eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Adler
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› ScyllaHide
<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
Посл.ответ Сообщение

Ранг: 566.0 (!)
Статус: Модератор

Создано: 27 июня 2017 14:43 New!
Цитата · Личное сообщение · #1

Плаг теперь на github'е
https://github.com/x64dbg/ScyllaHide/releases

Релиз свежий от 24.06.2017.

Добавлено спустя 24 минуты
Нуждающимся добавил x64 плаг под иду (sdk 6.95)

{ Атач доступен только для участников форума } - ScyllaHideIDAProPlugin-x64.zip

| Сообщение посчитали полезным: zNob, parfetka, mak, neprovad, VOLKOFF, plutos, nice, VodoleY


Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 10 января 2019 13:47 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #2

TryAga1n пишет:
У кого-нибудь завалялась сцилка образца 2017 года?

Есть
--> ScyllaHide_2017-30-05_19-09 <--
--> ScyllaHide_2017-06-04_18-28 + src <--
Есть 1.2 от 2014
Устроит?

| Сообщение посчитали полезным: TryAga1n


Ранг: 6.1 (гость)
Статус: Участник

Создано: 10 января 2019 15:41 New!
Цитата · Личное сообщение · #3

Последняя сборка 2017 года --> Link <--, если не будет работать на XP, могу предоставить более ранние сборки.

| Сообщение посчитали полезным: TryAga1n


Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 14 января 2019 21:54 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #4

--> ScyllaHide_2019-01-14_16-32 <--

Code:
  1. Add NtDuplicateObject hook
  2. This is actually part of the NtClose hook (in that NtClose is the problem, not NtDuplicateObject), it's just that NtDuplicateObject with DUPLICATE_CLOSE_SOURCE is a very clever way of calling NtClose inside the kernel where our ntdll hook obviously doesn't fly


Добавлено спустя 2 часа 15 минут
--> ScyllaHide_2019-01-14_21-28 <--

Code:
  1. Revert 976f31c for native x86 and Wow64 processes
  2. Fixes breakage in places where there is no room for the NOP prefix. Native x64 processes will still have the NOP prefix applied before a hook jmp

| Сообщение посчитали полезным: v00doo


Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 6 марта 2019 18:41 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #5

--> ScyllaHide_2019-03-06_16-15 <--
Code:
  1. Show a messagebox if the hook DLL does not exist, in case of AVs deleting it


ScyllaHide_2019-03-06_19-23
Code:
  1. -Add 'olly2patches.h' to the VS project filters file
  2. -DLL injection: change the default value of DLLUnload to 0
  3. -DLL injection: replace 'DoThreadMagic' with NtCreateThreadEx-using version
  4. -ApplyAntiAntiAttach: remove unneeded check of ntdll image base Ntdll is in \KnownDLLs, it always has the same image base in all processes. Note/TODO: this does not prevent a process from manually mapping ntdll at more than one address, but this was never detected in the first place
  5. -ApplyAntiAntiAttach: make sure page is RWX before writing to it

Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 11 марта 2019 23:12 New!
Цитата · Личное сообщение · #6

--> ScyllaHide_2019-03-11_20-38 <--
Code:
  1. Dead code removal
  2. CLI injector: remove debug privileges if specified in options
  3. CLI injector: kill anti-attach if specified in options

Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 26 марта 2019 08:47 New!
Цитата · Личное сообщение · #7

--> ScyllaHide_2019-03-25_23-26 <--
Code:
  1. NtGetContextThread: if debug registers were requested, zero them

Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 5 апреля 2019 18:31 New!
Цитата · Личное сообщение · #8

--> ScyllaHide_2019-04-05_13-00 <--
Code:
  1. -Update ntdll.h
  2. -Add x64 instrumentation callback hook

| Сообщение посчитали полезным: BlackCode


Ранг: 270.7 (наставник)
Статус: Участник

Создано: 6 апреля 2019 00:27 · Поправил: difexacaw New!
Цитата · Личное сообщение · #9

VOLKOFF

С этой парой костылей отладчик по твоему стал менее заметным ?

Увы, но это всё смысла не имеет. Есть есчо куча системных способов его детекта. И это всё без замеров тайминга. Попытка бессмысленна, единственный вариант - отказаться от такого типа отладки/трассировки, решение невозможно(скрыть отладчик).


