Русский / Russian English / Английский

Сейчас на форуме: Xamil, cppasm (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› SIDE.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 13 . 14 . >>
Посл.ответ Сообщение


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 3 августа 2013 16:29 · Поправил: Dr0p New!
Цитата · Личное сообщение · #1

o x86, KM, MI, KDR; откат на 5.1, 6.1; недетект всяким аверским говном.

Пиздатый мотор для дебага всякой юзермодной погани. Теперь не нужно юзать ядерный дебаг, чтобы всякая хуита не вышла из под отладки. Возможность выбора сервисной таблицы.

Отлавливаются все сисколы в системе, редирект в юзермод, там наш фильтр их обрабатывает и вертает управленье в юзермод.

Возврат из ядра на адрес PEB[0xFFC], флаг по тому же смещенью в TEB запрещает обработку(по дефолту сброшен, тоесть пропускается).

При возврате имеем в rEax номер сервиса, на стеке:

Code:
  1. FSTATE struct
  2.          Ip      PVOID ?
  3.          Args    PVOID ?
  4. FSTATE ends


Прожект с vx.security-portal.cz

{ Атач доступен только для участников форума } - SIDE.zip

| Сообщение посчитали полезным: hors, daFix, Lacoste, Paranoid Koneko, Abraham, JKornev, DenCoder, dosprog, Coderess, Tolkin, VanHelsing



Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 18 августа 2013 22:01 · Поправил: Dr0p New!
Цитата · Личное сообщение · #2

reversecode

> необязательно его запускать,

Обязательно, иначе придётся неделями полностью весь код отбивать.

> тебя +100500 раз просили и на васме и здесь привести реальный конкретный пример примениения твоей технологии в действии, бери любой удобный софт с защитой(ты в них спец), только не хелов ворлды

Возьми любой софт, вашим тимом крякнутый или кейген и ты с вероятностью 98% инфицируешь систему. А как же иначе, ведь там будут не только вызовы виньапишек :D

Кстате ядерный дебаггер тоже подходит под категорию - выкинь нах, не так ли ??

У пару лет назад ось слетела, дебажил зероаццесс(или софтина какая с ним была, не помню точно; не на варе). Так вот не ту кнопку тыкнув в ольке наебнулось всё. Потому что там были хитровыебанные методы.


Ранг: 1029.0 (!!!!)
Статус: Участник

Создано: 18 августа 2013 22:10 New!
Цитата · Личное сообщение · #3

неделями и больше это только ты можешь аверов ресечить

ядреный дебаг тоже не очень нужный

практическое примение твоему дивигу от тебя я услышу? или будешь дальше игратся в дурачка?


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 18 августа 2013 22:11 · Поправил: Dr0p New!
Цитата · Личное сообщение · #4

reversecode

Для тебя сабж не имеет практического примененья.

> ядреный дебаг тоже не очень нужный

Не удивительно.


Ранг: 1029.0 (!!!!)
Статус: Участник

Создано: 18 августа 2013 22:14 New!
Цитата · Личное сообщение · #5

остаюсь в теме и жду ответов от тех для кого сабж имеет практическое применение
врядли такие найдутся, с 2008 года их досих пор не видно

| Сообщение посчитали полезным: Abraham


Ранг: 411.1 (мудрец)
Статус: Участник

Создано: 19 августа 2013 17:55 New!
Цитата · Личное сообщение · #6

>>vx.security-portal.cz:
>>VX: На курятнике решили, что Инди выложил свои движги на вудмане и экселабе, жаль (или не жаль), что они так и не узнают, что там дампы, а здесь исходники + дампы.
>>Indy: Есно сурсы только тут .

DrOp, так на что же тут смотреть?..

Ранг: 151.0 (ветеран)
Статус: Участник

Создано: 19 августа 2013 19:21 New!
Цитата · Личное сообщение · #7

dosprog
На илитный бинарь же. Нужно распечатать дамп и обклеить стены. Заюзать сие все равно никто из нас не сможет, ибо мы - тупые маглы и не знаем матчастей...

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 19 августа 2013 19:29 New!
Цитата · Личное сообщение · #8

Скопировал на виртуалку с win xp папку IMAGE_SUBSYSTEM_CUI запустил батник, создался пустой файл лог.тхт.
Вывод: очередное работающее только на ЭВМ клерка гуано


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 19 августа 2013 19:29 New!
Цитата · Личное сообщение · #9

dosprog

Вам сурсы видеть не положено. Не доросли вы есчо до сабжа. Освойте виньапишки для начала. Да и накой вам ядерные сурсы, всёравно нихуя в них не поймёте.


