makin

Я создаю makin , чтобы облегчить для меня первоначальную оценку вредоносной программы, я думаю, что это полезно и для других, это помогает раскрыть методы обнаружения отладчиков, используемые образцом.

makin makin.exe образец в качестве отладчика и вводит asho.dll (основной модуль переименовал все dlls перед инъекцией), asho.dll зацепит несколько функций по адресу ntdll.dll и kernelbase.dll .

makin также генерирует сценарий для IDA Pro, чтобы установить точки останова при обнаруженных API.

В этот момент makin может раскрыть следующие методы:

ntdll.dll :

• NtClose - ref: «Ultimate» противодействие справочнику: 7.B.II
• NtOpenProcess - ref: «Ultimate», противодействие, справочник: 7.bi
• NtCreateFile - ref: «окончательный» справочник по борьбе с дезами: 7.b.iii (сам открывается)
• NtCreateFile - ref: «окончательный» справочник по борьбе с дезами: 7.b.iii (откройте водитель)
• LdrLoadDll - REF: «Ultimate» противодействие справочнику: 7.B.IV
• NtSetDebugFilterState - ref: «конечная» противодействие справочнику: 7.d.vi
• NtQueryInformationProcess - Ref: «Ultimate» противодействие справки: 7.D.Viii.a, 7.d.viii.b, 7.d.viii.c
• NtQuerySystemInformation - ref: «конечная» противодействие справки: 7.e.iii
• NtSetInformationThread - Ref: «Ultimate» противодействие.
• NtCreateUserProcess - ref: «конечная» противодействие.
• NtCreateThreadEx - ref: ntuery post в блоге
• NtSystemDebugControl - ref: @waleedassar - pastebin
• NtYieldExecution - ref: «конечная» противодействие.
• NtSetLdtEntries - Ссылка: Анти -неудобные трюки: Часть первая - 2.1.2
• NtQueryInformationThread - ref: ntquery - ntqueryinformationthread
• NtCreateDebugObject и NtQueryObject - ref: anti -debug ntqueryobject
• RtlAdjustPrivilege - ref: используя rtladjustprivilege для обнаружения отладчика с помощью insid3codeam
• PEB->BeingDebugged - вместо вызова IsDebuggerPresent() некоторые программы вручную проверяют PEB (блок среды процесса) на флаг BeingDebugged .
• PEB->NtGlobalFlag -ref: al-khaser
• UserSharedData->KdDebuggerEnabled - ref: al -khaser - shareduserdata_kerneldebugger
• Закрыть PROCTECTED трюк ручки - ref: al -khaser - harder_flag_protect_from_close

kernelbase.dll :

• IsDebuggerPresent - ref: msdn
• CheckRemoteDebuggerPresent - Ref: MSDN
• SetUnhandledExceptionFilter - Ref: «Ultimate» противодействие справочнику: D.XV
• RegOpenKeyExInternalW - проверки реестра ключей
• RegQueryValueExW - проверки значений ключей реестра

Вы можете добавить больше виртуальных веществ с помощью файла editing checks.json без изменения исполняемого файла

Это все на данный момент, вы можете добавить столько, сколько хотите :)

• Zydis (лицензия MIT)
• JSON для современного C ++ (MIT Лицензия)