eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: sfinks_2002, MegaTros, Slinger, rthax, cppasm, Osoro, SaNX (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› ScyllaHide
<< . 1 . 2 . 3 . 4 . 5 . 6 .
Посл.ответ Сообщение

Ранг: 566.0 (!)
Статус: Модератор

Создано: 27 июня 2017 14:43 New!
Цитата · Личное сообщение · #1

Плаг теперь на github'е
https://github.com/x64dbg/ScyllaHide/releases

Релиз свежий от 24.06.2017.

Добавлено спустя 24 минуты
Нуждающимся добавил x64 плаг под иду (sdk 6.95)

{ Атач доступен только для участников форума } - ScyllaHideIDAProPlugin-x64.zip

| Сообщение посчитали полезным: zNob, parfetka, mak, neprovad, VOLKOFF, plutos, nice, VodoleY


Ранг: 271.5 (наставник)
Статус: Участник

Создано: 20 мая 2019 19:40 · Поправил: difexacaw New!
Цитата · Личное сообщение · #2

Alchemistry

Понятно. Я не читал док плагина, мне он не нравится, из за патчей в юзермод.

С тем пациентом всё ясно, но а с дебагпринтом нет. В зависимости от маркера в пеб выполняется посылка сообщения юзер отладчику исключения(того DBG_PRINTxx) или ядерному отладчику, это совершенно разные механизмы. Что бы началась посылка исключений маркер должен быть установлен, но тогда это запалит отладчик. Эта область памяти специфическая, она не может быть освобождена или изменены её свойства, но для этих блоков ядро поддерживает монитор(#PG). Тоесть блок может быть guard(типо как стек), при выборке сработает ловушка(это однопоточный механизм).

Но эти плагины столь примитивны, что они не могут подменять выборку(DF). Это примитивная сервисная обработка. Поэтому что бы исключение вбрасывалось нужно захватить функцию вывода, иначе никак.

Ранг: 122.1 (ветеран)
Статус: Участник

Создано: 22 мая 2019 08:59 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #3

--> ScyllaHide_2019-05-23_01-01 <--

Code:
  1. -NtUserQueryWindow hook improvements
  2. - Do not return the real PID or TID of any window with a bad owner process, window class name or title
  3. - Instead of returning a bogus handle, return the debuggee's own client ID
  4. -Don't leave RWX pages around after hooking (change to RX)
  5. -Fix memory leak in GetModuleBaseRemote
  6. -Better heap (force) flags clearing  …
  7. - The original method of a whitelist for the heap flags and simply zeroing the force flags is overly aggressive and also clears flags set by protectors (leading to detections) and flags set by the debuggee (leading to crashes due to missing e.g. HEAP_CREATE_ALIGN_16).
  8. Switch to a blacklist-based approach of clearing only those (force) flags that are valid and indicate the presence of a debugger and/or NtGlobalFlags
  9. -Make user32/win32u.dll hooks work on Windows 10 WOW64
  10. -Update release.bat

| Сообщение посчитали полезным: ClockMan


Ранг: 122.1 (ветеран)
Статус: Участник

Создано: 1 июня 2019 10:57 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #4

--> ScyllaHide_2019-05-31_22-45 <--

Code:
  1. -Fix IDA plugin build
  2. -Ignore return value in HOOK_NATIVE_NOTRAMP since it is always NULL
  3.  
  4. -"Obsidium fixes":
  5. - Enable NtUserQueryWindow hook for Obsidium profile
  6. -  Obsidium thinks anyone who simply has a WinDbg window open is out to get them, and uses some 1990s era detection techniques like window enumeration to find these evil hacker tools. Guess what, some people use WinDbg and IDA for their work (shock!). Isn't it ironic that Obsidium protected software is actually more user friendly when you run it in a debugger?
  7. - Write WOW64 x64 transition detours as far jmps
  8. -  Obsidium checks syscalls for hooks, or at least it tries to. But if something only kinda looks like the original it's good enough. And thus was born: the absolute far jmp with segment selector that doesn't actually change the segment. Good to go!
  9. -  Tip for Obsidium: take a cue from your competitors at VMProtect and try doing something that's actually innovative and hard to bypass instead of these hardcoded byte checks. I almost feel second hand embarrassment committing this
  10. - Same thing as previous commit, but for native x86
  11. -  OK, I admit I clearly stopped trying here. But I bet I still put more effort into this lazy hack than Obsidium put into their hook detection

| Сообщение посчитали полезным: plutos


Ранг: 271.5 (наставник)
Статус: Участник

Создано: 2 июня 2019 09:37 New!
Цитата · Личное сообщение · #5

Я сурки листал, заметил это:

// Windows 10 NtQueryInformationProcess specific

Интереса ради решил посмотреть:

Code:
  1. .text:4B2EA3D0 _ZwQueryInformationProcess@20 proc near
  2. .text:4B2EA3D0                 mov     eax, 19h
  3. .text:4B2EA3D5                 call    $+5
  4. .text:4B2EA3DA                 pop     edx
  5. .text:4B2EA3DB                 cmp     byte ptr ds:(off_4B2EA3EB+3 - 4B2EA3DAh)[edx], 4Bh
  6. .text:4B2EA3DF                 jnz     short loc_4B2EA3EF
  7. .text:4B2EA3E1                 call    large dword ptr fs:0C0h
  8. .text:4B2EA3E8                 retn    14h
  9. .text:4B2EA3E8 ; ---------------------------------------------------------------------------
  10. .text:4B2EA3EB off_4B2EA3EB    dd 4B280000h
  11. .text:4B2EA3EF ; ---------------------------------------------------------------------------
  12. .text:4B2EA3EF loc_4B2EA3EF:
  13. .text:4B2EA3EF                 mov     edx, offset _Wow64SystemServiceCall@0
  14. .text:4B2EA3F4                 call    edx
  15. .text:4B2EA3F6                 retn    14h
  16. .text:4B2EA3F6 _ZwQueryInformationProcess@20 endp


Это использование дельта-смещения в системном модуле с релоками


Ранг: 326.2 (мудрец)
Статус: Участник
born to be evil

Создано: 10 июня 2019 00:41 New!
Цитата · Личное сообщение · #6

difexacaw
там много жути по коду

вопрос в другом. кто-то юзал сциллахайд не для трейса, а в своем модуле для а-антидебага (подгрузка сциллахайд)? как реализовали? чистая подгрузка хрен что дает, или я торможу уже
смысл - инжект в процесс под ида7 x64, родная трассировка, а окошки иды и прочее запрятаны должны быть

Ранг: 1.3 (гость)
Статус: Участник

Создано: 10 июня 2019 01:47 New!
Цитата · Личное сообщение · #7

у Скилы (Сцылы?) ведь плаг для Иды?

Ранг: 3.6 (гость)
Статус: Участник

Создано: 10 июня 2019 08:34 New!
Цитата · Личное сообщение · #8

fedik если вы хотели спросить есть ли плагин для иды, то могу ответить вам что его нет

Ранг: 122.1 (ветеран)
Статус: Участник

Создано: 10 июня 2019 09:21 New!
Цитата · Личное сообщение · #9

fedik

ScyllaHide

-Standalone (debugger-independent)
-OllyDbg v1
-OllyDbg v2
-IDA v6
-x64dbg
-TitanEngine

Ранг: 271.5 (наставник)
Статус: Участник

Создано: 10 июня 2019 10:31 New!
Цитата · Личное сообщение · #10

ajax

> в своем модуле для а-антидебага

А зачем это нужно. Необходимость в таких плагинах это косяк разрабов отладчиков - используют штатный дебаг механизм, просто что бы крутить элементарный дебаг цикл и получать несколько сообщений(запуск потоков, исключения). Тоже самое можно сделать и без дебаг механизма, тогда ничего скрывать не нужно.


Ранг: 453.7 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 10 июня 2019 10:52 New!
Цитата · Личное сообщение · #11

fedik пишет:
у Скилы (Сцылы?) ведь плаг для Иды?

galenkane пишет:
fedik если вы хотели спросить есть ли плагин для иды, то могу ответить вам что его нет


Есть же ScyllaHide --> documentation <--PDF.
Или проще бежать на форум с таким вопросом, чтобы получить такой же ответ?


Code:
  1. 2.4 IDA v6
  2. 32-bit: Copy scylla_hide.ini, HookLibraryx86.dll and ScyllaHideIDA.plw to
  3. your IDA plugins directory.
  4. 64-bit: Copy scylla_hide.ini, HookLibraryx64.dll, ScyllaHideIDASrvx64.exe
  5. and ScyllaHideIDA.p64 to your IDA plugins directory

Ранг: 2.5 (гость)
Статус: Участник

Создано: 12 июня 2019 11:52 New!
Цитата · Личное сообщение · #12

Доброго времени суток!
Поставил Scilla на x32dbg - работать не желает! Выдает следующее:
[img]http://www.cyberforum.ru/attachments/1047173d1560188484[/img]
В то же время на VM эта ошибка отсутствует...
Объясните новичку что это и как с этим бороться...


Ранг: 324.0 (мудрец)
Статус: Участник

Создано: 12 июня 2019 15:01 New!
Цитата · Личное сообщение · #13

Поставил Scilla на x32dbg - работать не желает!
Какая операционка, либы все просканировали как указано в документации? Если делать всё по инструкции, то проблем быть не должно.

Ранг: 271.5 (наставник)
Статус: Участник

Создано: 12 июня 2019 16:05 New!
Цитата · Личное сообщение · #14

Code:
  1.    if (!ReadProcessMemory(hProcess, lpFuncOrig, originalBytes, sizeof(originalBytes), nullptr))
  2.     {
  3.         MessageBoxA(nullptr, "DetourCreateRemoteX86->ReadProcessMemory failed.", "ScyllaHide", MB_ICONERROR);


Если бы это было ограничение прав, то ошибка была бы при открытии процесса. Тогда варианта два - либо какой то ав блокирует операцию, либо операция с невалид адресом.

Ранг: 2.5 (гость)
Статус: Участник

Создано: 12 июня 2019 17:44 New!
Цитата · Личное сообщение · #15

Vamit пишет:
Какая операционка
Win7x64
Vamit пишет:
как указано в документации
документации чего? Scillы? В глаза не видел.....в той что с пакетом шла ничего вообще нету, в доках дебагера тоже ничего не нахожу...

Добавлено спустя 1 минуту
difexacaw пишет:
Тогда варианта два - либо какой то ав блокирует операцию
Отключение АВ ничего не дало...


Ранг: 324.0 (мудрец)
Статус: Участник

Создано: 12 июня 2019 18:42 New!
Цитата · Личное сообщение · #16

документации чего? Scillы? В глаза не видел.....
Не знаю что вы там загрузили, но в пакете идет pdf файл с описанием инсталяций, а в папке NtApiTool утилиты под конкретную операционку для создания NtApiCollection.ini файла, он обязателен.

Ранг: 122.1 (ветеран)
Статус: Участник

Создано: 12 июня 2019 19:10 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #17

PEvgen пишет:
В то же время на VM эта ошибка отсутствует

Если на ВМ аналогичный сеттинг ОС и программы, то скорее блочит что-то из "защиты".

В конце концов можно попробовать отладить отладчик и посмотреть.

| Сообщение посчитали полезным: PEvgen


Ранг: 271.5 (наставник)
Статус: Участник

Создано: 12 июня 2019 22:26 New!
Цитата · Личное сообщение · #18

PEvgen

> Отключение АВ ничего не дало...

Отключение не значит что отключение его фильтров. Как минимум известно что у вас запущен ав, вот он вероятно и блокирует.

Добавлено спустя 5 минут
VOLKOFF

А что там смотреть, сервис вернёт ACCESS_DENIED или ошибку копирования, из за того что область невалид, но такой расклад маловероятен.

Ранг: 2.5 (гость)
Статус: Участник

Создано: 13 июня 2019 08:39 New!
Цитата · Личное сообщение · #19

difexacaw пишет:
Отключение не значит что отключение его фильтров.
С полностью не загруженым ситуация аналогичная...

Добавлено спустя 1 минуту
Vamit обнаружена подозрительная активность, похожая на троллинг.

Добавлено спустя 28 минут
VOLKOFF пишет:
В конце концов можно попробовать отладить отладчик и посмотреть.

Я не знаю как словить момент загрузки Scilla (в смысле попробовал)...

Добавлено спустя 34 минуты
К слову...

{ Атач доступен только для участников форума } - scylla_hide.log

Добавлено спустя 3 часа 32 минуты
В общем, перепроверив на виртуалке выяснил, что, таки, фаервол блокирует, а на виртуалке с WinXP - нет! интересно, существует ли решение помимо отказа от софта или замены хз на что?

