Скрываем импорт без хлопот

Добрый день! На дворе уже лето, самое время передохнуть, однако зло не дремлет.

Зачем скрывать импорт?

  • усложнить жизнь реверсерам
  • обойти детекты av по импорту
  • в том числе детекты в памяти по ApiMap

Как скрывают импорт?

  • навешивают слой криптора
  • динамически получают адреса API

Мы пойдем по второму пути, помятуя о детектах в памяти. Типичная реализация этого метода выглядит так:

Что, согласитесь, не очень красиво.

Пусть парсера

Мы решили поступить иначе, взять хидеры visual studio и сгенерировать:

  • прототипы функций
  • стабы для вызова функций с динамическим получением адреса

И вот что из этого вышло:

На данный день парсингу подверглась только базовая “winbase.h“, что бы скрыть поддерживаемые ей API просто подключите “anti_import.h” к своему проекту =)

Скачать его можно здесь.

За счёт стабов увеличивается размер файла, но не сильно если включать опцию компилятора Optimise 

Посмотрим на отклик, если тема окажется востребованной, вероятно парсингу подвергнуться все winapi-хидеры =)

p/s Если вас заинтересовала эта тема вы можете помочь ретвитом  или оставив ссылку на статью где ни будь ещё =)

2 thoughts on “Скрываем импорт без хлопот

  1. отличная реализация. и главное полная, был крайне удивлен, из за того что делал тоже самое пару недель назад , но только для нужных мне методов.

Добавить комментарий