Беспалевное использование NtApi в 2023

[Whisper]

Про недокументированные нопы - это шутка\намек, возможно просто не все новомодные опкоды понимает движок EDR, так же он вряд ли сможет многопоточное приложение трассировать на каждом ядре.

Сто лет назад эти нопы прокатывали =) Если речь конечно о nop mod,reg,rm. Сейчас как я вижу мода изаучать колл стек и окуда корни у треда на похученных апи которые просто так не завести в сисколл, тип Rtl, Ldr, возня с юзерами, шарами.

 

[Brejnev]

Про недокументированные нопы - это шутка\намек, возможно просто не все новомодные опкоды понимает движок EDR, так же он вряд ли сможет многопоточное приложение трассировать на каждом ядре.

Про многопоточность, да интересно, так можно что угодно срывать трейсерам, по нопам -не понял.

 

[CCod]

Знаю, что тема баян, обсуждают ее часто.
Но время идет, аверы становятся умнее, а количество противоречивой информации в голове только накапливается.

На данный момент получаю либу через TEB, адреса через IMAGE_EXPORT_DIRECTORY, использую хэш FNV1A64. Сразу +4 детекта!
Очень плохой результат...))

Может есть какие-то актуальные решения, которые хотя бы не вызывают моментальный триг?

функцию хэширования поменяй
Тебя в статике или рантайме палят?

 

[Kapibara]

по нопам -не понял.

шо не понял, ноп есть не только однобайтовый опкод 90, а и 2,4 и даже 8 байт
0F 1F 44 00 00 nop dword ptr [rax+rax]
пример, дальше гугли, а то будешь как шамель с арой..

 

[CCod]

Аверы щас трассируют кодес. Можете сами проверить. Да поможет вам запутывание графа и использование недокументированных нопов

Трасируют то они в своих сандбоксах ,если ты добавил антиэмуль ,то тебе похуй должно быть

 

[Brejnev]

шо не понял, ноп есть не только однобайтовый опкод 90, а и 2,4 и даже 8 байт
0F 1F 44 00 00 nop dword ptr [rax+rax]
пример, дальше гугли, а то будешь как шамель с арой..

Я за лонгнопы в курсе, причем тут трассировка я хотел узнать.

 

[CCod]

Ну в 2023г актуальны сисколы

Пару лет назад они наверно были актуальны, а щас их дрочит каждый и помогают они только от хуков.А щас все новомодные едр дрочат етв колстэки и тд.Все меньше и меньше они полагаются на хуки

 

[Whisper]

Пару лет назад они наверно были актуальны, а щас их дрочит каждый и помогают они только от хуков.А щас все новомодные едр дрочат етв колстэки и тд.Все меньше и меньше они полагаются на хуки

Все еще актуальны, не сомневайся. Смотреть колстеки из ядра это как бы затратно.

 

[CCod]

Все еще актуальны, не сомневайся. Смотреть колстеки из ядра это как бы затратно.

как я понимаю,каждый раз когда мы возвращается из ядра(после сискола) ядро проверяет стэк вызовов и таже хрень с загрузкой модулей

 

[Whisper]

Ну вы попробуйте на шук 30сервисов повесить такую проверку в ядре, что бы пресекать до того как(моного криков про не актуальные уже хуки в юзере и что все нынче в ядре), а по поводу проверок в юзере после возврата из сисколла я дже топ недавно создавал(PROCESS_INSTRUMENTATION_CALLBACK_INFORMATION).

 

[arsarsov]

бро, говорить разную х#йню я тоже могу

Не только можешь. но и систематически практикуешь, скоро получишь ачивку "форумный ху#плет"

я себя тапком в грудь не бил, пусть сначала он выложит, заценим

Предпочитаю завистливых пид#расов, у которых из жизненных достижений только 7 предупреждений на форуме за написанный бред, просто слать нах#й

Как же сильно я тебя задел за живое, ты упоминаешь меня в каждом своем сообщении, видимо я стал огромной частью твоей никчемной жизни, теперь я твой кошмар, твое прошлое, будущее и настоящее, и буду постоянно насиловать тебя сучка)

 

[CCod]

Ну вы попробуйте на шук 30сервисов повесить такую проверку в ядре, что бы пресекать до того как(моного криков про не актуальные уже хуки в юзере и что все нынче в ядре), а по поводу проверок в юзере после возврата из сисколла я дже топ недавно создавал(PROCESS_INSTRUMENTATION_CALLBACK_INFORMATION).

ну в юзермоде мы можем просто запатчить колбэк и особо не париться.хз что там с производительностью ,но я точно знаю ,что едр делают проверку колстэка из ядра

 

[Stupor]

Трасируют то они в своих сандбоксах ,если ты добавил антиэмуль ,то тебе похуй должно быть

Какой антиэмуль? Щас много таргетов на гипервизорах и виртуалках крутятся, но работать софту то надо. Кроме всего прочего софт они давно не только в песочницах трассируют.

 

[DoppleKSE]

Кроме всего прочего софт они давно не только в песочницах трассируют

self-debug, самотрассировку и ловушки никто не отменял.

 

[Stupor]

self-debug, самотрассировку и ловушки никто не отменял.

И что? Это приведет к выполнению задуманного в софте? Просто поймем что нас трассируют и всё. Можно с тем же успехом просто по реестру или процессам узнать есть АВ в системе или нет.

 

[DoppleKSE]

И что? Это приведет к выполнению задуманного в софте? Просто поймем что нас трассируют и всё. Можно с тем же успехом просто по реестру или процессам узнать есть АВ в системе или нет.

1) Попробуй для начала подключиться к одному процессу одновременно двумя отладчиками, получится ?
2) Когда ты трассируешь свой же код, пошагово, при этом процесс находится под отладкой, никто другой не может заниматься трассировкой параллельно.
3) Есть еще такие вещи как пошаговое исполнения кода с расшифровкой инструкций прямо во время выполнения, код почле каждой инструкции натыкается на ловушку, уходит в хендлер, там расшифровывается следующая инструкция кода, а только что исполненная шифруется обратно. Был один чел на wasm, он называл это анклавами, но до реальных анклавов этой технологии конечно еще далеко. Это просто динамическа расшифровка во время исполнения.

Посмотри на 3 пункта выше и скажи как мне, как ты будешь это трассировать откуда-то извне ?

 

[Encommerce]

1) Попробуй для начала подключиться к одному процессу одновременно двумя отладчиками, получится ?
2) Когда ты трассируешь свой же код, пошагово, при этом процесс находится под отладкой, никто другой не может заниматься трассировкой параллельно.
3) Есть еще такие вещи как пошаговое исполнения кода с расшифровкой инструкций прямо во время выполнения, код почле каждой инструкции натыкается на ловушку, уходит в хендлер, там расшифровывается следующая инструкция кода, а только что исполненная шифруется обратно. Был один чел на wasm, он называл это анклавами, но до реальных анклавов этой технологии конечно еще далеко.

Посмотри на 3 пункта выше и скажи как мне, как ты будешь это трассировать откуда-то извне ?

Но рано или поздно софт должен дойти до пейлоада, верно?

 

[DoppleKSE]

Но рано или поздно софт должен дойти до пейлоада, верно?

Пейлоад так же исполняется пошагово, трассируется по одной инструкции, расшифровывается и шифруется обратно прямо на лету, и все это под self-debug. Ребятки учите матчасть, прежде чем что-то утверждать.

 

[DildoFagins]

Был один чел на wasm, он называл это анклавами, но до реальных анклавов этой технологии конечно еще далеко.

https://xss.pro/threads/64259/ - один из возможных подходов, не то чтобы самый лучший, но для примера. И Индий расшифровывал по одной инструкции в исполняемый буффер, если это было ветвление, то он его эмулировал, если все остальное, то исполнял на проце, вроде это как-то так работать должно было.

Попробуй для начала подключиться к одному процессу одновременно двумя отладчиками, получится ?

Для того, чтобы себя отлаживать, нужен будет второй процесс. Из одного процесса самого себя не отладить, ну как минимум у меня не вышло в свое время.

 

[Stupor]

1) Попробуй для начала подключиться к одному процессу одновременно двумя отладчиками, получится ?
2) Когда ты трассируешь свой же код, пошагово, при этом процесс находится под отладкой, никто другой не может заниматься трассировкой параллельно.
3) Есть еще такие вещи как пошаговое исполнения кода с расшифровкой инструкций прямо во время выполнения, код почле каждой инструкции натыкается на ловушку, уходит в хендлер, там расшифровывается следующая инструкция кода, а только что исполненная шифруется обратно. Был один чел на wasm, он называл это анклавами, но до реальных анклавов этой технологии конечно еще далеко.

Посмотри на 3 пункта выше и скажи как мне, как ты будешь это трассировать откуда-то извне ?

1. Снятие отладчика или махинации с отладочным портом из ядра проблема?
2. Пошаговая расшифровка ну ппц. - палево прямо на ходу, да и перед запуском прямо в статике.
Вообще все что тутты написал это прямо таки принцип работы прота Armadillo, 100 летней давности.
"Учите матчасть", "Анклавы" знакомые слова, ты ли Клерыч? Или его подаван? )))))