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 19 августа 2013 19:30 New!
Цитата · Личное сообщение · #10

SegFault

Надо вначале дров запустить лоол

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 19 августа 2013 19:32 New!
Цитата · Личное сообщение · #11

а с бубном вокруг кампека поплясать не надо?
учи как драйвера грузить лол http://msdn.microsoft.com/en-us/library/windows/desktop/ms685141%28v=vs.85%29.aspx
потом релизь что-либо


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 19 августа 2013 19:33 New!
Цитата · Личное сообщение · #12

SegFault

Ахаха ну и идиот

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 19 августа 2013 19:36 New!
Цитата · Личное сообщение · #13

идиот это тот кто релизит год от года никому не нужный хлам для winXP написанный на асме х86, да еще и оформлять не научился свои поделки. Даже те полтора землекопа которые захотят из любопытства посмотреть на релиз выкинут его увидев кучу левых файлов с которыми непонятно что делать. Шлак короче, выкинут в корзину. Судя по лог.тхт любой вин-апи логгер делает это унылое поделие влегкую

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 19 августа 2013 19:39 New!
Цитата · Личное сообщение · #14

неполенился скачал nthdrv.sys запустил через kmdmanager, тоже самое пустой лог.тхт. Давай бубен индий!!!


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 19 августа 2013 19:41 New!
Цитата · Личное сообщение · #15

SegFault

Там всё что нужно для запуска есть, откатано на XP, 7 и 8 многократно. Какие тебе запуски, неуч. Иди уроки делай. Такого пиздеца я есчо не видел

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 19 августа 2013 19:47 New!
Цитата · Личное сообщение · #16

Ты пишешь, что нужен драйвер. Запускаем nthdrv.sys через кмдменеджер, видим что он успешно загрузился. Дальше запускаем IMAGE_SUBSYSTEM_CUI\Run.bat он запускается, выдает мессажбокс. Но log.txt пустой.

Скорее всего ты не умеешь обрабатывать свои ошибки, поэтому даже в случае неудачи твой говнокод продолжает работать, вместо корректного вывода сообщения об ошибке. Собственно все малварщики мнящие себя гениями на деле оказываются говнокодерами.

А в случае упоротых типа тебя пишущих на голом асме неудивительно, что на входе компелятора элитные асм коды (овощи не поймут) а на выходе - неработающее говно.

Но тут индий самое время сказать: вы все нубы, и не шарите или неуч. Иди уроки делай


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 19 августа 2013 19:53 New!
Цитата · Личное сообщение · #17

SegFault

> Запускаем nthdrv.sys через кмдменеджер, видим что он успешно загрузился.

Номер IOCTL'а для ручного запуска икона твоя выдала чтоле ёба. Иди еби гусей дальше.

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 19 августа 2013 20:02 New!
Цитата · Личное сообщение · #18

Видимо телепаты должны были понять, что запускать нужно nthdrv.exe. Но чтобы телепатов сбить с пути ты положил туда же еще и KmdManager.exe? Да ты упорот

Вот теперь шлак заработал, выдал спам в логах. Только вот нет шадоу вызовов, да и обычные вызовы тоже не полны. Последний вызов должен быть NtTerminateProcess. А в твоем шлаке последние вызовы:

Code:
  1. NtSetInformationThread(
  2.     __in HANDLE ThreadHandle: 0xFFFFFFFE,
  3.     __in THREADINFOCLASS ThreadInformationClass: 0xA,
  4.     __in_bcount(ThreadInformationLength) PVOID ThreadInformation: 0x12FDBC,
  5.     __in ULONG ThreadInformationLength: 0x4
  6.     )
  7. NtSetInformationThread(
  8.     __in HANDLE ThreadHandle: 0xFFFFFFFE,
  9.     __in THREADINFOCLASS ThreadInformationClass: 0xA,
  10.     __in_bcount(ThreadInformationLength) PVOID ThreadInformation: 0x12FDBC,
  11.     __in ULONG ThreadInformationLength: 0x4
  12.     )
  13. NtClose(
  14.     __in HANDLE Handle: 0x7E8
  15.     )
  16. NtClose(
  17.     __in HANDLE Handle: 0xC
  18.     )
  19.  


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 19 августа 2013 20:07 · Поправил: Dr0p New!
Цитата · Личное сообщение · #19

SegFault

Монитор в не нэйтивной в дллке, там есть деинит. Посему до терменейта оно не дойдёт. Шадов я не обрабатывал(накой нужны тонны NtUserSendMessage etc), он обычно не нужен. А про шлак я не понял, аналога нет. Только ядерный дебаг и пиши вручную скрипты.

А kmdm я туда запулил, так как вы не стартапите повторно дров после ребута(так как он не деинсталится).


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 19 августа 2013 20:14 New!
Цитата · Личное сообщение · #20

Что-то я не понял... При помощи логера натив апи это типа тут предпринимается попытка предотвращения вторжения малвари или что ??


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 19 августа 2013 20:18 New!
Цитата · Личное сообщение · #21

Rainbow

Да. Точнее мониторятся нтапи на уровне ядра.


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 19 августа 2013 20:23 New!
Цитата · Личное сообщение · #22

Ну и на каком принципе основан мониторинг системы ? Обычным хайджеком etc? Ну если так, то действительно софт врятли имеет право на жизнь... Т.к. Ring0 сплоиты никто не отменял. и хер там подступишься к телу коня при грамотном раскладе.

Ранг: 6.7 (гость)
Статус: Участник

Создано: 19 августа 2013 21:45 New!
Цитата · Личное сообщение · #23

Dr0p
почему с твоим хелловордом не работает (пустой лог) ?
создавал другой батник и переименовывал в Test.exe..

Ранг: 411.1 (мудрец)
Статус: Участник

Создано: 20 августа 2013 00:44 New!
Цитата · Личное сообщение · #24

))
bizdon,
DrOp устал. Это ж надо, такие сложные программы составлять...

Вкратце,
его примОчка работает так:

1)
устанавливаете драйвер: C>nthdrv.exe
Это - реквест на загрузку nthdrv.sys.
Если всё прошло успешно, то ничего не произойдёт. Тишина.
Иначе вылезет бокс с сообщением, что драйвер не может быть зарегистрирован.

2)
Запускаете тот самый RUN.BAT
,из которого запускается TEST.EXE >log.txt.
Эта test.exe подгружает FLT.DLL и выводит бокс с надписью "psapi.dll".
Жать "Ок" не нужно. Пусть висит.
Протокол льётся в файл log.txt.
В этот момент засекаем его размер.

3)
А вот теперь запускаем этот самый "хеловорд" .
Как только завершим этот "хеловорд" и следом же и TEST.EXE -
увидим полный лог вызовов в файле log.txt.
Это вызова, сделанные при загрузке TEST.EXE->FLT.DLL и вдобавок те,
которые сгенерировал "хеловорд".

Оччччень удобно...
------------------------------------------------------------------------------------------------------------
))DrOp может угадывать, сколько времени ушло на получение сорса из 4Кб текста.

Вообще, должен сказать, что такие "сырые" вещи если и выкладывать,
то с исчерпывающими комментариями и полным сорсом.
Иначе - только занимать бестолку чужое драгоценное время.


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 20 августа 2013 01:41 · Поправил: Dr0p New!
Цитата · Личное сообщение · #25

Rainbow

> Ну и на каком принципе основан мониторинг системы ?

KDR. Нет никакого смысла тут что либо обьеснять, если вам интересно, сморите семпл, который я дал выше в аттаче. Если вы поймёте, я дам вам инвайт на свой форум, где не поленюсь вам всё обьяснить.

dosprog

Почему всегда так трудно

Во первых сабж является викс мотором, его базовая задача - в обход аверских детекторов перехватывать всю юзерскую систему. Общение её с ядром идёт через системный шлюз.
Во вторых фильтр я дал вам открытый, с исходным кодом, специально для того, чтобы те, кому это интересно, смогли разобраться. Там всё абсолютно прозрачно.
Дров всего лишь оболочка, минимально необходимая для стартапа. Сам же мотор является микодом, это самодостаточный код, ему не нужен пе-фаел. Стартапь дамп откуда хочешь на пассиве. Для диагностики есть отладочный билд, который выводит тонну мессах, сообщающих причину фейла. Он может быть в случае, если оригинальное загруженное ядро модифицированно, тоесть патчи всякие. Мотор не грузит ядро с диска, это реализуется за минуту, но тот код, который парсится никто не изменяет. А по сему нет смысла утяжелять.
Батник нужен для запуска консольного модуля. Тогда csrss может выполнять его команды. В данном случае это редирект консольного вывода в файл. Там накапливается полный лог, каждое обращенье к ядру. Консолька сделана не просто так. Если ты посморишь в сурс, то поймёшь надеюсь. При вызове DbgPrint() в зависимости от наличия порта вывод направляется либо в ядро, либо генерится фолт при наличии порта. Этот фолт обрабатывает дебаггер. Оказалось что строку из нескольких десятков символов они обработать не способны, в частности олли не может обработать перенос каретки(CRLF). Поэтому в ней выводить текст не приемлимо.
Любой произвольный код может дёрнуть к примеру NtRemoveProcessDebug и отлаживаемый код выйдет из под отладчика. Вне апи, вне стабов(Zw) это нельзя отследить вне ядра. Сабж это делает. И делает пиздато.
Хелловорлд запилен как простейший пример. Не пойму чем эта апи вам не нравится. Она затрагивает шадов, тоесть вызовы и из него фильтруются. Тут мне нечего сказать.

