Beranda>Kode sumber JSP>Kategori lainnya
Unduh

Saya membuat makin untuk membuat penilaian malware awal sedikit lebih mudah bagi saya, saya pikir itu berguna bagi orang lain juga, itu membantu untuk mengungkapkan teknik deteksi debugger yang digunakan oleh sampel.

Umpan balik apa pun sangat dihargai: @_qaz_qaz

Bagaimana cara kerjanya?

makin membuka sampel sebagai debuggee dan menyuntikkan asho.dll (modul utama mengganti nama semua dlls sebelum injeksi), asho.dll mengaitkan beberapa fungsi di ntdll.dll dan kernelbase.dll pustaka dan setelah pemeriksaan parameter, mengirimkan pesan yang sesuai ke debugger ( makin.exe ).

makin juga menghasilkan skrip untuk Ida Pro untuk mengatur breakpoint di API yang terdeteksi.

Pada saat ini, makin dapat mengungkapkan teknik berikut:

ntdll.dll :

  • NtClose - ref: referensi anti -debugging "ultimate": 7.b.ii
  • NtOpenProcess - ref: referensi anti -debugging "terbaik": 7.bi
  • NtCreateFile - Ref: Referensi anti -debugging "Ultimate": 7.B.III (buka itu sendiri)
  • NtCreateFile - Ref: Referensi anti -debugging "Ultimate": 7.B.III (buka driver)
  • LdrLoadDll - ref: referensi anti -debugging "ultimate": 7.b.iv
  • NtSetDebugFilterState - Ref: Referensi anti -debugging "Ultimate": 7.d.vi
  • NtQueryInformationProcess - Ref: Referensi anti -debugging "Ultimate": 7.d.viii.a, 7.d.viii.b, 7.d.viii.c
  • NtQuerySystemInformation - Ref: Referensi anti -debugging "Ultimate": 7.e.iii
  • NtSetInformationThread - Ref: Referensi anti -debugging "Ultimate" 7.F.III
  • NtCreateUserProcess - Ref: Referensi anti -debugging "Ultimate" 7.GI
  • NtCreateThreadEx - Ref: Posting blog ntuery
  • NtSystemDebugControl - ref: @waleedassar - pastebin
  • NtYieldExecution - Ref: Referensi anti -debugging "Ultimate" 7.D.XIII
  • NtSetLdtEntries - Ref: Anti -Unpacker Trik: Bagian Satu - 2.1.2
  • NtQueryInformationThread - Ref: ntquery - ntqueryInformationthread
  • NtCreateDebugObject dan NtQueryObject - Ref: anti -debug ntqueryObject
  • RtlAdjustPrivilege - Ref: Menggunakan rtladjustPrivilege untuk mendeteksi debugger dengan insid3codeTeam
  • PEB->BeingDebugged - Alih -alih memanggil IsDebuggerPresent() , beberapa program secara manual memeriksa PEB (blok lingkungan proses) untuk bendera BeingDebugged .
  • PEB->NtGlobalFlag -Ref: al-Khaser
  • UserSharedData->KdDebuggerEnabled - Ref: Al -Khaser - ShareDUserData_Kerneldebugger
  • Tutup Trik Pegangan PROCTECTED - Ref: Al -Khaser - Handle_Flag_Protect_From_Close

kernelbase.dll :

  • IsDebuggerPresent - Ref: MSDN
  • CheckRemoteDebuggerPresent - ref: msdn
  • SetUnhandledExceptionFilter - Ref: Referensi anti -debugging "Ultimate": d.xv
  • RegOpenKeyExInternalW - Kunci Registri Periksa
  • RegQueryValueExW - Memeriksa Nilai Kunci Registri

Anda dapat menambahkan lebih banyak cek VM melalui file pengedit checks.json , tanpa modifikasi dari yang dapat dieksekusi

Itu saja untuk saat ini, Anda dapat menambahkan sebanyak yang Anda inginkan :)

Pihak ketiga

  • Zydis (Lisensi MIT)
  • JSON untuk C ++ modern (lisensi MIT)
Demo:

Makin_demo

Memperluas
Informasi Tambahan
Aplikasi Terkait
Direkomendasikan untuk Anda
Informasi Terkait Semua