Prozess Speicher versteckt lesen/schreiben
-
Flamefire hast icq oder msn? Ich probiere auch gameguard zu bypassen.
-
punky schrieb:
ich bin zwar nur ein hobby leie und will jez nicht wichtig erscheinen aber hast du schon daran gedacht direkt auf die rams zuzugreifen um aus dem prozess auszulesen und in en prozess zu schreiben.
Er nutzt doch schon einen Treiber.
Tiefer als ein Kernelmodul zu schreiben kann man nicht gehen.
-
doch er hat recht. man kann den ram direkt öffnen und in seinen prozess mappen. dann hätte man auch vollzugriff.
dafür gibts nen befehl: KeAttachProcess oder so.
braucht aber auch ein handle.
wenn man noch tiefer geht, um ohne diese funktion auszukommen, wird es zu schwer.icq u.ä. geb ich nicht raus, sry.
ich glaube auch, dass du dich noch nicht mit kernel-modulen beschäftigt hast, welche möglichkeiten und probleme das bringt. von daher etwas schwierig.
auch versuche ich nicht nur an gameguard vorbeizukommen, sondern auch an varianten. allerdings nicht, code zu ändern, sondern nur daten. ist um längen einfacher. alles andere müsste sehr spezifisch auf eine funktion sein
-
Flamefire ok, aber kannst du mir vielleicht ein Buch empfehlen, bei dem ich dann das ganze Kernel Zeug verstehe und auch etwas näher an Gameguard bypass komme? Im Usermode weiß ich schon wie man user32 gehookte Funktionen bypassed z. B. die ersten asm op codes manuel ausführen und dann jump zu Funktion +5.
Aber von Kernel hab ich wenig Ahnung das stimmt. Wie hast du das gelernt oder welches Buch haste gelesen?
-
Gelesen habe ich das buch "Rootkits - den windows kernel unterwandern"
und sonst viel selbst probiert. Achtung: BS Garantie. Damit kann man leicht das System zerstören.
Dann noch viel aus dem Internet, Beispiele, probieren usw.
Hilfreich ist auch die Uni
Da kommen Teile davon dran.
-
"Rootkits - den windows kernel unterwandern"
ist bestellt
hoffentlich hilft es mir im Kampf gegen anti cheat systemen (ich will nicht cheaten, ich finde es nur unverschämt, das viele von diesen selbst noch laufen wenn das game noch läuft und sich überall hineinkopieren, daten klauen usw.)
-
ey ich will das Buch auch kaufen, es scheint aber nirgendwo mehr zum Verkauf zu stehen? Außer die Englisch version, die deutsche ist mir aber lieber. Flamefire verkaufst du deins?
-
Flamefire schrieb:
doch er hat recht. man kann den ram direkt öffnen und in seinen prozess mappen. dann hätte man auch vollzugriff.
dafür gibts nen befehl: KeAttachProcess oder so.
braucht aber auch ein handle.
wenn man noch tiefer geht, um ohne diese funktion auszukommen, wird es zu schwerDamit geht er auch nicht tiefer als Kernelmode
-
das Buch wird nicht mehr verkauft -.-
-
SSDT ist dazu doch das schlagwort... ?
schau mal hier nach, vielleicht findest etwas:
http://undocumented.rawol.com/
-
trotzdem hätte ich gerne dieses Buch gelesen.
-
Guck mal hier: http://buecher.hitmeister.de/rootkits-windows-kernel-unterwandern-greg-hoglund-819653/
Oder lads dir als englisches Ebook illegal...
-
eine Frage noch bevor ich es kaufe, klappt das auch alles unter Windows 7 normal schon oder? Patchguard ist ja nur x64 ich nutz aber x86 also sollte auch alles unter Windows 7 gehen mit rootkits und so?
-
Icematix schrieb:
Damit geht er auch nicht tiefer als Kernelmode
Nja ich meinte damit verwendet er ja nichtmal mehr die (üblichen) Kernelfunktionen
Also wenn es ein "tiefer" bei Kernelmode gibt, dann waäre das der Direktzugriff auf Arbeitsspeicher.
Erinnert mich an den einen Angriff auf die Auslagerungsdatei.
Einfach windoof zwingen, alles auszulagern und dann die Datei ändern ^^
-
Unter x64/IA64 geht es nicht mehr, da hier erstens nur zertifizierte Treiber erlaubt sind und auch sonst sehr viel getan wurde. Unter x86 mag vieles noch gehen (damit es "Abwärskompaibel" ist
).
-
dann müsste es aber auch beim anti cheat system nicht gehen^^
-
WELCHES meinst Du denn... es gibt so viele
Einige laufen nur im User-Mode... das hat dann nix mit Treibern (oder "tiefem Kernel") zu tun...
-
die rede ist hier von GameGuard...
das hookt die SSDT usw.
außerdem hookt es irgendwie Read/WriteProcessMemory im Kernel weil wenn man die user mode hooks zu den apis entfernt laufen die immernoch nicht^^
-
Nein, GameGuard ist nicht Kernelmode, installiert nur globale Hooks.
Afaik. Obwohl man das ja doch umgehen könnte.Frage: Kann ein Admin Programm aggressiv in einen Systemprozess eingreifen, der als Critical bezeichnet ist?
-
Icematrix du meinst globale Hooks mit SetWindowsHookEx ? Die können doch eh keine Api hooken xD