หน้าแรก>ซอร์สโค้ด JSP>หมวดหมู่อื่นๆ
ดาวน์โหลด

ฉันสร้าง makin เพื่อให้การประเมินมัลแวร์เริ่มต้นง่ายขึ้นเล็กน้อยสำหรับฉันฉันคิดว่ามันมีประโยชน์สำหรับผู้อื่นเช่นกันมันช่วยเปิดเผยเทคนิคการตรวจจับการดีบักเกอร์ที่ใช้โดยตัวอย่าง

ข้อเสนอแนะใด ๆ ได้รับการชื่นชมอย่างมาก: @_qaz_qaz

มันทำงานอย่างไร?

makin เปิด makin.exe เป็น debuggee และฉีด asho.dll (โมดูลหลักเปลี่ยนชื่อ dlls ทั้งหมดก่อนฉีด) asho.dll hooks หลายฟังก์ชั่นที่ ntdll.dll และ kernelbase.dll libraries และหลังจากการตรวจสอบพารามิเตอร์

makin ยังสร้างสคริปต์สำหรับ IDA Pro เพื่อตั้งค่าจุดพักที่ API ที่ตรวจพบ

ในขณะนี้ makin สามารถเปิดเผยเทคนิคต่อไปนี้:

ntdll.dll :

  • NtClose - REF: การอ้างอิงต่อต้าน debugging "Ultimate": 7.b.ii
  • NtOpenProcess - REF: การอ้างอิงต่อต้าน debugging "Ultimate": 7.bi
  • NtCreateFile - REF: การอ้างอิงต่อต้านการลดทอน "สูงสุด": 7.b.iii (เปิดเอง)
  • NtCreateFile - REF: การอ้างอิงต่อต้าน debugging "Ultimate": 7.b.iii (เปิดไดรเวอร์)
  • LdrLoadDll - REF: การอ้างอิงต่อต้าน debugging "Ultimate": 7.B.IV
  • NtSetDebugFilterState - REF: การอ้างอิงต่อต้าน debugging "Ultimate": 7.d.vi
  • NtQueryInformationProcess - REF: การอ้างอิงต่อต้านการต่อต้านการ debugging: 7.d.viii.a, 7.d.viii.b, 7.d.viii.c
  • NtQuerySystemInformation - REF: การอ้างอิงต่อต้าน debugging "Ultimate": 7.E.III
  • NtSetInformationThread - REF: การอ้างอิงต่อต้านการลดทอน "Ultimate" 7.F.III
  • NtCreateUserProcess - REF: การอ้างอิงต่อต้าน debugging "Ultimate" 7.gi
  • NtCreateThreadEx - อ้างอิง: โพสต์บล็อก ntuery
  • NtSystemDebugControl - อ้างอิง: @waleedassar - pastebin
  • NtYieldExecution - REF: การอ้างอิงต่อต้าน debugging "Ultimate" 7.d.xiii
  • NtSetLdtEntries - REF: Tricks Anti -Unpacker: ส่วนที่หนึ่ง - 2.1.2
  • NtQueryInformationThread - REF: ntQuery - ntQueryInformationThread
  • NtCreateDebugObject และ NtQueryObject - REF: Anti -debug ntQueryObject
  • RtlAdjustPrivilege - REF: การใช้ rtladjustprivilege เพื่อตรวจจับดีบักโดย Insid3Codeteam
  • PEB->BeingDebugged - แทนที่จะเรียก IsDebuggerPresent() บางโปรแกรมตรวจสอบ PEB (บล็อกสภาพแวดล้อมกระบวนการ) ด้วยตนเองสำหรับการตั้งค่าสถานะ BeingDebugged
  • PEB->NtGlobalFlag -ref: al-khaser
  • UserSharedData->KdDebuggerEnabled - REF: Al -Khaser - ShareduserData_kerneldebugger
  • ปิดเคล็ดลับด้าม PROCTECTED - REF: Al -Khaser - handle_flag_protect_from_close

kernelbase.dll :

  • IsDebuggerPresent - REF: MSDN
  • CheckRemoteDebuggerPresent - ref: msdn
  • SetUnhandledExceptionFilter - REF: การอ้างอิงต่อต้าน debugging "Ultimate": D.XV
  • RegOpenKeyExInternalW - ตรวจสอบปุ่มรีจิสทรี
  • RegQueryValueExW - ตรวจสอบค่าคีย์รีจิสทรี

คุณสามารถเพิ่มการตรวจสอบ VM เพิ่มเติมผ่านการแก้ไข checks.json ไฟล์โดยไม่ต้องแก้ไขการดำเนินการ

นั่นคือทั้งหมดนี้คุณสามารถเพิ่มได้มากเท่าที่คุณต้องการ :)

บุคคลที่สาม

  • Zydis (ใบอนุญาต MIT)
  • JSON สำหรับ C ++ ที่ทันสมัย ​​(ใบอนุญาต MIT)
การสาธิต:

makin_demo

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด