Проблемы снять нет так же как нет проблемы словить это изнутри атакуемого кода и уйти в дедлок намеренно. А там трассируй сколько влезет)))))
Видел, но int3 втыкать не так удобно как просто ставить флаг TF, принцип тот же самый но, пелева меньше. Косим под обычную отладку. Отладчик не втыкает на каждом шагу int3, он ставит TF.
Да
everdox.blogspot.com
Риторический вопрос для размышлений - почему мой антивирус не убивает отладчики у меня на компе, когда я что-то отлаживаю и даже патчу программы в памяти, это же так похоже на описанные выше вещи ? Проверялось на KAV, ESEV, AVAST, даже не думали рот открыть) Дай угадаю - сейчас скажешь, потому что отладчики использовал популярные, известные ав. Я тоже так подумал и написал семплик, и о чудо, аваст кав и эсет так же молчат.
Вопрос для тебя остается открытым, семпл не был удален кав, авастом и эсетом, что скажешь ? Палевно наверное так сильно, что ав разрешают запускаться и работать такому софту. И вообще не понял к чему тут ухмылки про свой комп и высший пилотаж, кажется у оппонента закончились аргументы и он начал придираться к словам ? Я не блекхет, работаю на своей тачке, скрывать мне нечего, а все смеплы остаются в лабораторных условиях.
))Ключик ssh дать или сбрутишь сам ?- щас на твой комп под отладчиком залезу - гляну
Если бы для тебя он был закрыт, ты бы даже диалог не начинал, а так я наоборот в тебе вижу пытливый ум, который пытается доказать всем свою правоту. Синдром отличника что ли. Я почитал твои сообщения выше и в других темах, ведь ты у нас всегда прав и твое мнение это истина в конечной инстанции, ну пусть будет так, мне от этого ни холодно ни горячо.
Почитай то что тут обмусоливал этот тип, выдавая за своё:
Старые как мир, но не перестают быть эффективными в умелых руках, немного изменений, щепотка креатива и на выходе вполне себе приемлемая технология. Проблема большинства людей которые, кричат в топиках "это не работает" заключается в том, что они бездумно копипастят код и работают по скрипту, даже не думая что-то поменять, добавить чего-то нового.
Не в "умелых руках" а в "очумелых копипастных". Свое придумай лучше, на школоло чтоль расчитывал когда выше про анклавы и матчасть писал...
За свое ? Ну-ну, перешли ка мне сообщение где я говорю что это моя технология, кто-то начинает балаболить. На что только не пойдет очумелая голова, что бы доказать свое мнение, жалко что оно никому не интересно.
Зачем школоло, достаточно таких как ты.
ну так ты проверяй не на гипервизор,а на коллчиество оперативки процев и тд. Как они трассируют не в песочницах? Как ты себе это представляешь
Если ты валидным сертом подпишешь,то можешь вообще не паритьсяМожет отталкиваться от обратного?
Если мы можем с помощью скорытия наболее подозрительных статических данных и примитивного морфинга обойти статику и добраться до таргета, если мы сможем обойти рантайм штатного антивируса, будет ли у нас время для осуществления пейлоада, до того момента, пока наш образец не попадет в специализированную среду где-то в облаке? Если речь не идет о массовых проливах, а о точечных выполнениях, если мы всегда можем позволить себе иметь уникальный стаб с чистой сигнатурой?
Изначально я задавал вопрос про обфускацию API, сформулирую его несколько иначе и более конкретно : Используя классический подход для извлечения указателей через Teb, используя по возможности Nt/Rtl функции, напоримся ли мы на рантайм моментально?
И также в догонку : Тащат ли сертификаты на данный момент, и могут ли они спасти от корп. решений?
