GoDefender

https://discord.gg/qeYaYK4JKq

توفر حزمة Go هذه وظائف للكشف عن أشكال مختلفة من أدوات تصحيح الأخطاء وبيئات المحاكاة الافتراضية والدفاع عنها. بالمناسبة، للإعداد السريع، قم بتشغيل install.bat .

• كشف الفرز : يكتشف ما إذا كان النظام يعمل في بيئة الفرز أو التحليل.
• مراقبة المقاييس : يراقب مقاييس النظام لتحديد السلوك غير الطبيعي الذي يشير إلى المحاكاة الافتراضية.
• كشف VirtualBox : يكتشف وجود Oracle VirtualBox.
• اكتشاف برنامج VMware : يكتشف وجود برنامج المحاكاة الافتراضية لـ VMware.
• فحص KVM : عمليات التحقق من برنامج Hypervisor القائم على Kernel للجهاز الظاهري (KVM).
• التحقق من اسم المستخدم : التحقق مما إذا كان المستخدم الحالي هو مستخدم افتراضي افتراضي.
• نشاط المستخدم الأخير : التحقق من نشاط المستخدم؛ إذا كان هناك أقل من 20 ملفًا، فسيتم الخروج.
• USB Mount : يتحقق مما إذا كان قد تم توصيل USB بالكمبيوتر من قبل.
• عناصر VM : يحدد العناصر التي خلفتها الأجهزة الافتراضية (VMs)، والتي يمكن أن تشير إلى وجود بيئة VM.
• التحقق من المتوازيات : يكتشف Parallels Desktop، وهو برنامج محاكاة افتراضية شائع لنظام التشغيل macOS، يستخدم لتشغيل Windows وأنظمة التشغيل الضيف الأخرى.
• اكتشاف QEMU : يحدد وجود QEMU، وهو محاكي جهاز مفتوح المصدر وجهاز ظاهري، مما قد يشير إلى اكتشاف الجهاز الظاهري.

تتضمن هذه الوحدة وظائف لاكتشاف ومنع تصحيح الأخطاء وتحليل العملية الجارية.

• IsDebuggerPresent : يتحقق مما إذا كان مصحح الأخطاء متصلًا حاليًا بالعملية.
• مصحح الأخطاء عن بعد : يكتشف ما إذا كان مصحح الأخطاء عن بعد متصلاً بالعملية.
• وقت تشغيل الكمبيوتر : يراقب وقت تشغيل النظام لاكتشاف محاولات تصحيح الأخطاء بناءً على إعادة تشغيل النظام.
• التحقق من أسماء Windows المدرجة في القائمة السوداء : التحقق مما إذا كان اسم العملية يتطابق مع أي أسماء مدرجة في القائمة السوداء شائعة الاستخدام بواسطة مصححي الأخطاء.
• العمليات الجارية : استرداد قائمة العمليات الجارية وتحديد العمليات الضارة المحتملة.
• ميزة مكافحة تصحيح الأخطاء الأصلية : تكتشف ما إذا كانت العملية الأصلية تحاول تصحيح أخطاء العملية الحالية.
• التحقق من وجود عمليات سيئة : إذا تم اكتشافها على النظام، فافعل شيئًا بناءً على خيارك (منطقي).
• يكتشف وضع المستخدم AntiAntiDebuggers : يكتشف وضع المستخدم المضاد للمضادات مثل ScyllaHide (BASIC / VMP Plugin).
• التحقق من اتصال الإنترنت : يتحقق من وجود اتصال بالإنترنت.

من المحتمل أن تحتاج إلى ProcessUtils لتطبيقك

• العملية الحرجة : تنفذ وظائف لإدارة العمليات الهامة الضرورية لتشغيل النظام.
• ضبط وقت التشغيل : اضبط وقت تشغيل التطبيق على وقت محدد: MacOS,Linux,Windows
• تمكين كافة الرموز المميزة : تمكين كافة امتيازات Windows الرموز المميزة للعملية الحالية
• IsAdmin - طلب المسؤول : اطلب المشرف للعملية الحالية، وتحقق مما إذا كانت العملية الحالية هي المسؤول

• تصحيح Dll : الاستفادة من سياسة تخفيف توقيع الصور الثنائية لمنع حقن الثنائيات غير التابعة لشركة Microsoft.

• يكتشف معظم أساليب ربط مكافحة تصحيح الأخطاء في وظائف مكافحة تصحيح الأخطاء الشائعة عن طريق التحقق من وجود تعليمات سيئة على عناوين الوظائف (الأكثر فعالية على x64). كما أنه يكتشف أيضًا أدوات مكافحة مصححات الأخطاء في وضع المستخدم مثل ScyllaHide ويمكنه اكتشاف بعض صناديق الحماية التي تستخدم الربط لمراقبة سلوك/نشاط التطبيق (مثل Tria.ge).

• https://github.com/AdvDebug: ألهمتني للبدء في إنشاء هذه الحزمة. بدونه، لن يكون هنا. تحقق من جيثب له.
• https://github.com/MmCopyMemory: الأفكار المقدمة وأكثر من ذلك بكثير. تحقق من جيثب له.
• https://github.com/bytepulze: مساعدة في الأخطاء/الإصلاحات، راجع موقع Github الخاص به
• لقد قمت بذلك لأنني لاحظت أن شخصًا ما كان يحاول اختراق برامج Go الأخرى أو تحليلها. في السابق، كان لدي العديد من الأسطر من التعليمات البرمجية المضادة لتصحيح الأخطاء (كنت أبرمجها بتكاسل وأضع كل شيء في سطر واحد)، لذلك أردت إنشاء شيء سريع وموثوق من شأنه أن يجعل حياة المهندس العكسي أكثر صعوبة. وهكذا قمت بإنشاء برنامج GoDefender.