> ))DrOp может угадывать, сколько времени ушло на получение сорса из 4Кб текста.

У меня сотня кб мгновенно создаётся. Причём система тормазнутая пиздец.

> Вообще, должен сказать, что такие "сырые" вещи если и выкладывать,

Это полноценный релиз. Да, есть один нюанс. Это ссыль на фильтр. Но конфликты будут только с моим кодом. Посему это не существенно. Можно выделить левый буфер под это дело. Но накой оно надо..

> Иначе - только занимать бестолку чужое драгоценное время.

Проходите мимо. Вот я например ваши юзермодные тулзы и прочее ламерское говно не юзаю и не обращаю внимания на такие вещи. Если для ваших целей инструмент не пригоден, то не считайте что он не нужен другим. Вообще он вылажен для тех, кто работает с нэйтивом. Выше - проходите мимо. Я не понимаю схуяле вы срёте глыбами тут


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 20 августа 2013 18:30 New!
Цитата · Личное сообщение · #26

Dr0p пишет:
KDR. Нет никакого смысла тут что либо обьеснять, если вам интересно, сморите семпл, который я дал выше в аттаче. Если вы поймёте, я дам вам инвайт на свой форум, где не поленюсь вам всё обьяснить.


Ты хочешь сказать ты изобрел новый способ перехвата, отличающийся от существующих ? Ну не знаю... На сегодня все способы перерхвата восстанавливаются самым примитивным образом. Даже SSDT.


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 20 августа 2013 19:08 · Поправил: Dr0p New!
Цитата · Личное сообщение · #27

Rainbow

Я это изобрёл" когда ты есчо не знал что такое ядро, IDP метод древний как динозавры. И вы это хуй чем задетектите, не говоря уже про выпил. Массив сервисов я не трогал в сст. Это вы не начто более не способны, кроме как портить в памяти модуля(тот же патч сст). За это надобно сразу руки отхуяривать.

> На сегодня все способы перерхвата восстанавливаются самым примитивным образом.

На сегодня аверы у меня хуй сосут. Да и ваще, давай в студию пример детекта и выпила. Есчо один обосрался ?

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 20 августа 2013 19:23 New!
Цитата · Личное сообщение · #28

Dr0p
ms-rem еще в 2005м хучил функции ядерные, ты через 8 лет смог повторить и хвастаешься? ну молодец чо


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 20 августа 2013 19:34 · Поправил: Rainbow New!
Цитата · Личное сообщение · #29

Dr0p пишет:
Я это изобрёл" когда ты есчо не знал что такое ядро, IDP метод древний как динозавры. И вы это хуй чем задетектите, не говоря уже про выпил. Массив сервисов я не трогал в сст. Это вы не начто более не способны, кроме как портить в памяти модуля(тот же патч сст). За это надобно сразу руки отхуяривать.


Дедуль тебе явно на пенсию пора.. Песок из жопы видимо уже сыпется.. Ну так поведай миру о своем гениальном изобреетений ))) Патент на способ, кандидатская диссертация и т.п. Хотя о чем я говорю... Наверное придется сперва учебник русского языка за 5 класс изучить )))


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 20 августа 2013 19:41 New!
Цитата · Личное сообщение · #30

SegFault

Пруф или пиздабол!

Rainbow

Не понял вашего высера. Где детект ёба!?

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 20 августа 2013 19:44 New!
Цитата · Личное сообщение · #31

Dr0p
гуглить не умеешь шайтан? http://www.cracklab.ru/download.php?action=get&n=NTkw
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 13 . 14 . >>
 eXeL@B —› Софт, инструменты —› SIDE.
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