eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› ScyllaHide
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
Посл.ответ Сообщение

Ранг: 574.3 (!)
Статус: Модератор

Создано: 27 июня 2017 14:43 New!
Цитата · Личное сообщение · #1

Плаг теперь на github'е
https://github.com/x64dbg/ScyllaHide/releases

Релиз свежий от 24.06.2017.

Добавлено спустя 24 минуты
Нуждающимся добавил x64 плаг под иду (sdk 6.95)

{ Атач доступен только для участников форума } - ScyllaHideIDAProPlugin-x64.zip

| Сообщение посчитали полезным: zNob, parfetka, mak, neprovad, VOLKOFF, plutos, nice, VodoleY, dzikar



Ранг: 313.9 (мудрец)
Статус: Участник

Создано: 20 мая 2019 19:40 · Поправил: difexacaw New!
Цитата · Личное сообщение · #2

Alchemistry

Понятно. Я не читал док плагина, мне он не нравится, из за патчей в юзермод.

С тем пациентом всё ясно, но а с дебагпринтом нет. В зависимости от маркера в пеб выполняется посылка сообщения юзер отладчику исключения(того DBG_PRINTxx) или ядерному отладчику, это совершенно разные механизмы. Что бы началась посылка исключений маркер должен быть установлен, но тогда это запалит отладчик. Эта область памяти специфическая, она не может быть освобождена или изменены её свойства, но для этих блоков ядро поддерживает монитор(#PG). Тоесть блок может быть guard(типо как стек), при выборке сработает ловушка(это однопоточный механизм).

Но эти плагины столь примитивны, что они не могут подменять выборку(DF). Это примитивная сервисная обработка. Поэтому что бы исключение вбрасывалось нужно захватить функцию вывода, иначе никак.

Ранг: 133.4 (ветеран)
Статус: Участник

Создано: 22 мая 2019 08:59 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #3

--> ScyllaHide_2019-05-23_01-01 <--

Code:
  1. -NtUserQueryWindow hook improvements
  2. - Do not return the real PID or TID of any window with a bad owner process, window class name or title
  3. - Instead of returning a bogus handle, return the debuggee's own client ID
  4. -Don't leave RWX pages around after hooking (change to RX)
  5. -Fix memory leak in GetModuleBaseRemote
  6. -Better heap (force) flags clearing  …
  7. - The original method of a whitelist for the heap flags and simply zeroing the force flags is overly aggressive and also clears flags set by protectors (leading to detections) and flags set by the debuggee (leading to crashes due to missing e.g. HEAP_CREATE_ALIGN_16).
  8. Switch to a blacklist-based approach of clearing only those (force) flags that are valid and indicate the presence of a debugger and/or NtGlobalFlags
  9. -Make user32/win32u.dll hooks work on Windows 10 WOW64
  10. -Update release.bat

| Сообщение посчитали полезным: ClockMan


Ранг: 133.4 (ветеран)
Статус: Участник

Создано: 1 июня 2019 10:57 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #4

--> ScyllaHide_2019-05-31_22-45 <--

Code:
  1. -Fix IDA plugin build
  2. -Ignore return value in HOOK_NATIVE_NOTRAMP since it is always NULL
  3.  
  4. -"Obsidium fixes":
  5. - Enable NtUserQueryWindow hook for Obsidium profile
  6. -  Obsidium thinks anyone who simply has a WinDbg window open is out to get them, and uses some 1990s era detection techniques like window enumeration to find these evil hacker tools. Guess what, some people use WinDbg and IDA for their work (shock!). Isn't it ironic that Obsidium protected software is actually more user friendly when you run it in a debugger?
  7. - Write WOW64 x64 transition detours as far jmps
  8. -  Obsidium checks syscalls for hooks, or at least it tries to. But if something only kinda looks like the original it's good enough. And thus was born: the absolute far jmp with segment selector that doesn't actually change the segment. Good to go!
  9. -  Tip for Obsidium: take a cue from your competitors at VMProtect and try doing something that's actually innovative and hard to bypass instead of these hardcoded byte checks. I almost feel second hand embarrassment committing this
  10. - Same thing as previous commit, but for native x86
  11. -  OK, I admit I clearly stopped trying here. But I bet I still put more effort into this lazy hack than Obsidium put into their hook detection

| Сообщение посчитали полезным: plutos, Ate



Ранг: 313.9 (мудрец)
Статус: Участник

Создано: 2 июня 2019 09:37 New!
Цитата · Личное сообщение · #5

Я сурки листал, заметил это:

// Windows 10 NtQueryInformationProcess specific

Интереса ради решил посмотреть:

Code:
  1. .text:4B2EA3D0 _ZwQueryInformationProcess@20 proc near
  2. .text:4B2EA3D0                 mov     eax, 19h
  3. .text:4B2EA3D5                 call    $+5
  4. .text:4B2EA3DA                 pop     edx
  5. .text:4B2EA3DB                 cmp     byte ptr ds:(off_4B2EA3EB+3 - 4B2EA3DAh)[edx], 4Bh
  6. .text:4B2EA3DF                 jnz     short loc_4B2EA3EF
  7. .text:4B2EA3E1                 call    large dword ptr fs:0C0h
  8. .text:4B2EA3E8                 retn    14h
  9. .text:4B2EA3E8 ; ---------------------------------------------------------------------------
  10. .text:4B2EA3EB off_4B2EA3EB    dd 4B280000h
  11. .text:4B2EA3EF ; ---------------------------------------------------------------------------
  12. .text:4B2EA3EF loc_4B2EA3EF:
  13. .text:4B2EA3EF                 mov     edx, offset _Wow64SystemServiceCall@0
  14. .text:4B2EA3F4                 call    edx
  15. .text:4B2EA3F6                 retn    14h
  16. .text:4B2EA3F6 _ZwQueryInformationProcess@20 endp


Это использование дельта-смещения в системном модуле с релоками


Ранг: 333.9 (мудрец)
Статус: Участник
born to be evil

Создано: 10 июня 2019 00:41 New!
Цитата · Личное сообщение · #6

difexacaw
там много жути по коду

вопрос в другом. кто-то юзал сциллахайд не для трейса, а в своем модуле для а-антидебага (подгрузка сциллахайд)? как реализовали? чистая подгрузка хрен что дает, или я торможу уже
смысл - инжект в процесс под ида7 x64, родная трассировка, а окошки иды и прочее запрятаны должны быть

Ранг: 3.5 (гость)
Статус: Участник

Создано: 10 июня 2019 01:47 New!
Цитата · Личное сообщение · #7

у Скилы (Сцылы?) ведь плаг для Иды?

Ранг: 5.0 (гость)
Статус: Участник

Создано: 10 июня 2019 08:34 New!
Цитата · Личное сообщение · #8

fedik если вы хотели спросить есть ли плагин для иды, то могу ответить вам что его нет

Ранг: 133.4 (ветеран)
Статус: Участник

Создано: 10 июня 2019 09:21 New!
Цитата · Личное сообщение · #9

fedik

ScyllaHide

-Standalone (debugger-independent)
-OllyDbg v1
-OllyDbg v2
-IDA v6
-x64dbg
-TitanEngine


Ранг: 313.9 (мудрец)
Статус: Участник

Создано: 10 июня 2019 10:31 New!
Цитата · Личное сообщение · #10

ajax

> в своем модуле для а-антидебага

А зачем это нужно. Необходимость в таких плагинах это косяк разрабов отладчиков - используют штатный дебаг механизм, просто что бы крутить элементарный дебаг цикл и получать несколько сообщений(запуск потоков, исключения). Тоже самое можно сделать и без дебаг механизма, тогда ничего скрывать не нужно.


Ранг: 522.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 10 июня 2019 10:52 New!
Цитата · Личное сообщение · #11

fedik пишет:
у Скилы (Сцылы?) ведь плаг для Иды?

galenkane пишет:
fedik если вы хотели спросить есть ли плагин для иды, то могу ответить вам что его нет


Есть же ScyllaHide --> documentation <--PDF.
Или проще бежать на форум с таким вопросом, чтобы получить такой же ответ?


Code:
  1. 2.4 IDA v6
  2. 32-bit: Copy scylla_hide.ini, HookLibraryx86.dll and ScyllaHideIDA.plw to
  3. your IDA plugins directory.
  4. 64-bit: Copy scylla_hide.ini, HookLibraryx64.dll, ScyllaHideIDASrvx64.exe
  5. and ScyllaHideIDA.p64 to your IDA plugins directory

Ранг: -1.9 (нарушитель)
Статус: Участник

Создано: 12 июня 2019 11:52 New!
Цитата · Личное сообщение · #12

Доброго времени суток!
Поставил Scilla на x32dbg - работать не желает! Выдает следующее:
[img]http://www.cyberforum.ru/attachments/1047173d1560188484[/img]
В то же время на VM эта ошибка отсутствует...
Объясните новичку что это и как с этим бороться...


Ранг: 325.8 (мудрец)
Статус: Участник

Создано: 12 июня 2019 15:01 New!
Цитата · Личное сообщение · #13

Поставил Scilla на x32dbg - работать не желает!
Какая операционка, либы все просканировали как указано в документации? Если делать всё по инструкции, то проблем быть не должно.


Ранг: 313.9 (мудрец)
Статус: Участник

Создано: 12 июня 2019 16:05 New!
Цитата · Личное сообщение · #14

Code:
  1.    if (!ReadProcessMemory(hProcess, lpFuncOrig, originalBytes, sizeof(originalBytes), nullptr))
  2.     {
  3.         MessageBoxA(nullptr, "DetourCreateRemoteX86->ReadProcessMemory failed.", "ScyllaHide", MB_ICONERROR);


Если бы это было ограничение прав, то ошибка была бы при открытии процесса. Тогда варианта два - либо какой то ав блокирует операцию, либо операция с невалид адресом.

Ранг: -1.9 (нарушитель)
Статус: Участник

Создано: 12 июня 2019 17:44 New!
Цитата · Личное сообщение · #15

Vamit пишет:
Какая операционка
Win7x64
Vamit пишет:
как указано в документации
документации чего? Scillы? В глаза не видел.....в той что с пакетом шла ничего вообще нету, в доках дебагера тоже ничего не нахожу...

Добавлено спустя 1 минуту
difexacaw пишет:
Тогда варианта два - либо какой то ав блокирует операцию
Отключение АВ ничего не дало...


Ранг: 325.8 (мудрец)
Статус: Участник

Создано: 12 июня 2019 18:42 New!
Цитата · Личное сообщение · #16

документации чего? Scillы? В глаза не видел.....
Не знаю что вы там загрузили, но в пакете идет pdf файл с описанием инсталяций, а в папке NtApiTool утилиты под конкретную операционку для создания NtApiCollection.ini файла, он обязателен.

Ранг: 133.4 (ветеран)
Статус: Участник

Создано: 12 июня 2019 19:10 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #17

PEvgen пишет:
В то же время на VM эта ошибка отсутствует

Если на ВМ аналогичный сеттинг ОС и программы, то скорее блочит что-то из "защиты".

В конце концов можно попробовать отладить отладчик и посмотреть.

| Сообщение посчитали полезным: PEvgen



Ранг: 313.9 (мудрец)
Статус: Участник

Создано: 12 июня 2019 22:26 New!
Цитата · Личное сообщение · #18

PEvgen

> Отключение АВ ничего не дало...

Отключение не значит что отключение его фильтров. Как минимум известно что у вас запущен ав, вот он вероятно и блокирует.

Добавлено спустя 5 минут
VOLKOFF

А что там смотреть, сервис вернёт ACCESS_DENIED или ошибку копирования, из за того что область невалид, но такой расклад маловероятен.

Ранг: -1.9 (нарушитель)
Статус: Участник

Создано: 13 июня 2019 08:39 New!
Цитата · Личное сообщение · #19

difexacaw пишет:
Отключение не значит что отключение его фильтров.
С полностью не загруженым ситуация аналогичная...

Добавлено спустя 1 минуту
Vamit обнаружена подозрительная активность, похожая на троллинг.

Добавлено спустя 28 минут
VOLKOFF пишет:
В конце концов можно попробовать отладить отладчик и посмотреть.

Я не знаю как словить момент загрузки Scilla (в смысле попробовал)...

Добавлено спустя 34 минуты
К слову...

{ Атач доступен только для участников форума } - scylla_hide.log

Добавлено спустя 3 часа 32 минуты
В общем, перепроверив на виртуалке выяснил, что, таки, фаервол блокирует, а на виртуалке с WinXP - нет! интересно, существует ли решение помимо отказа от софта или замены хз на что?


Ранг: 313.9 (мудрец)
Статус: Участник

Создано: 13 июня 2019 18:59 New!
Цитата · Личное сообщение · #20

PEvgen

> таки, фаервол блокирует

Как и предполагалось.

> существует ли решение помимо отказа от софта

Удали этот авер, он тебя не защищает, а только мешает и создаёт видимость защиты.

| Сообщение посчитали полезным: morgot


Ранг: -1.9 (нарушитель)
Статус: Участник

Создано: 13 июня 2019 20:29 New!
Цитата · Личное сообщение · #21

difexacaw пишет:
> существует ли решение помимо отказа от софта

Удали этот авер, он тебя не защищает, а только мешает и создаёт видимость защиты.

Удалить софт не отказываясь от него? )

Удаление АВ и ФВ по моему не вариант....если с АВ я еще согласен, что он скорее вредитель (в виду неограниченных прав и непорядочности человеков), то ФВ, в котором собственно и проблема - нет! Я понимаю, что украсть у меня нечего, но залезающих, прошу прощения, "посрать" ребят я им хоть как-то сдерживаю....Да и непонятно, почему на ХР-шной виртуалке с ним нету проблем.


Ранг: 313.9 (мудрец)
Статус: Участник

Создано: 13 июня 2019 21:27 · Поправил: difexacaw New!
Цитата · Личное сообщение · #22

PEvgen

Никого не волнуют ваши трудности и софт. Вот мне например интересно было что за фигня с чтением памяти - я понял и мне уже глубоко пох что у вас там за авер и сколько он стоит.

> почему на ХР-шной виртуалке с ним нету проблем.

Потому что XP и например 8-ка это совершенно разные ОС. В десятке вообще это всё говно не запустится наверно.

Моё мнение такое - эти плагины для кривого отладчика удел школьников(какой то ппц основанный на патчах, да есчо и удалённых - из другого процесса это дичайший изврат), норм чуваки юзают норм инструменты - виндебаг и визоры в разных вариантах, их много очень.

Ранг: 32.6 (посетитель)
Статус: Участник

Создано: 13 июня 2019 22:51 New!
Цитата · Личное сообщение · #23

PEvgen
не знаю, правильно ли я понял суть проблемы. Но - для реверса лучше держать отдельное железо / ВМ без аверов. Это должна быть чистая ОС, без шлака, который везде лезет и все перехватывает. На ХР совсем другая архитектура + вы не написали, есть ли там ав-софт.

| Сообщение посчитали полезным: difexacaw



Ранг: 313.9 (мудрец)
Статус: Участник

Создано: 14 июня 2019 00:52 New!
Цитата · Личное сообщение · #24

morgot

Они не понимают на счёт аверов, что фильтры ав - обьект атаки, впрочем это нормально для юзера.

Вопрос в другом, зачем нужны эти плагины. Я например их не юзаю. Человек использующий отладчик должен понимать с чем имеет дело и механизмы. Дебаг механизм это своего рода некоторый мод, где очень сильно изменяется окружение и что то там скрыть врядле вобще возможно. Можно конечно из г&п построить примитивный механизм фильтрации и пропатчить образ нэйтив, но это всё фигня. Если человек не может преодолеть трудность без готового софта, то на этом нужно заканчивать, закрыть всё и забить.

Ранг: -1.9 (нарушитель)
Статус: Участник

Создано: 14 июня 2019 05:06 New!
Цитата · Личное сообщение · #25

Мне жаль людей, живущих под диктовку....(нет!) Хотя многие этим довольны - из них....Голова стала еще одним "ненужным органом".


Ранг: 313.9 (мудрец)
Статус: Участник

Создано: 14 июня 2019 11:12 · Поправил: difexacaw New!
Цитата · Личное сообщение · #26

PEvgen

Так ты САМ не смог даже выполнить примитивные действия в пару кликов что бы посмотреть код ошибки(статусный код). А есчо и авера поставил



Да, а пришёл спрашивать вопрос на котором нужно гадать.

{ Атач доступен только для участников форума } - scy.7z


Ранг: 266.6 (наставник)
Статус: Участник
Advisor

Создано: 7 сентября 2019 14:06 New!
Цитата · Личное сообщение · #27

Пока не вкурил, на чём сабж палится, но на последнем билде винды что то не всё гладко.
Функи вроде похучены правильно, по ретурнам ещё не разбирался, адрес возврата после сиськи гавнопрота в стеке есть, и прерывания на ней по ходу не было, хотя аппаратный зарегистрирован.
---
чуть чуть не по теме. не срослось поставить старый билд вин10, из-за девайсов hdd&ssd(SCSI\Disk___Intel_Optane+932GBHDD16.8). Как дрова подкинуть инсталу понятно, но как их в образ всунуть хз. В итоге на первом ребуте гальма.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 7 сентября 2019 16:58 New!
Цитата · Личное сообщение · #28

Bronco пишет:
как их в образ всунуть хз


попробуй NTLite

| Сообщение посчитали полезным: Bronco



Ранг: 313.9 (мудрец)
Статус: Участник

Создано: 7 сентября 2019 18:16 New!
Цитата · Личное сообщение · #29

Bronco

Опиши проблему понятной. Может я бы и помог чем то, но твой эльфийский язык не понимаю.


Ранг: 266.6 (наставник)
Статус: Участник
Advisor

Создано: 7 сентября 2019 21:09 · Поправил: Bronco New!
Цитата · Личное сообщение · #30

difexacaw пишет:
Опиши проблему понятной.

для обхода вмп_сисек, по скрипту три аппаратных, и после первого детект отладки. если поскролить в окне стека, то после "первого прерывания", можно найти адрес возврата в секцию гавнопрота.Набор антидебага стандартный для вмпротекта, часть сабж перекрывал по дефолту. Надо вникать, почему аппаратный не сработал.


Ранг: 313.9 (мудрец)
Статус: Участник

Создано: 8 сентября 2019 00:53 · Поправил: difexacaw New!
Цитата · Личное сообщение · #31

Bronco

Лучше вообще не трогать др-контекст. Я например в крэкми решил использовать его как содержащий ключи, тогда отладчик с ним не сможет работать. Что бы о чём то говорить конкретно, нужно снять два лога - сервисный и по исключениям вне отладчика. Иначе это гадание, к примеру есть кучи способов снять тайминг, под отладочным портом он на порядки ниже для исключений, так как их доставка происходит через тормозные механизмы по типу lpc. Например файловый I/O - filebasicinfo вернёт время последней выборки или например nt-таймеры. Один из протов(аспротект вроде) использует два процесса и синхронизацию, у которой задан таймаут. Так вот если их крутить визором, то происходит временное переполнение и обмен прекращается с ошибкой..

Добавлено спустя 19 минут
Ну а что бы запалить любые плаги есть способы, вот например:

Code:
  1. ; +
  2. ;
  3.          assume fs:NOTHING
  4. WsGet proc uses ebx esi edi
  5. Local Self:RANGE, Exe:RANGE
  6. Local Mm[512]:ULONG
  7. Local Wse:DWORD
  8.          mov ecx,fs:[TEB.Peb]
  9.          invoke MmQueryViewSize, PEB.ImageBaseAddress[Ecx], addr Exe
  10.          .if !Eax
  11.                  invoke MmQueryViewSize, SFC.Ip[Ebp], addr Self
  12.                  .if !Eax
  13.                         lea eax,Mm
  14.                         push NULL
  15.                         push 512*4
  16.                         push eax
  17.                         push MemoryWorkingSetList
  18.                         push 0
  19.                         push NtCurrentProcess
  20.                         mov eax,CRC_NT_QUERY_VIRTUAL_MEMORY
  21.                         Call WspGate
  22.                         add esp,6*4
  23.                         .if !Eax
  24.                               mov ebx,MEMORY_WORKING_SET_LIST.NumberOfEntries[Mm]
  25.                               .repeat
  26.                                    mov eax,MEMORY_WORKING_SET_LIST.WorkingSetInfo[Mm][ebx*4][-4]
  27.                                    bt eax,1     ; MM_EXECUTE | MM_EXECUTE_READWRITE | MM_EXECUTE_WRITECOPY
  28.                                    mov Wse,eax
  29.                                    .if Carry?
  30.                                        .if (Eax < Self.Base) || (Eax >= Self.Limit)    ; ~ current
  31.                                           .if (Eax < Exe.Base) || (Eax >= Exe.Limit)     ; ~ exe
  32.                                             invoke MmCrc, Wse
  33.                                             .if (Eax != CRC_NTDLL) && (Eax != CRC_WOW64) && (Eax != CRC_WOW64CPU) && (Eax != CRC_WOW64WIN)
  34.                                              ; ntdll.dll
  35.                                              ; wow64.dll
  36.                                              ; wow64cpu.dll
  37.                                              ; wow64win.dll
  38.                                              .if !Eax ; !File
  39.                                                       bt Wse,8         ; Shared for XP
  40.                                                       jc Skip
  41.                                              .endif
  42.                                              mov eax,-1
  43.                                              jmp Exit
  44.                                             .endif
  45.                                           .endif
  46.                                        .endif
  47.                                    .endif
  48.                               Skip:
  49.                                    dec ebx
  50.                               .until Zero?
  51.                               xor eax,eax
  52.                         .endif
  53.                  .endif
  54.          .endif
  55. Exit:
  56.          ret
  57. WspGate:
  58.          %NTCALLCRC
  59. WsGet endp
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
 eXeL@B —› Софт, инструменты —› ScyllaHide

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS