makin

나는 초기 맬웨어 평가를 조금 더 쉽게 만들기 위해 makin 만듭니다. 다른 사람들에게도 유용하다고 생각합니다. 그것은 샘플에서 사용하는 디버거 감지 기술을 드러내는 데 도움이됩니다.

makin 디버그 지로 샘플을 열고 asho.dll 주입하고 (주된 모듈은 주입 전에 모든 dlls 이름 바꾸고), asho.dll ntdll.dll 및 kernelbase.dll 라이브러리에서 여러 기능을 고치고 매개 변수를 확인한 후 해당 메시지를 디버거 ( makin.exe )로 보냅니다.

makin 또한 감지 된 API에서 중단 점을 설정하기 위해 IDA Pro에 대한 스크립트를 생성합니다.

이 순간 makin 다음과 같은 기술을 밝힐 수 있습니다.

ntdll.dll :

• NtClose -REF : "궁극적 인"방지 방지 참조 : 7.B.II
• NtOpenProcess REF : "궁극적 인"방지 방지 참조 : 7.BI
• NtCreateFile -REF : "궁극적"방지 방지 참조 : 7.B.III (오픈 자체)
• NtCreateFile -REF : "궁극적 인"방지 방지 참조 : 7.B.III (운전자 열기)
• LdrLoadDll -ref : "궁극적 인"방지 방지 참조 : 7.B.IV
• NtSetDebugFilterState REF : "궁극적 인"방지 방지 참조 : 7.D.Vi
• NtQueryInformationProcess REF : "궁극적 인"방지 방지 참조 : 7.D.VIII.A, 7.D.VIII.B, 7.D.VIII.C
• NtQuerySystemInformation REF : "궁극적 인"방지 방지 참조 : 7.e.iii
• NtSetInformationThread REF : "궁극적 인"방지 방지 참조 7.f.iii
• NtCreateUserProcess 참조 : "궁극적 인"방지 방지 참조 7.gi
• NtCreateThreadEx -REF : NTUery 블로그 게시물
• NtSystemDebugControl -REF : @WaleedAssar -Pastebin
• NtYieldExecution -ref : "궁극적 인"방지 방지 참조 7.d.xiii
• NtSetLdtEntries REF : 안티 유추 포커 트릭 : 1 부 -2.1.2
• NtQueryInformationThread ref : ntQuery -ntQueryInformationThread
• NtCreateDebugObject 및 NtQueryObject -ref : anti -debug ntqueryObject
• RtlAdjustPrivilege -REF : RTLADJUSTPRIVILEGE 사용을 사용하여 InsID3Codeteam에 의해 디버거를 감지합니다.
• PEB->BeingDebugged BeingDebugged IsDebuggerPresent() 호출하는 대신 일부 프로그램은 PEB (프로세스 환경 블록)를 수동으로 검사하는 플래그에 대해 확인합니다.
• PEB->NtGlobalFlag -ref : al-Khaser
• UserSharedData->KdDebuggerEnabled ref : al -Khaser -SharedUserData_KernelDebugger
• PROCTECTED Handle Trick -REF : Al -KHASER -HANDE_FLAG_PROTECT_FROM_CLOSE

kernelbase.dll :

• IsDebuggerPresent 참조 : MSDN
• CheckRemoteDebuggerPresent 참조 : MSDN
• SetUnhandledExceptionFilter -REF : "궁극적 인"방지 방지 참조 : D.XV
• RegOpenKeyExInternalW 레지스트리 키를 점검합니다
• RegQueryValueExW 레지스트리 키 값을 확인합니다

실행 파일의 수정없이 checks.json 파일을 통해 더 많은 VM 수표를 추가 할 수 있습니다.

그게 다야, 당신은 원하는만큼 추가 할 수 있습니다 :)

• Zydis (MIT 라이센스)
• 현대 C ++의 JSON (MIT 라이센스)