网站 › 『编程语言区』 › 同步更新 防破J技术帖 汇编内核sockt 动态send 动态recv+动态创建线程 实现无法抓包

982004269 发表于 2017-11-10 10:49

同步更新 防破J技术帖 汇编内核sockt 动态send 动态recv+动态创建线程 实现无法抓包

本帖最后由 982004269 于 2017-11-10 10:57 编辑

我在别的论坛开源过既然开源了我就同步过来了个人原创
相信今年大家有很大的技术突破
本源码所有抓包工具无效 无法抓包 所有发包API无法下断（除了网卡抓包 因为躲过网卡抓包这已经不是易语言能开发出来的东西了）
本源码核心价值就是防止被逆向解密因为没有那个人的请求会用明文 断不下来send也就难以追踪 请求加密算法
然而刚刚看到有人用Wireshark来抓包。。。
是肯定能抓到的R3没有能力在R0进行绕过除非你不走内核
或者你在R0做HOOK 回调 还原等处理
但是在R3我们已经对R0进行加密了所以
OD定位不到APIWireshark 抓到的包基本没什么用
有人说我这速度会慢那我就发2份出来
一份是动态释放 （解密时候会影响速度 大概10万次发包里时间会多出静态释放的30%）
一份是只释放一次
然而不存在速度慢因为使用send的人就没有人指望发包调用速度会快过
解释下调用速度
API Send
从WS2_32.dll到mswsock.dll到NTdll.dll WIN7里全部调用汇编有6千多行
我们的发包已经把很多没必要的CALL去掉了 直接调用R0 整合下来也就2000多来行 这个速度是真的可以不用考虑


原理解剖


http://att.125.la/data/attachment/forum/201711/10/103757rpyo3ziebatw49ok.png
1.png (46.5 KB, 下载次数: 0)下载附件保存到相册 5 分钟前 上传
http://att.125.la/data/attachment/forum/201711/10/103758cjv0p5o023u6b6aj.png
2.png (78.63 KB, 下载次数: 0)下载附件保存到相册 5 分钟前 上传
http://att.125.la/data/attachment/forum/201711/10/103758t04fpc147fz0zp74.png
3.png (21.78 KB, 下载次数: 0)下载附件保存到相册 5 分钟前 上传
http://att.125.la/data/attachment/forum/201711/10/103759afhwzfzttknkav1t.png
4.png (95.69 KB, 下载次数: 0)下载附件保存到相册 5 分钟前 上传


国外著名反辅Zhu软件 BE R3调用内核函数通讯驱动方法与此源码方法一样
在这之前网上不会找出第二份内核发包的源码
懂的人自然会懂
一直以来防破J技术在网上并没有什么新的共享探讨
因为大神们不喜欢开源
此方法非常直接的防止了HOOK与抓包（但是R0层还是无效的）
因为破J者喜欢下断Send 有点技术好的直接条件断ZwDeviceIoControlFile 我们这种方法很难跟踪
这种动态调用技术含量其实不高 难度是ZwDeviceIoControlFile （直接发送控制代码到指定的设备驱动程序，使相应的移动设备以执行相应的操作的函数。）他是多功能地方调用函数 许多驱动通讯硬盘类操作最走到这个函数
然而我们利用ZwDeviceIoControlFile 进行了请求发送 难的是在参数如何获取 因为没有几年逆向功底参数是逆不出来的因为这个函数太多地方调用了了
然后我花了半天天时间把微软的参数来源都逆了出来并且自己封装
如果觉得本贴不错可以支持一下加个分哟
图片时候打了几个错别字希望大家不要建议（分别是揭秘=解密内涵=内核）
直接上图

http://att.125.la/data/attachment/forum/201711/10/050507fnnli91nn1jzkdhd.png
1.png (85.87 KB, 下载次数: 0)下载附件保存到相册 5 小时前 上传


http://att.125.la/data/attachment/forum/201711/10/050507bthmwn7apts0hsz7.png
2.png (42.25 KB, 下载次数: 0)下载附件保存到相册 5 小时前 上传

http://att.125.la/data/attachment/forum/201711/10/050507c64064e44b4c440z.png
3.png (19.93 KB, 下载次数: 0)下载附件保存到相册 5 小时前 上传

http://att.125.la/data/attachment/forum/201711/10/050507fitrfh3txtitq0fr.png




下次找时间我会开源有seh vmp内存注入 一次放太多有点睡不着
源码下载

ttimasdf 发表于 2017-11-10 12:20

小菜总结一下，不知道对不对，

Win的socks API调用了R3上win32子系统的函数再向内核传递调用，
楼主的代码直接跳过了win的api，自己实现了一份功能差不多的在内存里解密然后调用，从而避免API hook和加密算法的暴露。
差不多这么个过程？

如有纰漏，敬请指正:keai

别说我 发表于 2017-11-10 15:28

楼主好厉害！
请问有没有易语言操作linux通过ssh然后返回执行命令内容的源码，找了许久都没找到这样的，以前的版本ssh支持太低了现在都不能用了。
谢谢

ttl2pj 发表于 2017-11-10 11:25

门外汉，不了解，看起来很高端，等高人

mz135135 发表于 2017-11-10 11:29

很好的文档,感谢楼主的分享精神，mark{:301_993:}

allking16 发表于 2017-11-10 12:15

真是不错 学习了

我是本饭 发表于 2017-11-10 12:16

我默默的奉上cb就行了。。。

凉游浅笔深画眉 发表于 2017-11-10 12:35

小菜总结一下，不知道对不对，重写3环API，防止别人下断！

shuangxiong 发表于 2017-11-10 13:34

怎么样了少年？？阿鞋？？

netease67 发表于 2017-11-10 13:41

厉害厉害了

查看完整版本: 同步更新 防破J技术帖 汇编内核sockt 动态send 动态recv+动态创建线程 实现无法抓包