Saya mengetahui bahwa pemerintah Denmark tidak hanya menghentikan program Monitor Ujian Digital, yang kami analisis dan sepenuhnya hindari dalam artikel sebelumnya , tetapi mungkin benar-benar mematikan sistem ini seminggu setelah kami memberi tahu mereka tentang metode peretasan. Saya tidak ingin berpikir bahwa itu murni karena kita bahwa pemerintah Denmark menolak gagasan memantau ujian, tetapi pekerjaan kami jelas diperhatikan.

Dalam artikel ini, kami akan menguraikan rincian teknis tentang cara kerja alat pelacakan anak sekolah lainnya: ExamCookie. Jika Anda hanya tertarik untuk melewati sistem, gulir ke bawah ke bagian yang sesuai.

ExamCookie

Baru-baru ini, alat ini menjadi berita karena investigasi terhadap pelanggaran GDPR. Kami memutuskan untuk melihat pesaing terbesar kedua dari sistem pelacakan sekolah tersebut selama ujian: ExamCookie . Ini adalah sistem pelacakan komersial yang digunakan oleh lebih dari 20 sekolah Denmark. Tidak ada dokumentasi di situs selain deskripsi berikut:

ExamCookie adalah perangkat lunak sederhana yang memantau aktivitas komputer siswa selama ujian untuk memastikan aturan diikuti. Program ini melarang siswa untuk menggunakan segala bentuk bantuan ilegal.

ExamCookie menyimpan semua aktivitas di komputer: URL aktif, koneksi jaringan, proses, clipboard, dan tangkapan layar saat mengubah ukuran jendela.

Program ini bekerja sederhana: dengan mengikuti ujian, Anda menjalankannya di komputer, dan memonitor aktivitas Anda. Ketika ujian selesai, program ditutup, dan Anda dapat menghapusnya dari komputer.

Untuk mulai melacak, Anda harus menggunakan login UNI Anda, yang berfungsi di berbagai situs pendidikan, atau secara manual memasukkan kredensial. Kami tidak menggunakan alat ini, jadi kami tidak dapat mengatakan dalam kasus mana entri manual digunakan. Mungkin ini dilakukan untuk siswa yang tidak memiliki login UNI, yang kami anggap tidak mungkin.

Informasi Biner

Program ini dapat diunduh dari halaman utama ExamCookie. Ini adalah aplikasi .NET x86. Untuk referensi, biner MD5 yang dianalisis 63AFD8A8EC26C1DC368D8FF8710E337D tanda tangan EXAMCOOKIE APS tanggal 24 April 2019. Seperti yang ditunjukkan artikel terakhir , analisis biner .NET hampir tidak dapat disebut rekayasa terbalik, karena kombinasi kode IL dan metadata yang mudah dibaca menyediakan kode sumber yang sempurna.

Berbeda dengan program pemantauan sebelumnya, para pengembang alat ini tidak hanya menghapusnya dari log debug, tetapi juga mengaburkannya. Setidaknya mereka mencoba :-)

Kebingungan (tertawa sampai menangis)

Ketika kami membuka aplikasi di dnSpy, kami dengan cepat melihat titik masuk yang hilang:

 // Token: 0x0600003D RID: 61 RVA: 0x00047BB0 File Offset: 0x00045FB0 [STAThread] [DebuggerHidden] [EditorBrowsable(EditorBrowsableState.Advanced)] [MethodImpl(MethodImplOptions.NoInlining | MethodImplOptions.NoOptimization)] internal static void Main(string[] Args) { } 

Aneh, semacam bungkus biasanya diasumsikan, itu mengubah tubuh metode dari konstruktor modul, yang berjalan ke titik entri aktual, mari kita lihat:

 // Token: 0x06000001 RID: 1 RVA: 0x00058048 File Offset: 0x00055048 static <Module>() { <Module>.\u206B\u202B\u200B\u206F\u206C\u202D\u200D\u200E\u202D\u206B\u206F\u206F\u202C\u202A\u206B\u202E\u202A\u206C\u202A\u206C\u200B\u206A\u202D\u206C\u202C\u206C\u200F\u202C\u206C\u202C\u200C\u206A\u200C\u206C\u200B\u206B\u202B\u206E\u202C\u202B\u202E(); <Module>.\u206C\u200D\u200F\u200E\u200C\u200C\u200F\u200F\u206E\u206A\u206A\u200B\u202C\u206A\u206B\u200D\u206E\u200E\u202D\u206B\u202C\u206C\u202D\u206D\u200C\u200F\u206E\u200F\u206E\u206A\u202B\u206B\u200E\u206B\u202E\u206F\u206A\u202E\u202C\u202A\u202E(); <Module>.\u200B\u202D\u200F\u200F\u202A\u206D\u202C\u206B\u206E\u202A\u206F\u206C\u200D\u200C\u202D\u200F\u202B\u202C\u202B\u206D\u206D\u202D\u206E\u200D\u206D\u206A\u202A\u202C\u200C\u206F\u206B\u206E\u200D\u202E\u206F\u200C\u206B\u200E\u206D\u206A\u202E(); } 

Keren Ini tahun 2019, dan orang-orang masih menggunakan Confuser (Ex).

Kami langsung mengenali kode dekompresi ini dan memeriksa header assembler:

  [modul: ConfusedBy ("Confuser.Core 1.1.0 + a36320377a")] 

Saat ini, kami berpikir bahwa kode sebenarnya akan dikaburkan, karena konstruktor di atas mendekripsi tubuh dan sumber daya dari metode ini. Tapi, yang mengejutkan kami, pengembang kebingungan memutuskan ... untuk tidak mengganti nama metadata:



Ini membunuh semua buzz rekayasa terbalik. Seperti yang kami katakan dalam artikel sebelumnya , saya ingin menemukan masalah sebenarnya dari alat pengawasan berkualitas tinggi yang terlindungi dengan baik, yang analisisnya akan memakan waktu lebih dari lima menit.

Dalam kasus apa pun, membongkar setiap biner yang dilindungi oleh confuser (ex) sangat sederhana: gunakan .NET binaries dumper atau break break statement statement di <MODULE> .toror dan buang sendiri. Prosesnya memakan waktu 30 detik, dan paket ini akan selalu menjadi favorit saya, karena perlindungan terhadap debug tidak pernah bekerja sama sekali .

Kami memutuskan untuk menggunakan MegaDumper: ini sedikit lebih cepat daripada membuang secara manual:



Setelah membuang biner ExamCookie, pesan berikut akan muncul:



Sekarang Anda memiliki direktori dengan semua fragmen assembler yang dimuat ke proses yang sesuai, kali ini dengan badan metode dekripsi.

Siapa pun yang menerapkan kebingungan ini, terima kasih Tuhan, setidaknya ia mengenkripsi baris:

 else if (System.Windows.Forms.Clipboard.ContainsData(DataFormats.SymbolicLink)) { Module1.DebugPrint(<Module>.smethod_5<string>(1582642794u), new object[0]); } else if (System.Windows.Forms.Clipboard.ContainsData(DataFormats.Tiff)) { Module1.DebugPrint(<Module>.smethod_2<string>(4207351461u), new object[0]); } else if (System.Windows.Forms.Clipboard.ContainsData(DataFormats.UnicodeText)) { Module1.DebugPrint(<Module>.smethod_5<string>(3536903244u), new object[0]); } else if (System.Windows.Forms.Clipboard.ContainsData(DataFormats.WaveAudio)) { Module1.DebugPrint(<Module>.smethod_2<string>(2091555364u), new object[0]); } 

Ya, enkripsi enkripsi string lama yang baik (Ex), pseudo-security terbaik di dunia .NET. Ada baiknya Confuser (Ex) diretas terlalu sering sehingga alat deobfusi tersedia di Internet untuk setiap mekanisme, jadi kami tidak akan menyentuh apa pun yang terkait dengan .NET. Jalankan ConfuserExStringDecryptor dari CodeCracker di dump biner:



Ini mengubah cuplikan sebelumnya menjadi ini:

 else if (System.Windows.Forms.Clipboard.ContainsData(DataFormats.SymbolicLink)) { Module1.DebugPrint("ContainsData.SymbolicLink", new object[0]); } else if (System.Windows.Forms.Clipboard.ContainsData(DataFormats.Tiff)) { Module1.DebugPrint("ContainsData.Tiff", new object[0]); } else if (System.Windows.Forms.Clipboard.ContainsData(DataFormats.UnicodeText)) { Module1.DebugPrint("ContainsData.UnicodeText", new object[0]); } else if (System.Windows.Forms.Clipboard.ContainsData(DataFormats.WaveAudio)) { Module1.DebugPrint("ContainsData.WaveAudio", new object[0]); } 

Itu semua perlindungan aplikasi, rusak dalam waktu kurang dari satu menit ... Kami tidak akan memposting alat kami di sini, karena kami tidak mengembangkannya dan kami tidak memiliki kode sumber. Tetapi siapa pun yang ingin mengulang pekerjaan itu dapat menemukannya di Tuts4You . Kami tidak lagi memiliki akun tuts4you, jadi kami tidak dapat menautkan ke mirror.

Fungsionalitas

Anehnya, tidak ada "fungsi tersembunyi" yang nyata ditemukan. Seperti yang ditunjukkan di situs web, informasi berikut secara berkala dikirimkan ke server:

• Daftar Proses (setiap 5000 ms)
  
• Aplikasi aktif (setiap 1000 ms)
  
• Papan klip (setiap 500 ms)
  
• Tangkapan layar (setiap 5000 ms)
  
• Daftar adapter jaringan (setiap 20.000 ms)

Sisa aplikasi sangat membosankan, jadi kami memutuskan untuk melewati seluruh prosedur inisialisasi dan langsung ke fungsi yang bertanggung jawab untuk mengambil informasi.

Adaptor

Adapter jaringan dirakit oleh fungsi .NET NetworkInterface.GetAllNetworkInterfaces() , persis seperti pada artikel sebelumnya :

 NetworkInterface[] allNetworkInterfaces = NetworkInterface.GetAllNetworkInterfaces(); foreach (NetworkInterface networkInterface in allNetworkInterfaces) { try { // ... // TEXT FORMATTING OMITTED // ... dictionary.Add(networkInterface.Id, stringBuilder.ToString()); stringBuilder.Clear(); } catch (Exception ex) { AdapterThread.OnExceptionEventHandler onExceptionEvent = this.OnExceptionEvent; if (onExceptionEvent != null) { onExceptionEvent(ex); } } } result = dictionary; 

Aplikasi aktif

Ini semakin menarik. Alih-alih mendaftarkan semua jendela yang terbuka, utilitas hanya mengontrol aplikasi yang aktif. Implementasinya overblown, oleh karena itu kami menyajikan pseudocode yang indah:

 var whiteList = { "devenv", "ExamCookie.WinClient", "ExamCookie.WinClient.vshost", "wermgr", "ShellExperienceHost" }; // GET WINDOW INFORMATION var foregroundWindow = ApplicationThread.GetForegroundWindow(); ApplicationThread.GetWindowRect(foregroundWindow, ref rect); ApplicationThread.GetWindowThreadProcessId(foregroundWindow, ref processId); var process = Process.GetProcessById(processId); if (process == null) return; // LOG BROWSER URL if (IsBrowser(process)) { var browserUrl = UiAutomation32.GetBrowserUrl(process.Id, process.ProcessName); // SEND BROWSER URL TO SERVER if (ValidBrowserUrl(browserUrl)) { ReportToServer(browserUrl); } } else if (!whiteList.contains(process.ProcessName, StringComparer.OrdinalIgnoreCase)) { ReportToServer(process.MainWindowTitle); } 

Hebat ... orang masih menggunakan nama proses untuk membedakannya. Mereka tidak pernah berhenti dan tidak berpikir: "Tunggu sebentar, Anda dapat mengubah nama proses sesuka Anda," sehingga kami dapat dengan aman melewati perlindungan ini.

Jika Anda membaca artikel sebelumnya tentang program pelacakan ujian lain, Anda mungkin akan mengenali penerapan standar ini untuk browser:

 private bool IsBrowser(System.Diagnostics.Process proc) { bool result; try { string left = proc.ProcessName.ToLower(); if (Operators.CompareString(left, "iexplore", false) != 0 && Operators.CompareString(left, "chrome", false) != 0 && Operators.CompareString(left, "firefox", false) != 0 && Operators.CompareString(left, "opera", false) != 0 && Operators.CompareString(left, "cliqz", false) != 0) { if (Operators.CompareString(left, "applicationframehost", false) != 0) { result = false; } else { result = proc.MainWindowTitle.Containing("Microsoft Edge"); } } else { result = true; } } catch (Exception ex) { result = false; } return result; } 

 private string GetBrowserName(string name) { if (Operators.CompareString(name.ToLower(), "iexplore", false) == 0) { return "IE-Explorer"; } else if (Operators.CompareString(name.ToLower(), "chrome", false) == 0) { return "Chrome"; } else if (Operators.CompareString(name.ToLower(), "firefox", false) == 0) { return "Firefox"; } else if (Operators.CompareString(name.ToLower(), "opera", false) == 0) { return "Opera"; } else if (Operators.CompareString(name.ToLower(), "cliqz", false) == 0) { return "Cliqz"; } else if (Operators.CompareString(name.ToLower(), "applicationframehost", false) == 0) { return "Microsoft Edge"; } return ""; } 

Dan ceri di atas kue:

 private static string GetBrowserUrlById(object processId, string name) { // ... automationElement.GetCurrentPropertyValue(/*...*/); return url; } 

Secara harfiah ini adalah implementasi yang sama seperti pada artikel sebelumnya. Sulit untuk memahami bagaimana pengembang masih belum menyadari betapa buruknya itu. Siapa pun dapat mengedit URL di browser, ini bahkan tidak layak ditunjukkan.

Penemuan mesin virtual

Bertentangan dengan apa yang dikatakan situs web, mulai dari mesin virtual menetapkan bendera. Implementasinya ... menarik.

 File.WriteAllBytes("ecvmd.exe", Resources.VmDetect); using (Process process = new Process()) { process.StartInfo = new ProcessStartInfo("ecvmd.exe", "-d") { CreateNoWindow = true, UseShellExecute = false, RedirectStandardOutput = true }; process.Start(); try { using (StreamReader standardOutput = process.StandardOutput) { result = standardOutput.ReadToEnd().Replace("\r\n", ""); } } catch (Exception ex3) { result = "-5"; } } 

Nah, untuk beberapa alasan, mereka menulis biner eksternal ke disk dan menjalankannya, dan kemudian bergantung sepenuhnya pada hasil I / O. Ini benar-benar sering terjadi, tetapi pemindahan pekerjaan penting seperti itu ke proses lain yang tidak terlindungi begitu-begitu. Mari kita lihat file mana yang sedang kita tangani:



Jadi sekarang kita menggunakan C ++? Nah, interoperabilitas sebenarnya tidak selalu buruk. Dan ini mungkin berarti bahwa kita sekarang benar-benar harus bekerja pada reverse engineering (!!). Mari kita lihat IDA:

 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ecx BOOL v4; // ebx int v5; // ebx int *v6; // eax int detect; // eax bool vbox_key_exists; // bl char vpcext; // bh char vmware_port; // al char *vmware_port_exists; // ecx char *vbox_detected; // edi char *vpcext_exists; // esi int v14; // eax int v15; // eax int v16; // eax int v17; // eax int v18; // eax int v20; // [esp+0h] [ebp-18h] HKEY result; // [esp+Ch] [ebp-Ch] HKEY phkResult; // [esp+10h] [ebp-8h] if ( argc != 2 ) goto LABEL_20; v3 = strcmp(argv[1], "-d"); if ( v3 ) v3 = -(v3 < 0) | 1; if ( !v3 ) { v4 = (unsigned __int8)vm_detect::vmware_port() != 0; result = 0; v5 = (vm_detect::vpcext() != 0 ? 2 : 0) + v4; RegOpenKeyExA(HKEY_LOCAL_MACHINE, "HARDWARE\\ACPI\\DSDT\\VBOX__", 0, 0x20019u, &result); v6 = sub_402340(); LABEL_16: sub_404BC0((int)v6, v20); return 0; } detect = strcmp(argv[1], "-s"); if ( detect ) detect = -(detect < 0) | 1; if ( !detect ) { LABEL_20: phkResult = 0; vbox_key_exists = RegOpenKeyExA(HKEY_LOCAL_MACHINE, "HARDWARE\\ACPI\\DSDT\\VBOX__", 0, 0x20019u, &phkResult) == 0; vpcext = vm_detect::vpcext(); vmware_port = vm_detect::vmware_port(); vmware_port_exists = "1"; vbox_detected = "1"; if ( !vbox_key_exists ) vbox_detected = "0"; vpcext_exists = "1"; if ( !vpcext ) vpcext_exists = "0"; if ( !vmware_port ) vmware_port_exists = "0"; result = (HKEY)vmware_port_exists; v14 = std::print((int)&dword_433310, "VMW="); v15 = std::print(v14, (const char *)result); v16 = std::print(v15, ",VPC="); v17 = std::print(v16, vpcext_exists); v18 = std::print(v17, ",VIB="); v6 = (int *)std::print(v18, vbox_detected); goto LABEL_16; } return 0; } 

Ini memverifikasi keberadaan VMWare I / O port 'VX':

 int __fastcall vm_detect::vmware_port() { int result; // eax result = __indword('VX'); LOBYTE(result) = 0; return result; } 

Selanjutnya, eksekusi instruksi ekstensi pc virtual diperiksa, yang seharusnya hanya berfungsi ketika diluncurkan di lingkungan tervirtualisasi, jika tidak menyebabkan kerusakan mesin jika diproses secara salah;):

 char vm_detect::vpcext() { char result; // al result = 1; __asm { vpcext 7, 0Bh } return result; } 

... tidak ada rekayasa balik nyata, hanya 30 detik untuk mengubah nama dua fungsi :(

Program ini hanya membaca kunci registri dan menjalankan dua pemeriksaan hypervisor yang terlihat aneh dibandingkan dengan program mereka yang lain. Saya ingin tahu di mana mereka menyalinnya? Oh, lihat, artikel berjudul "Metode untuk menemukan mesin virtual (sic)" yang menjelaskan metode ini :). Bagaimanapun, vektor-vektor deteksi ini dapat dielakkan dengan mengedit file .vmx atau menggunakan versi yang disempurnakan dari setiap hypervisor pilihan Anda.

Perlindungan data

Seperti disebutkan sebelumnya, penyelidikan sedang dilakukan untuk ketidakpatuhan dengan GDPR, dan situs web mereka menyatakan:

Data dienkripsi dan dikirim ke server Microsoft Azure yang aman, yang hanya dapat diakses dengan kredensial yang benar. Setelah ujian, data disimpan hingga tiga bulan.

Kami tidak yakin bagaimana mereka menentukan "keamanan" server, karena kredensial di-hardcode dalam aplikasi dan disimpan dalam teks yang sepenuhnya jelas dalam sumber daya metadata:

  Endpoint: https://examcookiewinapidk.azurewebsites.net
 Nama Pengguna: VfUtTaNUEQ
 Kata Sandi: AwWE9PHjVc 

Kami tidak memeriksa konten server (ini ilegal), tetapi kami dapat berasumsi bahwa ada akses penuh. Karena akun tersebut di-hardcode dalam aplikasi, tidak ada isolasi antara wadah data siswa.

Penafian hukum: Kami berhak untuk mempublikasikan kredensial API karena disimpan dalam file biner publik dan oleh karena itu tidak diperoleh secara ilegal. Namun, menggunakannya dengan niat jahat jelas melanggar hukum, oleh karena itu kami sangat menyarankan agar pembaca tidak menggunakan kredensial yang disebutkan di atas dengan cara apa pun, dan kami tidak bertanggung jawab atas tindakan potensial apa pun.

Lewati

Karena aplikasi ini sangat mengingatkan pada Digital Exam Monitor, kami baru saja memperbarui kode ayyxam untuk mendukung ExamCookie.

Daftar proses

Antarmuka proses .NET secara internal melakukan cache data proses menggunakan panggilan sistem ntdll!NtQuerySystemInformation . Untuk menyembunyikan proses dari itu memerlukan beberapa pekerjaan, karena informasi tentang proses ditunjukkan di banyak tempat. Untungnya, .NET hanya mengambil satu jenis informasi tertentu, jadi Anda tidak perlu menggunakan semua metode latebros .

Kode untuk mem-bypass validasi proses aktif.

 NTSTATUS WINAPI ayyxam::hooks::nt_query_system_information( SYSTEM_INFORMATION_CLASS system_information_class, PVOID system_information, ULONG system_information_length, PULONG return_length) { // DONT HANDLE OTHER CLASSES if (system_information_class != SystemProcessInformation) return ayyxam::hooks::original_nt_query_system_information( system_information_class, system_information, system_information_length, return_length); // HIDE PROCESSES const auto value = ayyxam::hooks::original_nt_query_system_information( system_information_class, system_information, system_information_length, return_length); // DONT HANDLE UNSUCCESSFUL CALLS if (!NT_SUCCESS(value)) return value; // DEFINE STRUCTURE FOR LIST struct SYSTEM_PROCESS_INFO { ULONG NextEntryOffset; ULONG NumberOfThreads; LARGE_INTEGER Reserved[3]; LARGE_INTEGER CreateTime; LARGE_INTEGER UserTime; LARGE_INTEGER KernelTime; UNICODE_STRING ImageName; ULONG BasePriority; HANDLE ProcessId; HANDLE InheritedFromProcessId; }; // HELPER FUNCTION: GET NEXT ENTRY IN LINKED LIST auto get_next_entry = [](SYSTEM_PROCESS_INFO* entry) { return reinterpret_cast<SYSTEM_PROCESS_INFO*>( reinterpret_cast<std::uintptr_t>(entry) + entry->NextEntryOffset); }; // ITERATE AND HIDE PROCESS auto entry = reinterpret_cast<SYSTEM_PROCESS_INFO*>(system_information); SYSTEM_PROCESS_INFO* previous_entry = nullptr; for (; entry->NextEntryOffset > 0x00; entry = get_next_entry(entry)) { constexpr auto protected_id = 7488; if (entry->ProcessId == reinterpret_cast<HANDLE>(protected_id) && previous_entry != nullptr) { // SKIP ENTRY previous_entry->NextEntryOffset += entry->NextEntryOffset; } // SAVE PREVIOUS ENTRY FOR SKIPPING previous_entry = entry; } return value; } 

Buffer

ole32.dll!OleGetClipboard , yang sangat rentan terhadap pengait, bertanggung jawab atas implementasi internal buffer di .NET. Alih-alih menghabiskan banyak waktu menganalisis struktur internal, Anda cukup mengembalikan S_OK , dan .NET penanganan kesalahan akan melakukan sisanya:

 std::int32_t __stdcall ayyxam::hooks::get_clipboard(void* data_object[[maybe_unused]]) { // LOL return S_OK; } 

Ini akan menyembunyikan seluruh buffer dari alat pengawasan ExamCookie tanpa mengganggu fungsionalitas program.

Tangkapan layar

Seperti biasa, orang-orang mengambil implementasi .NET dari fungsi yang diinginkan. Untuk menyiasati fungsi ini, kami bahkan tidak perlu mengubah apa pun dalam kode sebelumnya. Tangkapan layar dikendalikan oleh fungsi Graphics.CopyFromScreen .NET. Ini pada dasarnya adalah pembungkus untuk mentransmisikan blok bit, yang memanggil gdi32!BitBlt . Seperti dalam gim video untuk memerangi sistem anti-cheat yang mengambil tangkapan layar, kita dapat menggunakan kait BitBlt dan menyembunyikan informasi yang tidak diinginkan sebelum mengambil tangkapan layar.

Situs pembukaan

URL grabber sepenuhnya disalin dari program sebelumnya, jadi sekali lagi kami dapat menggunakan kembali kode kami untuk memintas perlindungan. Dalam artikel terakhir, kami mendokumentasikan struktur AutomationElement, sebagai akibatnya kait berikut diluncurkan:

 std::int32_t __stdcall ayyxam::hooks::get_property_value(void* handle, std::int32_t property_id, void* value) { constexpr auto value_value_id = 0x755D; if (property_id != value_value_id) return ayyxam::hooks::original_get_property_value(handle, property_id, value); auto result = ayyxam::hooks::original_get_property_value(handle, property_id, value); if (result != S_OK) // SUCCESS? return result; // VALUE URL IS STORED AT 0x08 FROM VALUE STRUCTURE class value_structure { public: char pad_0000[8]; //0x0000 wchar_t* value; //0x0008 }; auto value_object = reinterpret_cast<value_structure*>(value); // ZERO OUT OLD URL std::memset(value_object->value, 0x00, std::wcslen(value_object->value) * 2); // CHANGE TO GOOGLE.COM constexpr wchar_t spoofed_url[] = L"https://google.com"; std::memcpy(value_object->value, spoofed_url, sizeof(spoofed_url)); return result; } 

Penemuan mesin virtual

Deteksi malas mesin virtual dapat dielakkan dengan dua cara: 1) tambalan program yang disiram ke disk; atau 2) pengalihan proses pembuatan proses ke aplikasi dummy. Yang terakhir tampaknya jelas lebih mudah :). Jadi, secara internal, Process.Start() memanggil CreateProcess , jadi cukup untuk menghubungkan dan mengarahkannya ke aplikasi dummy yang mencetak karakter '0'.

 BOOL WINAPI ayyxam::hooks::create_process( LPCWSTR application_name, LPWSTR command_line, LPSECURITY_ATTRIBUTES process_attributes, LPSECURITY_ATTRIBUTES thread_attributes, BOOL inherit_handles, DWORD creation_flags, LPVOID environment, LPCWSTR current_directory, LPSTARTUPINFOW startup_information, LPPROCESS_INFORMATION process_information ) { // REDIRECT PATH OF VMDETECT TO DUMMY APPLICATION constexpr auto vm_detect = L"ecvmd.exe"; if (std::wcsstr(application_name, vm_detect)) { application_name = L"dummy.exe"; } return ayyxam::hooks::original_create_process( application_name, command_line, process_attributes, thread_attributes, inherit_handles, creation_flags, environment, current_directory, startup_information, process_information); } 

Unduh

Seluruh proyek tersedia di repositori Github . Program ini bekerja dengan menyuntikkan biner x86 ke proses yang sesuai.