Ahora57
11.02.2023, 22:38
Зачем мапать файл или использовать жёстко закодированные системные номера(Like:VMP (https://github.com/x64dbg/ScyllaHide/commit/cee6c0a1adb1c51ecf0543a88c25c70a52655935)) для обхода UM хуков,
когда можно просто получить правильный системный номер , путём брутфорса системного номера и проверки возвращаемого статуса?
Звучит гениально, не правда ли?
Это просто мемный PoC(только x64 code т.к я не оченьлюблю идею WoW64 и согласен с Xjun (https://www.blast.hk/redirect/aHR0cHM6Ly9mb3J1bS50dXRzNHlvdS5jb20vdG9waWMvMzk4MD Ytc2hhcnBvZC14NjQtYV9hbnRpZGVidWctcGx1Z2luLXN1cHBv cnQtZm9yLXg2NGRiZy8_ZG89ZmluZENvbW1lbnQmY29tbWVudD 0yMDY4NDc)),поэтому не считайте данный код чем-то серьёзным.
Для x32 code в WoW64 вы должны использовать heavens gate (https://www.blast.hk/redirect/aHR0cHM6Ly93d3cubWFuZGlhbnQuY29tL3Jlc291cmNlcy9ibG 9nL3dvdzY0LXN1YnN5c3RlbS1pbnRlcm5hbHMtYW5kLWhvb2tp bmctdGVjaG5pcXVlcw),а для x32 системы вам нужно фиксить стек т.к после вызова идёт выравнивание
C++:
[CODE]
///Windows 10 x32 build 14393
//NtQueryInformationProcess
mov eax
,
B7
call ntdll
.
771
C270D
ret
14
//
Это позволяет легко обходить любые UM хуки,кроме Instrumentation Callback (https://www.blast.hk/redirect/aHR0cHM6Ly93aW50ZXJubC5jb20vZGV0ZWN0aW5nLW1hbnVhbC 1zeXNjYWxscy1mcm9tLXVzZXItbW9kZS8)
SharpOD_enabled.pngAhora57 · 11 Фев 2023 в 21:38' data-fancybox="lb-post-1254492" data-lb-caption-extra-html="" data-lb-sidebar-href="" data-single-image="1" data-src="https://www.blast.hk/attachments/189538/" style="cursor: pointer;" title="SharpOD_enabled.png">
https://forum.antichat.xyz/attachments/28254492/
Code (https://github.com/Ahora57/BadHook)
когда можно просто получить правильный системный номер , путём брутфорса системного номера и проверки возвращаемого статуса?
Звучит гениально, не правда ли?
Это просто мемный PoC(только x64 code т.к я не оченьлюблю идею WoW64 и согласен с Xjun (https://www.blast.hk/redirect/aHR0cHM6Ly9mb3J1bS50dXRzNHlvdS5jb20vdG9waWMvMzk4MD Ytc2hhcnBvZC14NjQtYV9hbnRpZGVidWctcGx1Z2luLXN1cHBv cnQtZm9yLXg2NGRiZy8_ZG89ZmluZENvbW1lbnQmY29tbWVudD 0yMDY4NDc)),поэтому не считайте данный код чем-то серьёзным.
Для x32 code в WoW64 вы должны использовать heavens gate (https://www.blast.hk/redirect/aHR0cHM6Ly93d3cubWFuZGlhbnQuY29tL3Jlc291cmNlcy9ibG 9nL3dvdzY0LXN1YnN5c3RlbS1pbnRlcm5hbHMtYW5kLWhvb2tp bmctdGVjaG5pcXVlcw),а для x32 системы вам нужно фиксить стек т.к после вызова идёт выравнивание
C++:
[CODE]
///Windows 10 x32 build 14393
//NtQueryInformationProcess
mov eax
,
B7
call ntdll
.
771
C270D
ret
14
//
Это позволяет легко обходить любые UM хуки,кроме Instrumentation Callback (https://www.blast.hk/redirect/aHR0cHM6Ly93aW50ZXJubC5jb20vZGV0ZWN0aW5nLW1hbnVhbC 1zeXNjYWxscy1mcm9tLXVzZXItbW9kZS8)
SharpOD_enabled.pngAhora57 · 11 Фев 2023 в 21:38' data-fancybox="lb-post-1254492" data-lb-caption-extra-html="" data-lb-sidebar-href="" data-single-image="1" data-src="https://www.blast.hk/attachments/189538/" style="cursor: pointer;" title="SharpOD_enabled.png">
https://forum.antichat.xyz/attachments/28254492/
Code (https://github.com/Ahora57/BadHook)