasMasiulis/inline_syscall, правда конкретно в этом примере индексы собираются из памяти, и в случае наличия хуков работать не будет, но в целом поменять метод получения/вшить нужные индексы не трудно

 

[arsarsov]

Использование сисколлов хорошая методика борьбы с EDR, правда в паблике нигде не видел нормальной библиотеки для работы с сисколлами, которая позволит универсально вызывать любые функции без костылей в виде асм функций-оберток под каждую. А вообще, отказывайтесь от бинарщины и будет вам счастье

Потому что почти все собирают под MSVC, а это позволяет инлайнить асм только под x32, под x64 такой возможности нет на MSVC, поэтому приходится прикручивать обьектники собранные в FASM\MASM и линковать к проекту