Ранг: 271.5 (наставник)
Статус: Участник

Создано: 13 июня 2019 18:59 New!
Цитата · Личное сообщение · #20

PEvgen

> таки, фаервол блокирует

Как и предполагалось.

> существует ли решение помимо отказа от софта

Удали этот авер, он тебя не защищает, а только мешает и создаёт видимость защиты.

| Сообщение посчитали полезным: morgot


Ранг: 2.5 (гость)
Статус: Участник

Создано: 13 июня 2019 20:29 New!
Цитата · Личное сообщение · #21

difexacaw пишет:
> существует ли решение помимо отказа от софта

Удали этот авер, он тебя не защищает, а только мешает и создаёт видимость защиты.

Удалить софт не отказываясь от него? )

Удаление АВ и ФВ по моему не вариант....если с АВ я еще согласен, что он скорее вредитель (в виду неограниченных прав и непорядочности человеков), то ФВ, в котором собственно и проблема - нет! Я понимаю, что украсть у меня нечего, но залезающих, прошу прощения, "посрать" ребят я им хоть как-то сдерживаю....Да и непонятно, почему на ХР-шной виртуалке с ним нету проблем.

Ранг: 271.5 (наставник)
Статус: Участник

Создано: 13 июня 2019 21:27 · Поправил: difexacaw New!
Цитата · Личное сообщение · #22

PEvgen

Никого не волнуют ваши трудности и софт. Вот мне например интересно было что за фигня с чтением памяти - я понял и мне уже глубоко пох что у вас там за авер и сколько он стоит.

> почему на ХР-шной виртуалке с ним нету проблем.

Потому что XP и например 8-ка это совершенно разные ОС. В десятке вообще это всё говно не запустится наверно.

Моё мнение такое - эти плагины для кривого отладчика удел школьников(какой то ппц основанный на патчах, да есчо и удалённых - из другого процесса это дичайший изврат), норм чуваки юзают норм инструменты - виндебаг и визоры в разных вариантах, их много очень.

Ранг: 25.0 (посетитель)
Статус: Участник

Создано: 13 июня 2019 22:51 New!
Цитата · Личное сообщение · #23

PEvgen
не знаю, правильно ли я понял суть проблемы. Но - для реверса лучше держать отдельное железо / ВМ без аверов. Это должна быть чистая ОС, без шлака, который везде лезет и все перехватывает. На ХР совсем другая архитектура + вы не написали, есть ли там ав-софт.

| Сообщение посчитали полезным: difexacaw


Ранг: 271.5 (наставник)
Статус: Участник

Создано: 14 июня 2019 00:52 New!
Цитата · Личное сообщение · #24

morgot

Они не понимают на счёт аверов, что фильтры ав - обьект атаки, впрочем это нормально для юзера.

Вопрос в другом, зачем нужны эти плагины. Я например их не юзаю. Человек использующий отладчик должен понимать с чем имеет дело и механизмы. Дебаг механизм это своего рода некоторый мод, где очень сильно изменяется окружение и что то там скрыть врядле вобще возможно. Можно конечно из г&п построить примитивный механизм фильтрации и пропатчить образ нэйтив, но это всё фигня. Если человек не может преодолеть трудность без готового софта, то на этом нужно заканчивать, закрыть всё и забить.

Ранг: 2.5 (гость)
Статус: Участник

Создано: 14 июня 2019 05:06 New!
Цитата · Личное сообщение · #25

Мне жаль людей, живущих под диктовку....(нет!) Хотя многие этим довольны - из них....Голова стала еще одним "ненужным органом".

Ранг: 271.5 (наставник)
Статус: Участник

Создано: 14 июня 2019 11:12 · Поправил: difexacaw New!
Цитата · Личное сообщение · #26

PEvgen

Так ты САМ не смог даже выполнить примитивные действия в пару кликов что бы посмотреть код ошибки(статусный код). А есчо и авера поставил



Да, а пришёл спрашивать вопрос на котором нужно гадать.

{ Атач доступен только для участников форума } - scy.7z
<< . 1 . 2 . 3 . 4 . 5 . 6 .
 eXeL@B —› Софт, инструменты —› ScyllaHide

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS