makin

makinを作成して、初期のマルウェア評価を少し簡単にします。他の人にとっても役立つと思います。サンプルで使用されるデバッガー検出技術を明らかにするのに役立ちます。

makinデバッジとしてサンプルを開き、 asho.dll （メインモジュールは注入前にすべてのdllsを変更します）を注入し、 asho.dll ntdll.dllおよびkernelbase.dllライブラリでいくつかの機能をフックし、パラメーターをチェックした後、対応するメッセージをDevugger（ makin.exe ）に送信します。

makin 、IDA Proのスクリプトを生成して、検出されたAPIでブレークポイントを設定します。

現時点では、 makin次のテクニックを明らかにすることができます。

ntdll.dll ：

• NtClose -ref：「究極の」反抗防止リファレンス：7.b.ii
• NtOpenProcess -ref：「究極の」反抗的な参照：7.bi
• NtCreateFile -ref：「究極の」反抗的なリファレンス：7.b.iii（オープン自体）
• NtCreateFile -ref：「究極の」防止リファッグリファレンス：7.b.iii（ドライバーを開く）
• LdrLoadDll -ref：「究極の」反抗的な参照：7.b.iv
• NtSetDebugFilterState -Ref：「究極の」反開発対策リファレンス：7.D.VI
• NtQueryInformationProcess -Ref：「究極の」防止反対参照：7.d.viii.a、7.d.viii.b、7.d.viii.c
• NtQuerySystemInformation -ref：「究極の」反抗的な参照：7.e.iii
• NtSetInformationThread -Ref：「究極の」防止リファレンスリファレンス7.F.III
• NtCreateUserProcess -ref：「究極の」防止リファレンスリファレンス7.gi
• NtCreateThreadEx -ref：ntueryブログ投稿
• NtSystemDebugControl -ref：@waleedassar -pastebin
• NtYieldExecution -ref：「究極の」反抗均衡リファレンス7.d.xiii
• NtSetLdtEntries -ref：アンチアンパッカートリック：パート1-2.1.2
• NtQueryInformationThread -ref：ntquery -ntqueryinformationThread
• NtCreateDebugObjectおよびNtQueryObject -ref：debug ntqueryobject
• RtlAdjustPrivilege -ref：rtladjustprivilegeを使用してinsid3codeteamによってデバッガーを検出する
• PEB->BeingDebugged IsDebuggerPresent()を呼び出す代わりに、一部のプログラムは、 BeingDebuggedフラグのPEB （プロセス環境ブロック）を手動でチェックします。
• PEB->NtGlobalFlag -ref：al-khaser
• UserSharedData->KdDebuggerEnabled -ref：al -khaser -shareduserdata_kerneldebugger
• 閉鎖されPROCTECTEDハンドルトリック-REF：AL -KHASER -handle_flag_protect_from_close

kernelbase.dll ：

• IsDebuggerPresent -ref：msdn
• CheckRemoteDebuggerPresent -Ref：MSDN
• SetUnhandledExceptionFilter -ref：「究極の」防止基準参照：d.xv
• RegOpenKeyExInternalWレジストリキーをチェックします
• RegQueryValueExWレジストリキー値をチェックします

実行可能ファイルを変更せずに、編集checks.jsonファイルを介してさらにVMチェックを追加できます

今のところそれはすべてです、あなたはあなたが望むだけ追加することができます:)

• Zydis（MITライセンス）
• ModernC ++のJSON（MITライセンス）