PS : Понимаю, что эти вопросы могут странно звучать, в контексте предидущих сообщений, но я реально как-то еще не успел соорентироваться в этой игре умов, не имею "чуйки" и не знаю, как себя покажут мои наработки в боевых условиях. Пытаюсь какой-то вектор развития выстроить, чтобы в лужу не сесть. Так, что извините, если что
Ты понимаешь как работают антивирусы?Как они ловят тебя в рантайме?Они хукают функции ,сканируют память,собирают инфу через етв ,имеют ядерные колбэки на некоторые события и тд. Чтобы обойти ав ты должен избегнуть каждого детекта.Чтобы избегать хуков юзаешь непрямые сисколы ,номера которых ты зарезолвил через халосгейт.Чтобы избежать етв детекта можешь запатчить некоторые функции .Также нужно позаботиться о слипе и стэке вызовов и тд. Разберись детально как работают ав,иначе ты прячешься сам не понимая от чегоМожет отталкиваться от обратного?
Если мы можем с помощью скорытия наболее подозрительных статических данных и примитивного морфинга обойти статику и добраться до таргета, если мы сможем обойти рантайм штатного антивируса, будет ли у нас время для осуществления пейлоада, до того момента, пока наш образец не попадет в специализированную среду где-то в облаке? Если речь не идет о массовых проливах, а о точечных выполнениях, если мы всегда можем позволить себе иметь уникальный стаб с чистой сигнатурой?
Изначально я задавал вопрос про обфускацию API, сформулирую его несколько иначе и более конкретно : Используя классический подход для извлечения указателей через Teb, используя по возможности Nt/Rtl функции, напоримся ли мы на рантайм моментально?
И также в догонку : Тащат ли сертификаты на данный момент, и могут ли они спасти от корп. решений?
PS : Понимаю, что эти вопросы могут странно звучать, в контексте предидущих сообщений, но я реально как-то еще не успел соорентироваться в этой игре умов, не имею "чуйки" и не знаю, как себя покажут мои наработки в боевых условиях. Пытаюсь какой-то вектор развития выстроить, чтобы в лужу не сесть. Так, что извините, если что
Прочитал. Нихуя не понял, но очень интересно
К сожелению представление весьма ограничено. Если техническую часть еще как-то с горем пополам можно осилить за вменяемое время, то практика вообще туманна. Не хочу строить из себя х#й пойми кого, на данный момент реализация тех или иных вещей занимает у меня очень продолжительное время. Но одно дело написать, нужно еще убедиться, что код работает должным образом. Еще и замахнулся на жирный проект, который мне явно не по зубам. А время, как песок сквозь ладони... Эх, куда же приведет эта извилистая дорожка)
А я тебе запостил не для того что бы ты понял что там написано, а просто оценил масштаб. Новички в любой теме не могут оценить масштаб сложности, а значит разумное планирование им не доступно. Я попытался тебе показать сколько там всего много и как это сложно. А ведь еще понадобятся сопуствующие знания, реверс, отладка, а значит и умение в асм. Скажем так на сегодняшний день будь я на твоем уровне компетенции я бы занялся чем то другим. Хотя если тебе пох на результат и все чисто по фану, то начинай пожалуй с реверса и отладки учить. Потом разберись че же там все же писали по линку, и уже потом начинай кодить свою малвару. А то столкнешся с проблемами которые архитектура твоего проекта просто не вывезет. Некотороые моменты надо предусмотреть заранее.Прочитал. Нихуя не понял, но очень интересно
К сожелению представление весьма ограничено. Если техническую часть еще как-то с горем пополам можно осилить за вменяемое время, то практика вообще туманна. Не хочу строить из себя х#й пойми кого, на данный момент реализация тех или иных вещей занимает у меня очень продолжительное время. Но одно дело написать, нужно еще убедиться, что код работает должным образом. Еще и замахнулся на жирный проект, который мне явно не по зубам. А время, как песок сквозь ладони... Эх, куда же приведет эта извилистая дорожка)
Сначала пойми,что как и зачем делают антивирусы .Посмотри курсы sector7Прочитал. Нихуя не понял, но очень интересно
К сожелению представление весьма ограничено. Если техническую часть еще как-то с горем пополам можно осилить за вменяемое время, то практика вообще туманна. Не хочу строить из себя х#й пойми кого, на данный момент реализация тех или иных вещей занимает у меня очень продолжительное время. Но одно дело написать, нужно еще убедиться, что код работает должным образом. Еще и замахнулся на жирный проект, который мне явно не по зубам. А время, как песок сквозь ладони... Эх, куда же приведет эта извилистая дорожка)
