Руй-лопез

[DoppleKSE]

Да, там вся секция кода для простоты заливалась int3 и по одной инструкции расшифровывалось, это можно было бы делать и через TF, но с секцией кода целиком состоящей из int3 (кроме одной инструкции) мне показалось забавнее.

Это прикольно, но в целях "поиграться". Если весь код будет из int3 - это подозрительно. К тому же с таким подходом, как я понял, нужен внешний зашифрованный буфер кода функции, при наступлении эксепшена нужная инструкция по смещению такому же как в функции из int3 копируется во временный буфер или на место эксепшена, исполняется и натыкается на следующий int3, ее расшифрованный только что исполненный вариант снова забивается int3, и так в цикле.
С точки зрения беспалевности и эффективности в скорости (ну хоть немного ее вытянуть из полной задницы), выгоднее делать полностью на TF и PG, тогда код всегда остается на своем месте, и расшифровывается сразу там же по одной инструкции, и исполняется там же. Никаких дополнительных буферов и копирований. У индюка тоже было что-то с буферами временными, но это кривое решение, которое к тому же требует постоянного отслеживания релоков и полноценный PE файл запустить под такой вертушкой будет еще более проблематично. Можно, но очень много лишнего придется делать.

 

[CheckerChin]

Точно так же детектятся прямые сисколы в обход юзермод хуков. Флаг вызова в ядре есть, а в юзермоде нет, значит хуки обошли.

я так и не понял, как же они там детектятся, если там есть только колбэк фильтры.
или ты про случай, когда хукается ssdt? (так вроде никто не делает, кроме аваста?)

 

[DoppleKSE]

я так и не понял, как же они там детектятся, если там есть только колбэк фильтры.
или ты про случай, когда хукается ssdt? (так вроде никто не делает, кроме аваста?)

У авера есть хуки в юзермоде, а так же драйвер в ядре, который через фильтры может определять какое приложение какую функцию дернуло, с какими аргументами. Если авер видит, что юзермод хук не сработал, а в фильтре драйвера вызов засветился, значит кто-то обошел юзермод хуки, например сделал прямой вызов syscall из своего кода. Юзермод часть авера плотно общается с драйвером, для них такой финт сдедектить нет проблем.

 

[waahoo]

У авера есть хуки в юзермоде, а так же драйвер в ядре, который через фильтры может определять какое приложение какую функцию дернуло, с какими аргументами. Если авер видит, что юзермод хук не сработал, а в фильтре драйвера вызов засветился, значит кто-то обошел юзермод хуки, например сделал прямой вызов syscall из своего кода. Юзермод часть авера плотно общается с драйвером, для них такой финт сдедектить нет проблем.

Инфа сотка? Ты это проверял?

 

[CCod]

Инфа сотка? Ты это проверял?

да он х#йню сморозил ,если бы аверы имели возможность из ядра отслеживать все вызываемые сисколы и их аргументы ,то накой им все эти хуки ,етв и тому подобное

 

[Whisper]

да он х#йню сморозил ,если бы аверы имели возможность из ядра отслеживать все вызываемые сисколы и их аргументы ,то накой им все эти хуки ,етв и тому подобное

Чувак теоретик, ему кажется что если что то вроде бы логично то значит сделано, ну типа он же догадался а значит и аверы догадались, вот только подумать на несколько шагов вперед и взяглянуть на все шире ну или хотя бы попрактивать ему не в мочь. Прекрасная демонстрация поговорки что лишние знания дуракам только вредят.
Все эти отслеживание очень гладкие на бумаге, да оврагов дохуя.

 

[DoppleKSE]

Чувак теоретик, ему кажется что если что то вроде бы логично то значит сделано, ну типа он же догадался а значит и аверы догадались, вот только подумать на несколько шагов вперед и взяглянуть на все шире ну или хотя бы попрактивать ему не в мочь. Прекрасная демонстрация поговорки что лишние знания дуракам только вредят.
Все эти отслеживание очень гладкие на бумаге, да оврагов дохуя.

Ты бы за себя говорил душная ты х#йня, ты утверждаешь что-то обо мне, даже не зная меня и на процент. Вот истинный пиздабол и теортетик, который 90% своего времени тратит на духоту на форумах, иди займись делом, саморазвитием, и воплоти все свои теоретические знания уже наконец-то в жизнь, одна болтовня и никаких фактов, ты просто пердишь в воздух, что все вокруг неумехи, но не можешь подкрепить свой whisper fart никакими фактами. Я бы не стал утверждать что-то, если бы не проверял, дрова аваста ковырял, есть там такие проверки, так что ебальцо завали и не показывайся больше мне на глаза. Проверял конкретно на авасте, нет времени на другие АВ, а если в авасте сделали, то возможно сделано и у других, а если не сделано, то будет сделано рано или поздно, потому что никто не скрывает эту технологию и не запретит ее использовать в других АВ.
Каждый раз когда ты появляешься в каком-то топике у меня такая картина перед глазами, образ идеально характеризующий твою сущность

Малкенькая собачка, думающая что она - это верх совершенства, но на самом деле просто зачуханая и грязная псина с помойки с завышенным чсв

Инфа сотка? Ты это проверял?

Да, в авасте такое есть, но у меня нет инфы по другим аверам. Это не приводит к 100% детекту сразу если ты дернул сискол в обход ntdll, но докидывает негативные баллы.

да он х#йню сморозил ,если бы аверы имели возможность из ядра отслеживать все вызываемые сисколы и их аргументы ,то накой им все эти хуки ,етв и тому подобное

Иди матчасть учи, ребенок. И спуф стека наверное зря придумали, ведь аверы из ядра ничего не могут отслеживать, какие функции вызывались, какие сисколы дергались, какой путь вызовов был до сискола, аверам вообще драйверы не нужны, они там для красоты и для понта

 

[waahoo]

Да, в авасте такое есть, но у меня нет инфы по другим аверам. Это не приводит к 100% детекту сразу если ты дернул сискол в обход ntdll, но докидывает негативные баллы.

Если это действительно так, то твоя теория (или практика?) обхода имеет место быть. Надо тестить.

UPD: И кстате Whisper не зря говорит о переоценке возможностей АВ. То, что тебе как кодеру кажется обязательным и очевидным не является дефолтом. Не мне тебе рассказывать)

 

[DoppleKSE]

UPD: И кстате Whisper не зря говорит о переоценке возможностей АВ. То, что тебе как кодеру кажется обязательным и очевидным не является дефолтом. Не мне тебе рассказывать)

Конечно это не дефолт, но это постоянная гонка, если ты не будешь впереди, ты будешь сзади. А сзади выгодно быть только в одном случае, если ты кого-то ебешь. Во всех остальных случаях лучше быть впереди

 

[Whisper]

Ты бы за себя говорил душная ты х#йня, ты утверждаешь что-то обо мне, даже не зная меня и на процент. Вот истинный пиздабол и теортетик, который 90% своего времени тратит на духоту на форумах, иди займись делом, саморазвитием, и воплоти все свои теоретические знания уже наконец-то в жизнь, одна болтовня и никаких фактов, ты просто пердишь в воздух, что все вокруг неумехи, но не можешь подкрепить свой whisper fart никакими фактами. Я бы не стал утверждать что-то, если бы не проверял, дрова аваста ковырял, есть там такие проверки, так что ебальцо завали и не показывайся больше мне на глаза. Проверял конкретно на авасте, нет времени на другие АВ, а если в авасте сделали, то возможно сделано и у других, а если не сделано, то будет сделано рано или поздно, потому что никто не скрывает эту технологию и не запретит ее использовать в других АВ.
Каждый раз когда ты появляешься в каком-то топике у меня такая картина перед глазами, образ идеально характеризующий твою сущность

Малкенькая собачка, думающая что она - это верх совершенства, но на самом деле просто зачуханая и грязная псина с помойки с завышенным чсв


Да, в авасте такое есть, но у меня нет инфы по другим аверам. Это не приводит к 100% детекту сразу если ты дернул сискол в обход ntdll, но докидывает негативные баллы.


Иди матчасть учи, ребенок. И спуф стека наверное зря придумали, ведь аверы из ядра ничего не могут отслеживать, какие функции вызывались, какие сисколы дергались, какой путь вызовов был до сискола, аверам вообще драйверы не нужны, они там для красоты и для понта

Потяфкать забыл для убедительности.

 

[DoppleKSE]

Потяфкать забыл для убедительности.

Тяфкать это удел помойной псины

Давай напиши еще сообщение, ты же ведь не можешь это так оставить, мастер хочет обладать правом последнего "тяф" в диалоге, как же так, его пнули, а он промолчит, неет, такого нельзя допустить. Надо что-то написать. Что нибудь, лишь бы последним тяфкнуть. Теперь понятно откуда почти 2к сообщений. Тяф тут, тяф там. А если ответили, снова тяф.

 

[waahoo]

Потяфкать забыл для убедительности.

Думал Шептун одумался... неа. Откройте окно, душно

 

[Whisper]

Тяфкать это удел помойной псины

Самокритичен, уважаю. Стабильность признак мастерства. А ну еще тяфкай на бис.

 

[DoppleKSE]

Думал Шептун одумался... неа. Откройте окно, душно

Такие люди не исправляются. Это до гробовой доски теперь с ним. А очень жаль, у него масло в голове есть, он далеко не тупой, но эта духота все портит, из-за нее никто не видит его плюсов, потому что душман глаза заполоняет в каждом топике.

Самокритичен, уважаю. Стабильность признак мастерства. А ну еще тяфкай на бис.

Давай напиши еще сообщение, ты же ведь не можешь это так оставить, мастер хочет обладать правом последнего "тяф" в диалоге, как же так, его пнули, а он промолчит, неет, такого нельзя допустить. Надо что-то написать. Что нибудь, лишь бы последним тяфкнуть. Теперь понятно откуда почти 2к сообщений. Тяф тут, тяф там. А если ответили, снова тяф.

 

[Quake3]

Не ругайтесь, тема интересная, но сраться нет смысла. Это же не религия, а техническая дисциплина.

 

[Adderall]

У авера есть хуки в юзермоде, а так же драйвер в ядре, который через фильтры может определять какое приложение какую функцию дернуло, с какими аргументами. Если авер видит, что юзермод хук не сработал, а в фильтре драйвера вызов засветился, значит кто-то обошел юзермод хуки, например сделал прямой вызов syscall из своего кода. Юзермод часть авера плотно общается с драйвером, для них такой финт сдедектить нет проблем.

а что если как по началу аверу показать что все хуки проходят все норм, выполнять легитимные функции для авера, короче дождаться пока файл станет трастовым для авера и только после этого
выполнять черный функционал . Что произойдет в этом случае ? это тоже av будет детектить ?

 

[DoppleKSE]

а что если как по началу аверу показать что все хуки проходят все норм, выполнять легитимные функции для авера, короче дождаться пока файл станет трастовым для авера и только после этого
выполнять черный функционал . Что произойдет в этом случае ? это тоже av будет детектить ?

мониторинг через хуки происходит постоянно, хоть через секунду после запуска софта, хоть через 3 часа после старта, хуки там стоят, и никуда не деваются.
если ты будешь делать час какие-то действия не палевные, а потом полезешь в куки браузера, это точно так же запалится, как если бы ты делал это в самом начале

 

[Apocalypse]

По идеи нормальный ав не должен дать запуститься неизвестному процессу в принципе, а уж чтобы тот сам себя в саспенде перезапускал, ну я хз...

 

[WellDone]

По идеи нормальный ав не должен дать запуститься неизвестному процессу в принципе

No true Scotsman - Wikipedia

en.wikipedia.org

Софт должен запускаться, бизнес должен работать вне зависимости от того что там должен делать "нормальный" ав

 

[CCod]

Иди матчасть учи, ребенок. И спуф стека наверное зря придумали, ведь аверы из ядра ничего не могут отслеживать, какие функции вызывались, какие сисколы дергались, какой путь вызовов был до сискола, аверам вообще драйверы не нужны, они там для красоты и для понта

Причем здесь спуф стэка? Стэк собирает или етв или ядро ,но когда получает колбэк на какое-то событие, например открытие хэндла