Prozess Speicher versteckt lesen/schreiben
-
eine Frage noch bevor ich es kaufe, klappt das auch alles unter Windows 7 normal schon oder? Patchguard ist ja nur x64 ich nutz aber x86 also sollte auch alles unter Windows 7 gehen mit rootkits und so?
-
Icematix schrieb:
Damit geht er auch nicht tiefer als Kernelmode
Nja ich meinte damit verwendet er ja nichtmal mehr die (üblichen) Kernelfunktionen
Also wenn es ein "tiefer" bei Kernelmode gibt, dann waäre das der Direktzugriff auf Arbeitsspeicher.
Erinnert mich an den einen Angriff auf die Auslagerungsdatei.
Einfach windoof zwingen, alles auszulagern und dann die Datei ändern ^^
-
Unter x64/IA64 geht es nicht mehr, da hier erstens nur zertifizierte Treiber erlaubt sind und auch sonst sehr viel getan wurde. Unter x86 mag vieles noch gehen (damit es "Abwärskompaibel" ist
).
-
dann müsste es aber auch beim anti cheat system nicht gehen^^
-
WELCHES meinst Du denn... es gibt so viele
Einige laufen nur im User-Mode... das hat dann nix mit Treibern (oder "tiefem Kernel") zu tun...
-
die rede ist hier von GameGuard...
das hookt die SSDT usw.
außerdem hookt es irgendwie Read/WriteProcessMemory im Kernel weil wenn man die user mode hooks zu den apis entfernt laufen die immernoch nicht^^
-
Nein, GameGuard ist nicht Kernelmode, installiert nur globale Hooks.
Afaik. Obwohl man das ja doch umgehen könnte.Frage: Kann ein Admin Programm aggressiv in einen Systemprozess eingreifen, der als Critical bezeichnet ist?
-
Icematrix du meinst globale Hooks mit SetWindowsHookEx ? Die können doch eh keine Api hooken xD
-
Wenn Du einen DLL in einen anderen Prozess einschleussen kannst (was ja SetWindowsHook... macht), dann kannst Du dort beliebige APIs hooken...
Das geht aber ab Vista nur im gleichen oder niedrigeneren UPI-Level..
-
jo das ist klar...
aber wie entdeckt GameGuard hooks auf die code section des game modules?
Hat der sowas wie if(0x474940 == "E9") //hook entdeckt (pseudocode)
und das auf jede Zeile ständig? Oder berechnet der ne checksum aus allen Codezeilen und vergleicht die mit der DAtenbank? Naja genau kann man es wohl nur sagen, wenn man das teil mit ida auseinander nimmt...
-
Genau
Mach kann man alles.... man muss es nicht mal "ständig" machen... es reicht ja alle paar 100 ms...
-
aber wie entdeckt GameGuard hooks auf die code section des game modules?
Hashing.
Icematrix du meinst globale Hooks mit SetWindowsHookEx ? Die können doch eh keine Api hooken xD
Doch, das wäre durchaus möglich.
und das auf jede Zeile ständig? Oder berechnet der ne checksum aus allen Codezeilen und vergleicht die mit der DAtenbank? Naja genau kann man es wohl nur sagen, wenn man das teil mit ida auseinander nimmt...
Je nach Implementierung läuft GameGuard in 2 VMs. Viel Spaß.
Gameguard ist echt eklig.
-
naja gameguard läuft erstmal nicht mit Virtuellen maschinen^^
das ist gepackt mit Themida und das zu entpacken ist eine tortur^^
-
Themida IST eine virtuelle Maschiene.
-
Themida ist ein exe protector^^
-
kernelunterwandern schrieb:
Themida ist ein exe protector^^
Der wie funktioniert? Genau, über eine virtuelle Maschiene.
Themia IST eine VM, lies dich mal etwas ein.