Prozess Speicher versteckt lesen/schreiben
-
ey ich will das Buch auch kaufen, es scheint aber nirgendwo mehr zum Verkauf zu stehen? Außer die Englisch version, die deutsche ist mir aber lieber. Flamefire verkaufst du deins?
-
Flamefire schrieb:
doch er hat recht. man kann den ram direkt öffnen und in seinen prozess mappen. dann hätte man auch vollzugriff.
dafür gibts nen befehl: KeAttachProcess oder so.
braucht aber auch ein handle.
wenn man noch tiefer geht, um ohne diese funktion auszukommen, wird es zu schwerDamit geht er auch nicht tiefer als Kernelmode
-
das Buch wird nicht mehr verkauft -.-
-
SSDT ist dazu doch das schlagwort... ?
schau mal hier nach, vielleicht findest etwas:
http://undocumented.rawol.com/
-
trotzdem hätte ich gerne dieses Buch gelesen.
-
Guck mal hier: http://buecher.hitmeister.de/rootkits-windows-kernel-unterwandern-greg-hoglund-819653/
Oder lads dir als englisches Ebook illegal...
-
eine Frage noch bevor ich es kaufe, klappt das auch alles unter Windows 7 normal schon oder? Patchguard ist ja nur x64 ich nutz aber x86 also sollte auch alles unter Windows 7 gehen mit rootkits und so?
-
Icematix schrieb:
Damit geht er auch nicht tiefer als Kernelmode
Nja ich meinte damit verwendet er ja nichtmal mehr die (üblichen) Kernelfunktionen
Also wenn es ein "tiefer" bei Kernelmode gibt, dann waäre das der Direktzugriff auf Arbeitsspeicher.
Erinnert mich an den einen Angriff auf die Auslagerungsdatei.
Einfach windoof zwingen, alles auszulagern und dann die Datei ändern ^^
-
Unter x64/IA64 geht es nicht mehr, da hier erstens nur zertifizierte Treiber erlaubt sind und auch sonst sehr viel getan wurde. Unter x86 mag vieles noch gehen (damit es "Abwärskompaibel" ist
).
-
dann müsste es aber auch beim anti cheat system nicht gehen^^
-
WELCHES meinst Du denn... es gibt so viele
Einige laufen nur im User-Mode... das hat dann nix mit Treibern (oder "tiefem Kernel") zu tun...
-
die rede ist hier von GameGuard...
das hookt die SSDT usw.
außerdem hookt es irgendwie Read/WriteProcessMemory im Kernel weil wenn man die user mode hooks zu den apis entfernt laufen die immernoch nicht^^
-
Nein, GameGuard ist nicht Kernelmode, installiert nur globale Hooks.
Afaik. Obwohl man das ja doch umgehen könnte.Frage: Kann ein Admin Programm aggressiv in einen Systemprozess eingreifen, der als Critical bezeichnet ist?
-
Icematrix du meinst globale Hooks mit SetWindowsHookEx ? Die können doch eh keine Api hooken xD
-
Wenn Du einen DLL in einen anderen Prozess einschleussen kannst (was ja SetWindowsHook... macht), dann kannst Du dort beliebige APIs hooken...
Das geht aber ab Vista nur im gleichen oder niedrigeneren UPI-Level..
-
jo das ist klar...
aber wie entdeckt GameGuard hooks auf die code section des game modules?
Hat der sowas wie if(0x474940 == "E9") //hook entdeckt (pseudocode)
und das auf jede Zeile ständig? Oder berechnet der ne checksum aus allen Codezeilen und vergleicht die mit der DAtenbank? Naja genau kann man es wohl nur sagen, wenn man das teil mit ida auseinander nimmt...
-
Genau
Mach kann man alles.... man muss es nicht mal "ständig" machen... es reicht ja alle paar 100 ms...
-
aber wie entdeckt GameGuard hooks auf die code section des game modules?
Hashing.
Icematrix du meinst globale Hooks mit SetWindowsHookEx ? Die können doch eh keine Api hooken xD
Doch, das wäre durchaus möglich.
und das auf jede Zeile ständig? Oder berechnet der ne checksum aus allen Codezeilen und vergleicht die mit der DAtenbank? Naja genau kann man es wohl nur sagen, wenn man das teil mit ida auseinander nimmt...
Je nach Implementierung läuft GameGuard in 2 VMs. Viel Spaß.
Gameguard ist echt eklig.
-
naja gameguard läuft erstmal nicht mit Virtuellen maschinen^^
das ist gepackt mit Themida und das zu entpacken ist eine tortur^^
-
Themida IST eine virtuelle Maschiene.