makin

Ich erstelle makin , um die anfängliche Malware -Bewertung für mich etwas einfacher zu machen. Ich denke, es ist auch für andere nützlich. Es hilft, eine Debugger -Erkennungstechniken zu enthüllen, die von einer Probe verwendet wird.

makin eröffnet eine Probe als Debuggee und injiziert asho.dll (Hauptmodul wird vor der Injektion alle dlls umgebaut), asho.dll haken mehrere Funktionen unter ntdll.dll und kernelbase.dll -Bibliotheken und nach Parametern die entsprechende Nachricht an die Debugger ( makin.exe ).

makin generiert auch ein Skript für IDA Pro, um Breakpoints auf erkannten APIs festzulegen.

In diesem Moment kann makin folgende Techniken aufdecken:

ntdll.dll :

• NtClose - Ref: Die "ultimative" Anti -Debugging -Referenz: 7.b.ii
• NtOpenProcess - Ref: Die "ultimative" Anti -Debugging -Referenz: 7.bi
• NtCreateFile - Ref: Die "ultimative" Anti -Debugging -Referenz: 7.b.iii (öffnen sich selbst)
• NtCreateFile - Ref: Die "ultimative" Anti -Debugging -Referenz: 7.b.iii (öffnen Sie einen Treiber)
• LdrLoadDll - REF: Die "ultimative" Anti -Debugging -Referenz: 7.b.iv
• NtSetDebugFilterState - Ref: Die "ultimative" Anti -Debugging -Referenz: 7.d.vi
• NtQueryInformationProcess - Ref: Die "Ultimate" Anti -Debugging -Referenz: 7.d.viii.a, 7.d.viii.b, 7.d.viii.c.
• NtQuerySystemInformation - Ref: Die "ultimative" Anti -Debugging -Referenz: 7.e.iii
• NtSetInformationThread - ref: Die "ultimative" Anti -Debugging -Referenz 7.f.iii
• NtCreateUserProcess - REF: Die "ultimative" Anti -Debugging -Referenz 7.gi
• NtCreateThreadEx - Ref: Ntuery Blog -Beitrag
• NtSystemDebugControl - Ref: @Waleedassar - Pastebin
• NtYieldExecution - Ref: Die "ultimative" Anti -Debugging -Referenz 7.d.xiii
• NtSetLdtEntries - Ref: Anti -Unpacker -Tricks: Teil eins - 2.1.2
• NtQueryInformationThread Thread - Ref: NtQuery - NtQueryInformation Thread
• NtCreateDebugObject und NtQueryObject - Ref: Anti -Debug NtQueryObject
• RtlAdjustPrivilege - Ref: Verwendung von rtladjustPrivilege, um Debugger durch INDID3CODEAM zu erkennen
• PEB->BeingDebugged - Anstatt IsDebuggerPresent() aufzurufen, überprüfen einige Programme den PEB (Process Environment Block) manuell auf die Flagge BeingDebugged .
• PEB->NtGlobalFlag -Ref: Al-Khaser
• UserSharedData->KdDebuggerEnabled - Ref: Al -Khaser - SharedUserData_KernelDebugger
• PROCTECTED -Handlungstrick schließen - Ref: Al -Khaser - Handle_Flag_protect_from_close

kernelbase.dll :

• IsDebuggerPresent - ref: msdn
• CheckRemoteDebuggerPresent - Ref: MSDN
• SetUnhandledExceptionFilter - REF: Die "Ultimate" Anti -Debugging -Referenz: D.XV
• RegOpenKeyExInternalW - prüft die Registrierungsschlüssel
• RegQueryValueExW - Überprüfung der Schlüsselwerte der Registrierung

Sie können weitere VM -Überprüfungen über Bearbeiten checks.json -Datei hinzufügen, ohne die ausführbare Datei zu ändern

Das ist alles vorerst, Sie können so viel hinzufügen, wie Sie möchten :)

• Zydis (MIT -Lizenz)
• JSON für moderne C ++ (MIT -Lizenz)