makin

我创建了makin ，以使我的初始恶意软件评估对我来说更容易，我认为这对他人也很有用，它有助于揭示样本使用的调试器检测技术。

makin将样本打开为Debuggee，并注入asho.dll （主模块在注射前重命名所有dlls ）， asho.dll在ntdll.dll和kernelbase.dll库中和参数检查后，将几个功能挂钩，它将相应的消息发送给Debugger（ makin.exe ）。

makin还为IDA Pro生成了一个脚本，以在检测到的API处设置断点。

目前， makin可以揭示以下技术：

ntdll.dll ：

• NtClose参考：“终极”反欺骗参考：7.b.ii
• NtOpenProcess参考：“终极”反欺骗参考：7.bi
• NtCreateFile参考：“终极”反欺骗参考：7.b.iii（开放本身）
• NtCreateFile参考：“终极”反欺骗参考：7.b.iii（打开驱动程序）
• LdrLoadDll参考：“终极”反欺骗参考：7.b.iv
• NtSetDebugFilterState参考：“终极”反欺骗参考：7.D.VI
• NtQueryInformationProcess参考：“终极”反欺骗参考：7.d.viii.a，7.d.viii.b，7.d.viii.c.c
• NtQuerySystemInformation参考：“终极”反欺骗参考：7.e.iii
• NtSetInformationThread -ref：“终极”反欺骗参考7.f.iii
• NtCreateUserProcess参考：“终极”反欺骗参考7.GI
• NtCreateThreadEx参考：NTUERY博客文章
• NtSystemDebugControl参考：@waleedassar -Pastebin
• NtYieldExecution参考：“终极”反欺骗参考7.d.xiii
• NtSetLdtEntries参考：反帕克克技巧：第一部分-2.1.2
• NtQueryInformationThread -Ref：ntquery -ntqueryInformationThread
• NtCreateDebugObject和NtQueryObject参考：抗debug ntqueryObject
• RtlAdjustPrivilege参考：使用rtladjustprivilege检测insid3codeTeam的调试器
• PEB->BeingDebugged - 而不是调用IsDebuggerPresent() ，而是手动检查PEB （过程环境块）的BeingDebugged标志。
• PEB->NtGlobalFlag参考：al-khaser
• UserSharedData->KdDebuggerEnabled -ref：al -khaser -shareuserdata_kerneldebugger
• 关闭PROCTECTED Hander Trick -Ref：Al -Khaser- handle_flag_protect_from_close

kernelbase.dll ：

• IsDebuggerPresent参考：MSDN
• CheckRemoteDebuggerPresent参考：MSDN
• SetUnhandledExceptionFilter参考：“终极”反欺骗参考：d.xv
• RegOpenKeyExInternalW检查注册表键
• RegQueryValueExW检查注册表密钥值

您可以通过编辑checks.json文件添加更多VM检查，而无需修改可执行文件

就目前而言，您可以随心所欲:)

• Zydis（麻省理工学院许可证）
• 现代C ++的JSON（MIT许可证）