Prozess Speicher versteckt lesen/schreiben
-
Nein, GameGuard ist nicht Kernelmode, installiert nur globale Hooks.
Afaik. Obwohl man das ja doch umgehen könnte.Frage: Kann ein Admin Programm aggressiv in einen Systemprozess eingreifen, der als Critical bezeichnet ist?
-
Icematrix du meinst globale Hooks mit SetWindowsHookEx ? Die können doch eh keine Api hooken xD
-
Wenn Du einen DLL in einen anderen Prozess einschleussen kannst (was ja SetWindowsHook... macht), dann kannst Du dort beliebige APIs hooken...
Das geht aber ab Vista nur im gleichen oder niedrigeneren UPI-Level..
-
jo das ist klar...
aber wie entdeckt GameGuard hooks auf die code section des game modules?
Hat der sowas wie if(0x474940 == "E9") //hook entdeckt (pseudocode)
und das auf jede Zeile ständig? Oder berechnet der ne checksum aus allen Codezeilen und vergleicht die mit der DAtenbank? Naja genau kann man es wohl nur sagen, wenn man das teil mit ida auseinander nimmt...
-
Genau
Mach kann man alles.... man muss es nicht mal "ständig" machen... es reicht ja alle paar 100 ms...
-
aber wie entdeckt GameGuard hooks auf die code section des game modules?
Hashing.
Icematrix du meinst globale Hooks mit SetWindowsHookEx ? Die können doch eh keine Api hooken xD
Doch, das wäre durchaus möglich.
und das auf jede Zeile ständig? Oder berechnet der ne checksum aus allen Codezeilen und vergleicht die mit der DAtenbank? Naja genau kann man es wohl nur sagen, wenn man das teil mit ida auseinander nimmt...
Je nach Implementierung läuft GameGuard in 2 VMs. Viel Spaß.
Gameguard ist echt eklig.
-
naja gameguard läuft erstmal nicht mit Virtuellen maschinen^^
das ist gepackt mit Themida und das zu entpacken ist eine tortur^^
-
Themida IST eine virtuelle Maschiene.
-
Themida ist ein exe protector^^
-
kernelunterwandern schrieb:
Themida ist ein exe protector^^
Der wie funktioniert? Genau, über eine virtuelle Maschiene.
Themia IST eine VM, lies dich mal etwas ein.