Prozess Speicher versteckt lesen/schreiben
-
winexec schrieb:
hä? was soll das bringen, wenn ich meine DLL verstecke? der Hook befindet sich doch in der Gameexe dann da bringt es auch nix wenn die DLL unsichtbar ist.
Und was ist PEB?Nach Möglichkeit solltest du keine Spielfunktionen hooken.
Hook API-Funktionen, also DirectX/WinAPI etc.
Lass nur die Codesection des Prozesses in Ruhe.Außerdem bezieht sich der Link nicht nur auf DLLs.
Du musst nach Möglichkeit herausfinden, was den Code hasht und da entsprechend hooken.
-
ich muss aber die Code Section des Games hooken
-
winexec schrieb:
ich muss aber die Code Section des Games hooken
...
Du musst nach Möglichkeit herausfinden, was den Code hasht und da entsprechend hooken.
Kannst ja mal PEiD nach Signaturen bekannter Krypto/Hasing-Algorithmen ansetzen und sehen wo du eventuell ansetzen könntest.
Gibt aber recht wenige Möglichkeiten da was zu machen.Edit: Einen Memory-Breakpoint auf die Codesection zu setzen ist auch ne super Idee. Was soll den sonst auf die Codesection zugreifen ?
-
Icematix schrieb:
Edit: Einen Memory-Breakpoint auf die Codesection zu setzen ist auch ne super Idee. Was soll den sonst auf die Codesection zugreifen ?
An sich ja, nicht aber, wenn das ganze Ding noch mit Themida geschützt ist
Für die neuste Variante habe ich keinen Bypass für olly. Trotz Ring0 Plugins wie Phantom.Da ich nur auf Daten-Speicher zugreifen muss, hat es in meinem Fall gereicht, die ZwQuerySystemInformation zu hooken. Dann übergeb ich meinem Treiber nur die PID und immer wenn die PID ZwQuerySystemInformation aufruft, kommt aus "irgendeinem" Grund nichts zurück
Funktioniert soweit. Das lustige war aber: Als ich die PID einfach so an meine Treiber geben wollte, hat Xtrap das erkannt und geblockt. Nicht schlecht...Jetzt übergebe ich die eben verschlüsselt. War nicht so leicht eine Verschlüsselung im Kernel zu basteln, aber musste ja nix gutes werden.
-
War nicht so leicht eine Verschlüsselung im Kernel zu basteln, aber musste ja nix gutes werden.DWORD pid ^= 1
Sollte reichen
-
ich bin zwar nur ein hobby leie und will jez nicht wichtig erscheinen aber hast du schon daran gedacht direkt auf die rams zuzugreifen um aus dem prozess auszulesen und in en prozess zu schreiben.
-
Hätte es auch, aber ich wollte mir ja gleich den Spaß machen, und es auch gegen einfach Angriffe absichern. Zwar nicht das Ausblenden der PID aber mögliche Erweitrerungen des Treibers.
-
Flamefire hast icq oder msn? Ich probiere auch gameguard zu bypassen.
-
punky schrieb:
ich bin zwar nur ein hobby leie und will jez nicht wichtig erscheinen aber hast du schon daran gedacht direkt auf die rams zuzugreifen um aus dem prozess auszulesen und in en prozess zu schreiben.
Er nutzt doch schon einen Treiber.
Tiefer als ein Kernelmodul zu schreiben kann man nicht gehen.
-
doch er hat recht. man kann den ram direkt öffnen und in seinen prozess mappen. dann hätte man auch vollzugriff.
dafür gibts nen befehl: KeAttachProcess oder so.
braucht aber auch ein handle.
wenn man noch tiefer geht, um ohne diese funktion auszukommen, wird es zu schwer.icq u.ä. geb ich nicht raus, sry.
ich glaube auch, dass du dich noch nicht mit kernel-modulen beschäftigt hast, welche möglichkeiten und probleme das bringt. von daher etwas schwierig.
auch versuche ich nicht nur an gameguard vorbeizukommen, sondern auch an varianten. allerdings nicht, code zu ändern, sondern nur daten. ist um längen einfacher. alles andere müsste sehr spezifisch auf eine funktion sein
-
Flamefire ok, aber kannst du mir vielleicht ein Buch empfehlen, bei dem ich dann das ganze Kernel Zeug verstehe und auch etwas näher an Gameguard bypass komme? Im Usermode weiß ich schon wie man user32 gehookte Funktionen bypassed z. B. die ersten asm op codes manuel ausführen und dann jump zu Funktion +5.
Aber von Kernel hab ich wenig Ahnung das stimmt. Wie hast du das gelernt oder welches Buch haste gelesen?
-
Gelesen habe ich das buch "Rootkits - den windows kernel unterwandern"
und sonst viel selbst probiert. Achtung: BS Garantie. Damit kann man leicht das System zerstören.
Dann noch viel aus dem Internet, Beispiele, probieren usw.
Hilfreich ist auch die Uni
Da kommen Teile davon dran.
-
"Rootkits - den windows kernel unterwandern"
ist bestellt
hoffentlich hilft es mir im Kampf gegen anti cheat systemen (ich will nicht cheaten, ich finde es nur unverschämt, das viele von diesen selbst noch laufen wenn das game noch läuft und sich überall hineinkopieren, daten klauen usw.)
-
ey ich will das Buch auch kaufen, es scheint aber nirgendwo mehr zum Verkauf zu stehen? Außer die Englisch version, die deutsche ist mir aber lieber. Flamefire verkaufst du deins?
-
Flamefire schrieb:
doch er hat recht. man kann den ram direkt öffnen und in seinen prozess mappen. dann hätte man auch vollzugriff.
dafür gibts nen befehl: KeAttachProcess oder so.
braucht aber auch ein handle.
wenn man noch tiefer geht, um ohne diese funktion auszukommen, wird es zu schwerDamit geht er auch nicht tiefer als Kernelmode
-
das Buch wird nicht mehr verkauft -.-
-
SSDT ist dazu doch das schlagwort... ?
schau mal hier nach, vielleicht findest etwas:
http://undocumented.rawol.com/
-
trotzdem hätte ich gerne dieses Buch gelesen.
-
Guck mal hier: http://buecher.hitmeister.de/rootkits-windows-kernel-unterwandern-greg-hoglund-819653/
Oder lads dir als englisches Ebook illegal...
-
eine Frage noch bevor ich es kaufe, klappt das auch alles unter Windows 7 normal schon oder? Patchguard ist ja nur x64 ich nutz aber x86 also sollte auch alles unter Windows 7 gehen mit rootkits und so?