eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: wakizegib
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› ScyllaHide
<< . 1 . 2 . 3 . 4 . 5 .
Посл.ответ Сообщение

Ранг: 565.4 (!)
Статус: Модератор

Создано: 27 июня 2017 14:43 New!
Цитата · Личное сообщение · #1

Плаг теперь на github'е
https://github.com/x64dbg/ScyllaHide/releases

Релиз свежий от 24.06.2017.

Добавлено спустя 24 минуты
Нуждающимся добавил x64 плаг под иду (sdk 6.95)

{ Атач доступен только для участников форума } - ScyllaHideIDAProPlugin-x64.zip

| Сообщение посчитали полезным: zNob, parfetka, mak, neprovad, VOLKOFF, plutos, nice, VodoleY


Ранг: 116.8 (ветеран)
Статус: Участник

Создано: 10 января 2019 13:47 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #2

TryAga1n пишет:
У кого-нибудь завалялась сцилка образца 2017 года?

Есть
--> ScyllaHide_2017-30-05_19-09 <--
--> ScyllaHide_2017-06-04_18-28 + src <--
Есть 1.2 от 2014
Устроит?

| Сообщение посчитали полезным: TryAga1n


Ранг: 6.1 (гость)
Статус: Участник

Создано: 10 января 2019 15:41 New!
Цитата · Личное сообщение · #3

Последняя сборка 2017 года --> Link <--, если не будет работать на XP, могу предоставить более ранние сборки.

| Сообщение посчитали полезным: TryAga1n


Ранг: 116.8 (ветеран)
Статус: Участник

Создано: 14 января 2019 21:54 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #4

--> ScyllaHide_2019-01-14_16-32 <--

Code:
  1. Add NtDuplicateObject hook
  2. This is actually part of the NtClose hook (in that NtClose is the problem, not NtDuplicateObject), it's just that NtDuplicateObject with DUPLICATE_CLOSE_SOURCE is a very clever way of calling NtClose inside the kernel where our ntdll hook obviously doesn't fly


Добавлено спустя 2 часа 15 минут
--> ScyllaHide_2019-01-14_21-28 <--

Code:
  1. Revert 976f31c for native x86 and Wow64 processes
  2. Fixes breakage in places where there is no room for the NOP prefix. Native x64 processes will still have the NOP prefix applied before a hook jmp

| Сообщение посчитали полезным: v00doo


Ранг: 116.8 (ветеран)
Статус: Участник

Создано: 6 марта 2019 18:41 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #5

--> ScyllaHide_2019-03-06_16-15 <--
Code:
  1. Show a messagebox if the hook DLL does not exist, in case of AVs deleting it


ScyllaHide_2019-03-06_19-23
Code:
  1. -Add 'olly2patches.h' to the VS project filters file
  2. -DLL injection: change the default value of DLLUnload to 0
  3. -DLL injection: replace 'DoThreadMagic' with NtCreateThreadEx-using version
  4. -ApplyAntiAntiAttach: remove unneeded check of ntdll image base Ntdll is in \KnownDLLs, it always has the same image base in all processes. Note/TODO: this does not prevent a process from manually mapping ntdll at more than one address, but this was never detected in the first place
  5. -ApplyAntiAntiAttach: make sure page is RWX before writing to it

Ранг: 116.8 (ветеран)
Статус: Участник

Создано: 11 марта 2019 23:12 New!
Цитата · Личное сообщение · #6

--> ScyllaHide_2019-03-11_20-38 <--
Code:
  1. Dead code removal
  2. CLI injector: remove debug privileges if specified in options
  3. CLI injector: kill anti-attach if specified in options

Ранг: 116.8 (ветеран)
Статус: Участник

Создано: 26 марта 2019 08:47 New!
Цитата · Личное сообщение · #7

--> ScyllaHide_2019-03-25_23-26 <--
Code:
  1. NtGetContextThread: if debug registers were requested, zero them

Ранг: 116.8 (ветеран)
Статус: Участник

Создано: 5 апреля 2019 18:31 New!
Цитата · Личное сообщение · #8

--> ScyllaHide_2019-04-05_13-00 <--
Code:
  1. -Update ntdll.h
  2. -Add x64 instrumentation callback hook

| Сообщение посчитали полезным: BlackCode


Ранг: 248.2 (наставник)
Статус: Участник

Создано: 6 апреля 2019 00:27 · Поправил: difexacaw New!
Цитата · Личное сообщение · #9

VOLKOFF

С этой парой костылей отладчик по твоему стал менее заметным ?

Увы, но это всё смысла не имеет. Есть есчо куча системных способов его детекта. И это всё без замеров тайминга. Попытка бессмысленна, единственный вариант - отказаться от такого типа отладки/трассировки, решение невозможно(скрыть отладчик).


Ранг: 525.3 (!)
Статус: Участник
оптимист

Создано: 6 апреля 2019 00:43 New!
Цитата · Личное сообщение · #10

difexacaw
Чё обсидиум по зубам дал

Ранг: 248.2 (наставник)
Статус: Участник

Создано: 10 апреля 2019 20:19 · Поправил: difexacaw New!
Цитата · Личное сообщение · #11

Я заценил эту поделку. Как и раньше получаем её буфера одним вызовом:

Code:
  1. comment '
  2.  WRK:
  3.          if (RequestedLimits.MinimumWorkingSetSize &&
  4.          RequestedLimits.MaximumWorkingSetSize) {
  5.                 //
  6.                  // See if the caller just wants to purge the working set.
  7.                  // This is an unprivileged operation.
  8.                  //
  9.                  if (RequestedLimits.MinimumWorkingSetSize == (SIZE_T)-1 &&
  10.                         RequestedLimits.MaximumWorkingSetSize == (SIZE_T)-1) {
  11.                         PurgeRequest = TRUE;
  12.                         ...
  13.                         '
  14. EmptyWS proc
  15. Local Ps:QUOTA_LIMITS
  16.          invoke ZwQueryInformationProcess, NtCurrentProcess, ProcessQuotaLimits, addr Ps, sizeof(QUOTA_LIMITS), NULL
  17.          .if !Eax
  18.                  or Ps.MinimumWorkingSetSize,-1
  19.                  or Ps.MaximumWorkingSetSize,-1
  20.                  invoke ZwSetInformationProcess, NtCurrentProcess, ProcessQuotaLimits, addr Ps, sizeof(QUOTA_LIMITS)
  21.          .endif
  22.          ret
  23. EmptyWS endp
  24.  
  25. EP proc
  26. Local Ws[512]:PROCESS_WS_WATCH_INFORMATION     ; 8k max.
  27. Local S1ze:ULONG
  28.          invoke ZwSetInformationProcess, NtCurrentProcess, ProcessWorkingSetWatch, 0, 0
  29.          invoke EmptyWS
  30.          invoke ZwQueryInformationProcess, NtCurrentProcess, ProcessWorkingSetWatch, addr Ws, PAGE_SIZE, addr S1ze





Ранг: 35.7 (посетитель)
Статус: Участник

Создано: 10 апреля 2019 23:37 New!
Цитата · Личное сообщение · #12

difexacaw
и что ето дает?


Ранг: 116.1 (ветеран)
Статус: Участник

Создано: 11 апреля 2019 07:08 New!
Цитата · Личное сообщение · #13

Ну он повесил монитор набора, сбросил набор и посмотрел потом результаты монитора в которых нашел ссылки на код сцилы. С присущим ему апломбом. Гениально, никто не делал раньше, лол (на самом деле нет). Дальше трех инвоке его код не ушел, поэтому разбор и детект сцилы у него вышел только после ручного долбления лога в самой же олли. Классический код клерка, где чтобы он заработал его надо дебажить. Кстати всю эту хрень можно сварганить при помощи psapi без этих "врк" итд. Так как это потенциальное "information disclosure" с 8.1 и выше это не работает из low IL.

Ну нет там обработки этого ну и что с того? Там это пилят очень идейные люди, и достаточный фидбек идет, раз этого там еще нет, значит это просто нигде им еще не попадалось в "боевой" ситуации. Т.е. это классический неуловимый джо. Если бы покойного это так бы волновало, он бы давно пошел и сделал тикет, где хватило бы даже вот этой асм отрыжки для описания.

Ранг: 248.2 (наставник)
Статус: Участник

Создано: 11 апреля 2019 16:07 New!
Цитата · Личное сообщение · #14

Alchemistry

> чтобы он заработал его надо дебажить.

Поведение сервисов не зависит от отладки, это просто способ показать визуально какое сабж уг. Нет тут никакого больше смысла, можешь не искать.

> Так как это потенциальное "information disclosure" с 8.1 и выше это не работает из low IL.

Отлично работает, проверено есчо перед предыдущим постом.

Ранг: 116.8 (ветеран)
Статус: Участник

Создано: 11 апреля 2019 17:13 New!
Цитата · Личное сообщение · #15

difexacaw пишет:
Как и раньше получаем её буфера одним вызовом

Очередной пост о том, как приложить совсем немного усилий для решения несуществующей проблемы...

Я знаю как минимум с десяток способов задетектить и обломать сабж, тоже касается и DBI движков и любой кто хоть немного разбирается в вопросе, может сказать тоже самое, но внезапно! мы не видим таких постов, ибо никто не хочет лишний раз капитанить, а просто юзает соответствующие инструменты там где они уместны.

Но наш любимый поставщик разочарования с 15-ти летним опытом все таки решил поделиться с нами "инсайтом" о неуниверсальности инструмента Х (видимо по сравнению с несуществующим "паровозиком, который смог") в живой природе. В целом спасибо, но все в общем-то в курсе Я сабжем пользуюсь в исключительно редких случаях, ибо он чаще создает проблемы, чем их решает (к сожалению, но имхо), но в тех самых случаях это как раз самый быстрый и незатратный способ решить текущий кейс.

А раз уж речь идет о готовых законченных решениях (а не умении героически преодолевать трудности, которые создает твой же собственный инструмент, вместо того, чтобы решать непосредственно прикладную задачу, что мы наблюдаем в немногочисленных бинарях и сырках товарища Инде), то целесообразней было бы наконец выкатить (ну мало ли в припадке здравого смысла) достойную альтернативу, пусть даже на базе текущих опенсурсных вещей. Хотя подобное предложение прокатывает чуть чаще, чем никогда и конец немного предсказуем, так исторически сложилось... потому что каждый год около 200 человек умирают от нападения диких муравьев


Ранг: 116.1 (ветеран)
Статус: Участник

Создано: 11 апреля 2019 17:53 · Поправил: Alchemistry New!
Цитата · Личное сообщение · #16

difexacaw
Я тебя даже воскрешу на эту тему.

Отлично работает, проверено есчо перед предыдущим постом.

Открываем ядро, ntoskrnl.exe
Ищи ExIsRestrictedCaller и ее референсы, PspQueryWorkingSetWatch, NtQueryInformationProcess. Смотришь туда и наблюдаешь

if (ExIsRestrictedCaller(PreviousMode)) return STATUS_ACCESS_DENIED;

отлично работает - да, но только с медиума и выше. Ну ты там застрял в виндоус хп судя по скрину, так что у тебя все заебися и так.

Логирование рабочих наборов это сука такой боян, что кидать это авторам какой-то тулзы как упрек это что-то с чем-то.

Если там этого нет до сих пор - значит это или не востребовано или не нужно. Не нравится - сделай тикет, они добавят если сочтут нужным. И самое главное, они там оперируют не пиздежом на форумах и какими-то неуловимыми джо, а фактами из реальной жизни. У них и без твоих джо багов дохера и больше.

Есчо глупости будут от тебя?

Ранг: 248.2 (наставник)
Статус: Участник

Создано: 12 апреля 2019 18:47 New!
Цитата · Личное сообщение · #17

VOLKOFF

А кому это всё нужно, тут все разделы давно следует покилять, оставить один комерс(запросы на взлом).
<< . 1 . 2 . 3 . 4 . 5 .
 eXeL@B —› Софт, инструменты —› ScyllaHide

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS