Недавнее содержимое от Ahora57
-
-
Исходник Сканирование функции на брейкпоинты и хуки
Давай не будем прибегать к оценке чужих знаний -> Много чего не учтено. По хорошему тут чуть ли не эмулятор прикручивать надо. Тот же long jmp игнорируется(ff 25) -> Ну и хотя бы на ff25 проверку добавил бы. Простите, но это больше напоминает: "Ты должен добавить, но у меня точно нет претензий и... -
Find real syscall number by brute-force(PoC)
Зачем мапать файл или использовать жёстко закодированные системные номера(Like:VMP) для обхода UM хуков, когда можно просто получить правильный системный номер , путём брутфорса системного номера и проверки возвращаемого статуса? Звучит гениально, не правда ли? Это просто мемный PoC(только x64... -
Исходник Race condition via anti-anti-debug tool bypass
Всем привет. Помимо обычным злоупотреблением багов для обхода anti-anti-debug tool можно просто использовать состояние гонки, чтобы просто обойти их! Объяснение: Многие anti-anti-debug tool's вызывают оригинальную функцию и потом с ней что-то делают. Вот пример кода TitanHide с ProcessDebugPort... -
Исходник VMP improved idea
Всем привет! Этот код был написан, когда я вдохновлялся VMProtect и его идеям. Как вы знаете ,VMP использует баги в anti-debug tool и смотрит логику в ядре. Вы могли это видеть здесь и в запросе TitanHide. Каждый раз, когда вы используете HyperHide/TitanHide или другие anti-anti-debug плагины...