Kang IT
HyperDbg - Kode Sumber Debugger HyperDbg
HyperDbg dirancang dengan fokus pada penggunaan teknologi perangkat keras modern untuk menyediakan fitur baru ke dunia rekayasa balik . Ini beroperasi di atas Windows dengan memvirtualisasikan sistem yang sudah berjalan menggunakan Intel VT-x dan Intel PT. Debugger ini bertujuan untuk tidak menggunakan API dan mekanisme debugging perangkat lunak, tetapi sebaliknya, ia menggunakan Tabel Halaman Lapisan Kedua (alias Extended Page Table atau EPT) secara ekstensif untuk memantau baik kernel dan eksekusi pengguna.
HyperDbg hadir dengan fitur seperti kait tersembunyi, yang secepat kait sebaris lama, tetapi juga sembunyi-sembunyi. Ini meniru register debug perangkat keras untuk (baca & tulis) ke lokasi tertentu, tetapi kali ini sama sekali tidak terlihat untuk kernel Windows dan program, dan tentu saja tanpa batasan ukuran atau jumlah!
Menggunakan pemisahan TLB, dan memiliki fitur seperti mengukur cakupan kode dan memantau semua perpindahan ke / dari memori dengan suatu fungsi, membuat HyperDbg menjadi debugger unik.
Meski memiliki fitur baru, HyperDbg berusaha senyap mungkin. Itu tidak menggunakan API debugging apa pun untuk men-debug Windows atau aplikasi apa pun, jadi metode anti-debugging klasik tidak akan mendeteksinya. Selain itu, ia menolak eksploitasi metode delta waktu (misalnya, RDTSC / RDTSCP) untuk mendeteksi keberadaan hypervisor, oleh karena itu mempersulit aplikasi, pengemas, pelindung, malware, mesin anti-cheat, dll. Untuk menemukan debugger.
Fitur Unik
Rilis Pertama (v0.1.0.0)
- Hook EPT Klasik (Hidden Breakpoint) [ tautan ] [ tautan ]
- Kait EPT Sebaris (Kait Sebaris) [ tautan ] [ tautan ]
- Memantau Memori Untuk R / W (Mengemulasi Registri Debug Perangkat Keras Tanpa Batasan) [ tautan ] [ tautan ]
- SYSCALL Hook (Nonaktifkan EFER & Handle #UD) [ link ] [ link ]
- SYSRET Hook (Nonaktifkan EFER & Handle #UD) [ link ] [ link ]
- CPUID Hook & Monitor [ link ]
- RDMSR Hook & Monitor [ link ]
- WRMSR Hook & Monitor [ link ]
- RDTSC / RDTSCP Hook & Monitor [ link ]
- Pengait & Monitor RDPMC [ link ]
- VMCALL Hook & Monitor [ link ]
- Debug Register Hook & Monitor [ link ]
- Port I / O (Instruksi) Hook & Monitor [ link ]
- Port I / O (Instruksi Keluar) Hook & Monitor [ link ]
- Monitor MMIO
- Pengecualian (IDT <32) Monitor [ link ] [ link ]
- External-Interrupt (IDT> 32) Monitor [ link ] [ link ]
- Menjalankan Skrip Otomatis [ link ]
- Mode transparan (Anti-debugging dan Anti-hypervisor Resistance) [ tautan ]
- Menjalankan Perakitan Kustom Di Kedua VMX-root, VMX non-root (Kernel & Pengguna) [ link ]
- Memeriksa Ketentuan Khusus [ link ] [ link ]
- Mesin Skrip [ link ] [ link ] [ link ]
- Pelacakan Pesan Kompatibel VMX-root [ link ]
- Mesin Skrip Sisi Kernel yang Kuat [ tautan ] [ tautan ]
- Penerusan Acara (#DFIR) [ link ] [ link ]
- Penangan Breakpoint Transparan
- Berbagai Skrip Kustom [ link ]
Rilis Kedua (v0.2.0.0)
(belum dirilis!)
Instalasi
Silakan kunjungi Build & Install dan Quick Start untuk penjelasan mendetail tentang cara memulai dengan HyperDbg .
Bagaimana cara kerjanya?
Kami menjelaskan tentang bagaimana HyperDbg bekerja secara internal dan bagaimana kami merancang fitur-fiturnya secara rinci, lihat:
( https://docs.hyperdbg.com/design )
Berikut diagram yang menunjukkan cara kerja HyperDbg!
Plugin
Kerangka plugin belum siap untuk versi HyperDbg saat ini. Versi mendatang akan mendukung plugin.
Berkontribusi
Berkontribusi di HyperDbg sangat dihargai.
Jika Anda ingin membuat pull request atau berkontribusi di HyperDbg, silakan baca Panduan Kontribusi .
Regards
Kang IT
No comments:
Post a Comment