eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 сентября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Почему не запускается ScyllaHide на Oracle VirtualBox
Посл.ответ Сообщение

Ранг: 0.8 (гость)
Статус: Участник

Создано: 15 мая 2018 19:26 New!
Цитата · Личное сообщение · #1

Добрый вечер.
Пытаюсь запустить ScyllaHide (последняя) + X64DBG (последний релиз) под VM VirtualBox 5.2.10, пробовал Win 7 x32, Win 8 x32, Win 8 x64 - всегда одна и та же ошибка C0000005 после запуска самой программы под отладкой. Падает на пропатченных ScyllaHide функциях, например ZwQueryInformationProcess и т.д.
В чем может быть проблема? На хосте работает хорошо.

{ Атач доступен только для участников форума } - 1.jpg

Ранг: 289.9 (наставник)
Статус: Модератор
CrackLab

Создано: 15 мая 2018 20:21 New!
Цитата · Личное сообщение · #2

Illuzion пишет:
В чем может быть проблема?

в кривом хуке там проблема, и уже достаточно давно.

| Сообщение посчитали полезным: Illuzion


Ранг: 0.8 (гость)
Статус: Участник

Создано: 15 мая 2018 22:12 · Поправил: Illuzion New!
Цитата · Личное сообщение · #3

SReg пишет:
в кривом хуке там проблема, и уже достаточно давно.


Спасибо. Решил, все работает, запатчил jmp short -> jmp long to Scylla
А есть ли готовое решение/патч?

И еще вопрос. Не получилось в KUSER_SHARED_DATA напрямую запатчить адрес, это возможно из usermode?

P.S. скрин патча в приложении.

{ Атач доступен только для участников форума } - Screenshot_1.jpg

Добавлено спустя 2 часа 21 минуту
Для Windows 7 Enterprise x86 SP1 у меня работает следующий патч:

Code:
  1. log "X64DBG ScyllaHide hook resolver"
  2. log "KiFastSystemCall = {0}", KiFastSystemCall
  3. cmp "340F", 2:[KiFastSystemCall+2]
  4. jne error
  5. cmp "E990", 2:[KiFastSystemCall-5]
  6. jne error
  7. cmp "8D", 1:[KiFastSystemCall-0B]
  8. jne error
  9. log "Seems everything is OK, ready to patch"
  10.  
  11. mov $VA, 4:[KiFastSystemCall-3]
  12. add $VA, 7
  13.  
  14. fill (KiFastSystemCall-0B), 90, 0D
  15. mov 2:[KiFastSystemCall], "F3EB"
  16. mov 1:[KiFastSystemCall-0B], "E9"
  17. mov [KiFastSystemCall-0A], $VA
  18.  
  19. ret
  20.  
  21. error:
  22. log "ERROR: patch bytes don't match!"
  23. ret


Ранг: 301.9 (мудрец)
Статус: Участник

Создано: 16 мая 2018 18:11 New!
Цитата · Личное сообщение · #4

Illuzion

> Не получилось в KUSER_SHARED_DATA напрямую запатчить адрес, это возможно из usermode?

Это область не доступна для прямой(это значит что выполняя адресную трансляцию(vm) вы можите любые данные подставить, хоть для процессора не будет выборки, но результат будет темже) записи из юм.

Ранг: 35.3 (посетитель)
Статус: Участник

Создано: 14 ноября 2018 12:30 New!
Цитата · Личное сообщение · #5

Можно поподробнее про причину ошибок и патчи? У меня на MOVSB исключение C0000005 вылезает, не понимаю, какой JMP править надо.

{ Атач доступен только для участников форума } - c005.PNG


Ранг: 584.1 (!)
Статус: Модератор
Research & Development

Создано: 14 ноября 2018 12:55 New!
Цитата · Личное сообщение · #6

Gauri
См. код Illuzion в сообщении --> #3 <--

Он сначала заполняет код нопами (nop), а потом вбивает два jmp:
- сначала короткий (2 байта: EB F3) в KiFastSystemCall - вверх по коду (по меньшим адресам), чтобы туда вляпать длинный jmp;
- потом длинный jmp (5 байт: E9 46ACCF88): jmp 1E17F0

Но на твоей системе адреса могут отличаться, поэтому у тебя и вылезает ошибка.

Ранг: 508.6 (!)
Статус: Модератор

Создано: 15 ноября 2018 12:30 New!
Цитата · Личное сообщение · #7

Gauri

создайте багу в гитхабе сабжа
там толком глянут
 eXeL@B —› Вопросы новичков —› Почему не запускается ScyllaHide на Oracle VirtualBox

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS