makin

我創建了makin ，以使我的初始惡意軟件評估對我來說更容易，我認為這對他人也很有用，它有助於揭示樣本使用的調試器檢測技術。

makin將樣本打開為Debuggee，並註入asho.dll （主模塊在註射前重命名所有dlls ）， asho.dll在ntdll.dll和kernelbase.dll庫中和參數檢查後，將幾個功能掛鉤，它將相應的消息發送給Debugger（ makin.exe ）。

makin還為IDA Pro生成了一個腳本，以在檢測到的API處設置斷點。

目前， makin可以揭示以下技術：

ntdll.dll ：

• NtClose參考：“終極”反欺騙參考：7.b.ii
• NtOpenProcess參考：“終極”反欺騙參考：7.bi
• NtCreateFile參考：“終極”反欺騙參考：7.b.iii（開放本身）
• NtCreateFile參考：“終極”反欺騙參考：7.b.iii（打開驅動程序）
• LdrLoadDll參考：“終極”反欺騙參考：7.b.iv
• NtSetDebugFilterState參考：“終極”反欺騙參考：7.D.VI
• NtQueryInformationProcess參考：“終極”反欺騙參考：7.d.viii.a，7.d.viii.b，7.d.viii.c.c
• NtQuerySystemInformation參考：“終極”反欺騙參考：7.e.iii
• NtSetInformationThread -ref：“終極”反欺騙參考7.f.iii
• NtCreateUserProcess參考：“終極”反欺騙參考7.GI
• NtCreateThreadEx參考：NTUERY博客文章
• NtSystemDebugControl參考：@waleedassar -Pastebin
• NtYieldExecution參考：“終極”反欺騙參考7.d.xiii
• NtSetLdtEntries參考：反帕克克技巧：第一部分-2.1.2
• NtQueryInformationThread -Ref：ntquery -ntqueryInformationThread
• NtCreateDebugObject和NtQueryObject參考：抗debug ntqueryObject
• RtlAdjustPrivilege參考：使用rtladjustprivilege檢測insid3codeTeam的調試器
• PEB->BeingDebugged - 而不是調用IsDebuggerPresent() ，而是手動檢查PEB （過程環境塊）的BeingDebugged標誌。
• PEB->NtGlobalFlag參考：al-khaser
• UserSharedData->KdDebuggerEnabled -ref：al -khaser -shareuserdata_kerneldebugger
• 關閉PROCTECTED Hander Trick -Ref：Al -Khaser- handle_flag_protect_from_close

kernelbase.dll ：

• IsDebuggerPresent參考：MSDN
• CheckRemoteDebuggerPresent參考：MSDN
• SetUnhandledExceptionFilter參考：“終極”反欺騙參考：d.xv
• RegOpenKeyExInternalW檢查註冊表鍵
• RegQueryValueExW檢查註冊表密鑰值

您可以通過編輯checks.json文件添加更多VM檢查，而無需修改可執行文件

就目前而言，您可以隨心所欲:)

• Zydis（麻省理工學院許可證）
• 現代C ++的JSON（MIT許可證）