детект сканирования памяти процесса

Discussion in 'С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby' started by sn0w, 25 Mar 2020.

  1. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Не понял.



    Твоей хотеть сладкую невинную девичью пипирку али твёрдую мужскую попу как всегда, сексуальный зверюга?
     
  2. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,108
    Likes Received:
    8,496
    Reputations:
    25
    Моей хотеть пилотское удостоверение и спейсшаттл чтобы уебнуть с этой проклятой плонеты вдаль :)
     
  3. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,311
    Reputations:
    327
    держи член в руках:
    [​IMG]
    да вот только тот кто её исполнять будет - уже статический код, всё это хуйня, если тебя мониторят по системным вызовам. тогда уже идёт в ход антиэмуляция, но это всё ручками. но и не только, GetLastError и прямое чтение из теба итд
     
  4. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,108
    Likes Received:
    8,496
    Reputations:
    25
    Если только по порядку следования. Но по крайней мере раньше так не мониторили. Да авер цеплялся за какой-то системный вызов и начинал эмулировать с этого момента,
    но ВМ он эмулировал крайне хреново и уже к моменту следующего вызова отваливался сам или с небольшой помощью если внезапно изловчился дойти куда не звали :)
     
  5. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,311
    Reputations:
    327
    так было всегда, Дарт. по крайней мере пока я работал в той теме, а это 2014-2018. не думаю что чтолибо радикально изменилось, первая фишка анализатора - выяснить по импортам не хардкор ли это, вторая - отэмулить первичный код до, например 5-6 системного вызова - если не укладывается в паттерн - то андетект
     
  6. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,108
    Likes Received:
    8,496
    Reputations:
    25
    Это если есть импорты :) А если нет даже GetProcAddress - усё. Только хуком. А возврат прямо в код ВМ и отлаживай как знаешь.
    Если нужен конкретно порядок вызовов - то можно разбавить каким-нибудь барахлом, но практика показывает что код именно эмулится.
    Отваливается эмуль - пропадает детект.
     
  7. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,311
    Reputations:
    327
    чел, бинарь без статических импортов светится гораздо ярче лампочки в темноте. а где суи?
     
    DartPhoenix likes this.
  8. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    I've dreamed last night, see You fuckin' raped
    ...
    I was drowning in the sea of liquor
    and I was drown in the beach of cocain

     
    #28 altblitz, 1 Jul 2020
    Last edited: 1 Jul 2020
  9. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,108
    Likes Received:
    8,496
    Reputations:
    25
    В телеге наверное :)
     
  10. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,311
    Reputations:
    327
     
  11. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,311
    Reputations:
    327
    мда, такая дура аж пиздец. а мне нравится
     
  12. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,108
    Likes Received:
    8,496
    Reputations:
    25
    Падёт :)
     
  13. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,483
    Reputations:
    377
    Если не ошибаюсь, на своих виртуалках работают защиты от ператов от Starforce и Denuvo, таки сия идея не нова.
    Я конечно не спец в этом, но мысли следующие мучают:
    - Не слишком ли это сложно и грамозко будет, крипт через виртуалку делать?
    - На запуск такой конструкции права админские не нужны будут часом?
    - Если задетектят эту виртуалку по косвенным признакам, это ж геморойнее её переписывать, не?
     
    _________________________
  14. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,108
    Likes Received:
    8,496
    Reputations:
    25
    1) Виртуалки могут быть разными, нельзя сказать конкретно что все будут сложными и громоздкими. Можно сделать очень просто. Даже через машину Тьюринга можно наделать кучу вещей. Но она слишком простая и известная а потому эмулится. Но можно сделать свою, со своим набором правил. Она может даже не удовлетворять некоторым условиям в том смысле что на ней нельзя написать все что угодно - она просто должна быть твоей. А какая она будет - зависит от того что у тебя в голове :)

    Да, это лишний слой, работать она будет неторопливо. Но если твоя цель тихо где-нибудь запуститься - самое оно. Ты не особо спешишь куда-то в такой момент :) Да и учитывая то что алгоритмы там не особо большие - на глаз не слишком заметны тормоза. Зато если ты накрутишь там хорошенько с кодом - авер просто с ума сойдет вместе со своим эмулем. Оно что-то делает а что - неизвестно. И реверсить такую штуку - тоже то еще удовольствие.

    2) Виртуальная машина - это обычный код. Ей вообще ничего не нужно по части прав (по умолчанию). Можно сказать что ты пишешь свой язык программирования и ВМ - это просто интерпретатор. Как для Бейсика.

    3) Если виртуалку ты написал без премудростей - задетектят сразу. И вот самое сложное - это генерировать такую виртуалку. Покуда копий малвари мало - раскрыть способ генерации не удается. Когда собирается приличная база - какие-то головастые дяденьки это делают. Как ? Хрен их знает.

    Но в общем-то да. Однажды наступает такой момент, когда надо конкретно переписывать код - и это довольно серьезный гемор. Но до этого - какую-то минимальную правку производишь - и все. Можно доооолго криптовать разное барахло и оно палиться не будет. Потому что постоянно генерится что-то другое. Если криптуешь разный код - даже если один спалится - второй будет жить все-равно. До кучи если ты ручками поковыряешь защищаемый PE-шник и сам будешь указывать где стартовать - какой код вырезать и.т.п. - это не займет много времени, зато на сигнатуры - можно сразу наплевать. На эвристик - тоже.

    Все может очень сильно зависеть от самой малвари. Если она выбрасывает какие-то окна, жужжит процессором и мешает - могут так прижать что в самом деле придется половину нахрен переписать. Если же это человеческая малварь которая тихо себе занимается своим делом - это намного лучше среднестатистического криптора. В нем надо что-то думать и что-то изменять. В крипторе на основе генерируемой ВМ - просто заново покриптовать и вперед :)

    Но если кратко - да. Переписывать ВМ - то еще удовольствие. И по времени занимает немало, поэтому желательно заранее подготовиться ибо можешь ты ее писать потом как бы не месяц. Тоже зависит от реализации конечно... но в среднем - намного сложнее чем поделия со стабом. Но и профит тоже есть. Вместо того чтобы каждый день - три сидеть и морщить мозг - ты спокойно живешь достаточно долго и в ус не дуешь.
     
    user100 likes this.
  15. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    А вот теперь, кажется, начинаю догадываться, кое о чём.

    Когда-то, прочитал статью о развитии порн-индустрии ЦэПэ или CP. Вы знаете, что это.
    Аналитическая статья, полная технических деталий, никаких картинок и эмоций.
    Вероятно, эту аналитическую работу провели те самые дяди отдела Х в мундирах или в гражданской одежде.

    И теперь вспоминаю, что там был изложен метод доставления контента поклонникам этого жанра.
    С использованием именно виртуальных машин, когда на стороне клиента загружается лишь клиентская часть ВМ с удалённого сервера,
    и контент идёт в зашифрованном виде.

    Посмотрел, отключил и ни следа не осталось на компе клиента. Эта студия детских картинок и видео дислоцировалась в городе Одесса.
     
  16. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,311
    Reputations:
    327
    порнуха это хорошо, но про виртуальные машины - это уже дохуя мысленных издержек, достаточно Intel с его Management Engine
     
    user100 likes this.
  17. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    `Я мыслю - стало быть я существую`, - так говорили древние греки.

     
  18. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,311
    Reputations:
    327
    хз, я не гей и не носитель этого разноцветного флага, но я люблю именно женщин, особо которым не западло напрячь жопу и сготовить вкусную еду)
     
  19. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,311
    Reputations:
    327
    а вот геи и прочие ниггеры только и заботятся об обращении внимания к ним. и кто обращается туда?
     
  20. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Лентяй! Блиц, четыре зимних месяца катал 27 км на вело до учебного центра кулинаров.
    54 км в день, on the rain and snow.



    И заметь себе - врачи, шеф-повара, парикмахеры, хакеры, - исключительно мужского пола.

    [​IMG]