Ранг: 527.7 (!)
Статус: Участник
оптимист

Создано: 6 апреля 2019 00:43 New!
Цитата · Личное сообщение · #10

difexacaw
Чё обсидиум по зубам дал

Ранг: 270.7 (наставник)
Статус: Участник

Создано: 10 апреля 2019 20:19 · Поправил: difexacaw New!
Цитата · Личное сообщение · #11

Я заценил эту поделку. Как и раньше получаем её буфера одним вызовом:

Code:
  1. comment '
  2.  WRK:
  3.          if (RequestedLimits.MinimumWorkingSetSize &&
  4.          RequestedLimits.MaximumWorkingSetSize) {
  5.                 //
  6.                  // See if the caller just wants to purge the working set.
  7.                  // This is an unprivileged operation.
  8.                  //
  9.                  if (RequestedLimits.MinimumWorkingSetSize == (SIZE_T)-1 &&
  10.                         RequestedLimits.MaximumWorkingSetSize == (SIZE_T)-1) {
  11.                         PurgeRequest = TRUE;
  12.                         ...
  13.                         '
  14. EmptyWS proc
  15. Local Ps:QUOTA_LIMITS
  16.          invoke ZwQueryInformationProcess, NtCurrentProcess, ProcessQuotaLimits, addr Ps, sizeof(QUOTA_LIMITS), NULL
  17.          .if !Eax
  18.                  or Ps.MinimumWorkingSetSize,-1
  19.                  or Ps.MaximumWorkingSetSize,-1
  20.                  invoke ZwSetInformationProcess, NtCurrentProcess, ProcessQuotaLimits, addr Ps, sizeof(QUOTA_LIMITS)
  21.          .endif
  22.          ret
  23. EmptyWS endp
  24.  
  25. EP proc
  26. Local Ws[512]:PROCESS_WS_WATCH_INFORMATION     ; 8k max.
  27. Local S1ze:ULONG
  28.          invoke ZwSetInformationProcess, NtCurrentProcess, ProcessWorkingSetWatch, 0, 0
  29.          invoke EmptyWS
  30.          invoke ZwQueryInformationProcess, NtCurrentProcess, ProcessWorkingSetWatch, addr Ws, PAGE_SIZE, addr S1ze





Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 10 апреля 2019 23:37 New!
Цитата · Личное сообщение · #12

difexacaw
и что ето дает?

Ранг: 120.0 (ветеран)
Статус: Участник

Создано: 11 апреля 2019 07:08 New!
Цитата · Личное сообщение · #13

Ну он повесил монитор набора, сбросил набор и посмотрел потом результаты монитора в которых нашел ссылки на код сцилы. С присущим ему апломбом. Гениально, никто не делал раньше, лол (на самом деле нет). Дальше трех инвоке его код не ушел, поэтому разбор и детект сцилы у него вышел только после ручного долбления лога в самой же олли. Классический код клерка, где чтобы он заработал его надо дебажить. Кстати всю эту хрень можно сварганить при помощи psapi без этих "врк" итд. Так как это потенциальное "information disclosure" с 8.1 и выше это не работает из low IL.

Ну нет там обработки этого ну и что с того? Там это пилят очень идейные люди, и достаточный фидбек идет, раз этого там еще нет, значит это просто нигде им еще не попадалось в "боевой" ситуации. Т.е. это классический неуловимый джо. Если бы покойного это так бы волновало, он бы давно пошел и сделал тикет, где хватило бы даже вот этой асм отрыжки для описания.

Ранг: 270.7 (наставник)
Статус: Участник

Создано: 11 апреля 2019 16:07 New!
Цитата · Личное сообщение · #14

Alchemistry

> чтобы он заработал его надо дебажить.

Поведение сервисов не зависит от отладки, это просто способ показать визуально какое сабж уг. Нет тут никакого больше смысла, можешь не искать.

> Так как это потенциальное "information disclosure" с 8.1 и выше это не работает из low IL.

Отлично работает, проверено есчо перед предыдущим постом.

Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 11 апреля 2019 17:13 New!
Цитата · Личное сообщение · #15

difexacaw пишет:
Как и раньше получаем её буфера одним вызовом

Очередной пост о том, как приложить совсем немного усилий для решения несуществующей проблемы...

Я знаю как минимум с десяток способов задетектить и обломать сабж, тоже касается и DBI движков и любой кто хоть немного разбирается в вопросе, может сказать тоже самое, но внезапно! мы не видим таких постов, ибо никто не хочет лишний раз капитанить, а просто юзает соответствующие инструменты там где они уместны.

Но наш любимый поставщик разочарования с 15-ти летним опытом все таки решил поделиться с нами "инсайтом" о неуниверсальности инструмента Х (видимо по сравнению с несуществующим "паровозиком, который смог") в живой природе. В целом спасибо, но все в общем-то в курсе Я сабжем пользуюсь в исключительно редких случаях, ибо он чаще создает проблемы, чем их решает (к сожалению, но имхо), но в тех самых случаях это как раз самый быстрый и незатратный способ решить текущий кейс.

А раз уж речь идет о готовых законченных решениях (а не умении героически преодолевать трудности, которые создает твой же собственный инструмент, вместо того, чтобы решать непосредственно прикладную задачу, что мы наблюдаем в немногочисленных бинарях и сырках товарища Инде), то целесообразней было бы наконец выкатить (ну мало ли в припадке здравого смысла) достойную альтернативу, пусть даже на базе текущих опенсурсных вещей. Хотя подобное предложение прокатывает чуть чаще, чем никогда и конец немного предсказуем, так исторически сложилось... потому что каждый год около 200 человек умирают от нападения диких муравьев

Ранг: 120.0 (ветеран)
Статус: Участник

Создано: 11 апреля 2019 17:53 · Поправил: Alchemistry New!
Цитата · Личное сообщение · #16

difexacaw
Я тебя даже воскрешу на эту тему.

Отлично работает, проверено есчо перед предыдущим постом.

Открываем ядро, ntoskrnl.exe
Ищи ExIsRestrictedCaller и ее референсы, PspQueryWorkingSetWatch, NtQueryInformationProcess. Смотришь туда и наблюдаешь

if (ExIsRestrictedCaller(PreviousMode)) return STATUS_ACCESS_DENIED;

отлично работает - да, но только с медиума и выше. Ну ты там застрял в виндоус хп судя по скрину, так что у тебя все заебися и так.

Логирование рабочих наборов это сука такой боян, что кидать это авторам какой-то тулзы как упрек это что-то с чем-то.

Если там этого нет до сих пор - значит это или не востребовано или не нужно. Не нравится - сделай тикет, они добавят если сочтут нужным. И самое главное, они там оперируют не пиздежом на форумах и какими-то неуловимыми джо, а фактами из реальной жизни. У них и без твоих джо багов дохера и больше.

Есчо глупости будут от тебя?

Ранг: 270.7 (наставник)
Статус: Участник

Создано: 12 апреля 2019 18:47 New!
Цитата · Личное сообщение · #17

VOLKOFF

А кому это всё нужно, тут все разделы давно следует покилять, оставить один комерс(запросы на взлом).

Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 29 апреля 2019 08:34 New!
Цитата · Личное сообщение · #18

--> ScyllaHide_2019-04-28_22-27 <--

Code:
  1. -Don't pass THREAD_CREATE_FLAGS_SUPPRESS_DLLMAINS when injecting a DLL
  2. -Validate bitness of DLL files before injecting them
  3. -DLL injection: turn error messages into LogError() calls instead of LogInfo()

| Сообщение посчитали полезным: mak


Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 3 мая 2019 13:15 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #19

--> ScyllaHide_2019-05-03_23-22 <--

Code:
  1. -Add git version info
  2. The about box now displays the current git revision count as the patch number instead of 0. The full version number looks like 1.4.<rev-count>-<short-tag>
  3. -Update ntdll.h
  4. - Fix build error with SDK 10.0.18362.0
  5. - Fix typo in NTDDI_VISTA
  6. - Fix NtWaitForWorkViaWorkerFactory declaration for Windows 8
  7.  
  8. -Put the ScyllaHide ghost icon on a diet
  9. - This shaves off 350KB from executables that use it
  10. -Update .gitignore
  11. -Add version info to plugin DLLs
  12. -Remove uses of FlushInstructionCache
  13. - This syscall actually does nothing on x86 and x64 architectures
  14. -Improve handling of 'Distorm opcode no I_MOV' error
  15. - Make the wording of the original error message make sense
  16. - If GetSysCallIndex32 fails, print the name of the syscall that could not be hooked
  17. - If GetSysCallIndex32 fails, don't spam the user with the same error message box for the remaining syscalls
  18.  
  19. -Add fallback path to make_scmrev.h.bat in case git is not installed
  20. -Disable Spectre mitigation crap
  21. -Fix deprecated warning with newer Windows SDKs
  22. -Update to VS2017
  23. -Fix IDA plugin on WOW64 (#71)
  24. -SCMRevGen project: remove DisableFastUpToDateCheck
  25. -Move RealGetSystemTime and RealGetLocalTime to HookHelper.cpp
  26. -Add Windows 10 WOW64 instrumentation callback hook

| Сообщение посчитали полезным: TRPD


Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 8 мая 2019 08:29 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #20

--> ScyllaHide_2019-05-08_12-58 <--

Code:
  1. -Fix IDA x64 plugin
  2. -Fix hooking syscalls with breakpoints (x64dbg process cookie query)
  3. -Merge branch 'master' of https://github.com/x64dbg/ScyllaHide
  4. -'Suspend process when applying and restoring hooks' (ну неужели)
  5. -Make HookXxx functions return bool; false if DetourCreateRemote fails
  6. -Detect hooks before applying new ones and fail if one is found
  7. -Write hook DLL data inside the process suspend/resume block

| Сообщение посчитали полезным: plutos



Ранг: 454.1 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 8 мая 2019 22:48 New!
Цитата · Личное сообщение · #21

Беда не большая, но почему-то по ссылке https://github.com/x64dbg/ScyllaHide/releases/download/snapshot/ScyllaHide_2019-05-07_21-31.7z
выдает 404.
Две других ссылки (на source code) работают отлично.


Ранг: 1110.4 (!!!!)
Статус: Участник

Создано: 9 мая 2019 04:10 New!
Цитата · Личное сообщение · #22

plutos
ScyllaHide_2019-05-07_21-31.7z

| Сообщение посчитали полезным: plutos


Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 16 мая 2019 18:20 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #23

--> ScyllaHide_2019-05-17_02-15 <--

Code:
  1. -CLI injector: use settings for PEB patch instead of patching everything
  2. -Dead code removal
  3. -Make it possible to create profiles that do not cause DLL injection
  4. -Add "basic" profile that patches the PEB but does not hook


Добавлено спустя 17 часов 25 минут
Code:
  1. -Remove unused ntdll, kernel32/base and user32 handles from DLL data
  2. -Remove NtApiCollection.ini
  3. -  Get rid of NtApiLoader and replace it with a syscall lookup table (Windows XP through early 10) or win32u.dll addresses (later Windows 10 versions)
  4. -  Remove NtApiTool/PDBReader project since the NtApiCollection.ini file it generates is no longer used
  5. -  Rename BlockInput hook to NtUserBlockInput since they are the same function. The INI setting "BlockInputHook" is now also NtUserBlockInputHook
  6. -  Merge ApplyUser32Hook and ApplyWin32uHook into ApplyUserHook
  7. -Update documentation PDF
  8. -  Remove all references to NtApiCollection.ini
  9. -  Remove FAQ section since it only dealt with NtApiCollection.ini issues
  10. -  Misc. spelling/grammar fixes


Documentation PDF (2019-05-17)

Ранг: 121.7 (ветеран)
Статус: Участник

Создано: 18 мая 2019 11:58 New!
Цитата · Личное сообщение · #24

--> ScyllaHide_2019-05-18_10-19 <--

Code:
  1. -Improve NtUserBuildHwndList hook
  2. - Query NtUserGetClassName and NtUserInternalGetWindowText addresses using the new syscall lookup magic
  3. - Add IsWindowBad() helper function which determines for a given HWND not only whether it belongs to the debugger process by PID, but also whether is has a forbidden class name or window text
  4. - FilterHwndList: instead of only comparing against the protected PID, use IsWindowBad() both to determine which HWNDs to overwrite and which ones are good replacements. This allows you to have e.g. IDA and x64dbg open and both will be hidden, even if only x64dbg is actively debugging
  5.  
  6. -Fix NtUserBuildHwndList hook on Windows 8 and later
  7. - NtUserBuildHwndList gained a boolean parameter in Windows 8, which breaks the call because the original syscall is called with one less argument (which results in STATUS_INVALID_HANDLE). Work around this by exporting a separate HookedNtUserBuildHwndList_Eight function that uses the new prototype. Replace the HOOK_NATIVE() invocation in ApplyHooking.cpp with a manual version that determines the hook to use based on the OS version
  8.  
  9. -Only set the address of NativeCallContinue after all hooks are applied
  10. - Fixes an unlikely bug on x86 where the debuggee will crash due to NativeCallContinue being NULL if one or more kernel32 or user32 hooks are enabled but no ntdll hooks
  11.  
  12. -Fix clang error re: pasting invalid preprocessor tokens (hdd->##name)
  13. - Fix clang warning re: nonstandard implicit function pointer -> object pointer conversion
  14.  
  15. -Update README.md

| Сообщение посчитали полезным: ClockMan, mak


Ранг: 3.1 (гость)
Статус: Участник

Создано: 18 мая 2019 16:53 New!
Цитата · Личное сообщение · #25

коллеги, кто-нибудь может пояснить, почему в первой ольге две опции не кликабельны? По сути, их можно задействовать через ini, но работают ли они при этом, я ещё не выяснил


Ранг: 3.6 (гость)
Статус: Участник

Создано: 19 мая 2019 03:32 New!
Цитата · Личное сообщение · #26

недавно запускал в скилле al-khaser и о чудо, из всех проверок прошли только три.

Ранг: 3.1 (гость)
Статус: Участник

Создано: 20 мая 2019 03:47 New!
Цитата · Личное сообщение · #27

hash87szf пишет:
вам надо усиленно учица гуглевать и читать доки


справедливо ) спасибо за то, что делитесь информацией, мне это очень помогает

hash87szf пишет:
аутпутдебагстр депрекейтед


мне смутило легкое раздолбайство разрабов, а именно: опция диприкейтед, но в gui и, что самое злобное, в профилях присутствует. В контекстной справке ни слова и выводе из состава. Конечно, в первую очередь нужно смотреть документацию, my mistake )

hash87szf пишет:
х64 фикс маст хэв


yeah, but! из gui он выставляется только на встроенных профилях, вручную это можно сделать, только редактируя ini-шник. Вот и возник у меня вопрос, а работает ли опция на самом деле.

Ранг: 270.7 (наставник)
Статус: Участник

Создано: 20 мая 2019 18:29 · Поправил: difexacaw New!
Цитата · Личное сообщение · #28

hash87szf

> аутпутдебагстр депрекейтед

Ты что совсем дурак ?!
Это же отладочный вывод, только так логгируются все события системные. Это штатная посылка нотифи в отладчик.

Ранг: 120.0 (ветеран)
Статус: Участник

Создано: 20 мая 2019 18:58 New!
Цитата · Личное сообщение · #29

difexacaw
Этого ретарда тяжеловато читать, и что он там вещает порой понятно ему одному.
Расшифровываю его поток сознания: он имел в виду, что в мануале Scylla сказано - их хук OutputDebugString более не нужен, потому что они обрабатывают DBG_PRINTEXCEPTION_C.

Ранг: 270.7 (наставник)
Статус: Участник

Создано: 20 мая 2019 19:05 New!
Цитата · Личное сообщение · #30

Alchemistry

Во первых исключение не будет послано, если сброшен отладочный маркер в PEB. Поэтому в любом случае нужен хук" выводящей сообщения функции. Во вторых как вы догадались про то, что он в своём понимании имеет ввиду, хрустальный шар ?

Ранг: 120.0 (ветеран)
Статус: Участник

Создано: 20 мая 2019 19:10 New!
Цитата · Личное сообщение · #31

difexacaw
Потому что ты вырвал кусок из контекста, который я прочитал целиком. Я тебе даже покажу где.

hash87szf пишет:
вам надо усиленно учица гуглевать и читать доки
аутпутдебагстр депрекейтед


Открой эту сцилу да посмотри ее код где там какие хуки они ставят, мне как-то фиолетово - это то что у них приведено в доке.

| Сообщение посчитали полезным: difexacaw

<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
 eXeL@B —› Софт, инструменты —› ScyllaHide

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS