الصفحة الرئيسية>كود المصدر JSP>فئات أخرى
تنزيل

أقوم بإنشاء makin لجعل تقييم البرامج الضارة الأولي أسهل قليلاً بالنسبة لي ، وأعتقد أنه من المفيد للآخرين أيضًا ، فهو يساعد على الكشف عن تقنيات اكتشاف تصحيح الأخطاء المستخدمة من قبل عينة.

أي تعليقات موضع تقدير كبير: _qaz_qaz

كيف تعمل؟

يفتح makin عينة كتصحيح أخطاء ويحقق asho.dll (يعيد الوحدة الرئيسية اسم جميع dlls قبل الحقن) ، وينطق asho.dll عدة وظائف في ntdll.dll و kernelbase.dll مكتبات وبعد فحص المعلمات ، يرسل الرسالة المقابلة إلى الأخطاء ( makin.exe ).

يقوم makin أيضًا بإنشاء برنامج نصي لـ IDA Pro لتعيين نقاط التوقف في واجهات برمجة التطبيقات المكتشفة.

في هذه اللحظة ، يمكن لـ makin الكشف عن التقنيات التالية:

ntdll.dll :

  • NtClose - المرجع: المرجع "النهائي" لمكافحة التنقيح: 7.B.II
  • NtOpenProcess - المرجع: المرجع "النهائي" لمكافحة الإنقاذ: 7.BI
  • NtCreateFile - المرجع: مرجع "Ultimate" لمكافحة التنقيح: 7.b.iii (افتح نفسه)
  • NtCreateFile - المرجع: مرجع "Ultimate" لمكافحة التنقيح: 7.b.iii (افتح برنامج تشغيل)
  • LdrLoadDll - المرجع: مرجع "Ultimate" لمكافحة الأداء: 7.b.iv
  • NtSetDebugFilterState - المرجع: المرجع "النهائي" لمكافحة الأداء: 7.D.VI
  • NtQueryInformationProcess - المرجع: المرجع "النهائي" لمكافحة التنقيب: 7.d.viii.a ، 7.d.viii.b ، 7.d.vii.c
  • NtQuerySystemInformation - المرجع: المرجع "النهائي" لمكافحة التنقيح: 7.e.iii
  • NtSetInformationThread - المرجع: المرجع "النهائي" لمكافحة التعارض 7.F.III
  • NtCreateUserProcess - المرجع: المرجع "النهائي" لمكافحة التعدين 7.GI
  • NtCreateThreadEx - المرجع: مدونة ntuery
  • NtSystemDebugControl - المرجع: waleedassar - pastebin
  • NtYieldExecution - المرجع: المرجع "النهائي" لمكافحة التعددية 7.d.xiii
  • NtSetLdtEntries - المرجع: حيل مكافحة unpacker: الجزء الأول - 2.1.2
  • NtQueryInformationThread - المرجع: ntquery - ntqueryInformationThread
  • NtCreateDebugObject و NtQueryObject - المرجع: مضاد لـ Debug ntqueryObject
  • RtlAdjustPrivilege - المرجع: باستخدام rtladjustprivilege للكشف عن تصحيح الأخطاء بواسطة insid3codeteam
  • PEB->BeingDebugged - بدلاً من استدعاء IsDebuggerPresent() ، تحقق بعض البرامج يدويًا من PEB (كتلة بيئة العملية) للعلم BeingDebugged .
  • PEB->NtGlobalFlag المرجع: الخاسر
  • UserSharedData->KdDebuggerEnabled - المرجع: الخاسر - مشترك uSerdata_kerneldebugger
  • أغلق خدعة مقبض PROCTECTED - المرجع: al -khaser - handle_flag_protect_from_close

kernelbase.dll :

  • IsDebuggerPresent - المرجع: MSDN
  • CheckRemoteDebuggerPresent - المرجع: MSDN
  • SetUnhandledExceptionFilter - المرجع: المرجع "النهائي" لمكافحة التنقيح: D.XV
  • RegOpenKeyExInternalW - مفاتيح تسجيلات الشيكات
  • RegQueryValueExW - فحص القيم الرئيسية للتسجيل

يمكنك إضافة المزيد من شيكات VM عبر ملف checks.json

هذا كل شيء في الوقت الحالي ، يمكنك إضافة ما تريد :)

طرف ثالث

  • Zydis (ترخيص MIT)
  • JSON لـ Modern C ++ (ترخيص MIT)
العرض التوضيحي:

makin_demo

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل