А то закрыли тему неожиданно....

-----------------------
Я гляжу, тут сильно Олю нахваливают. Может подскажете, аттачусь к hl.exe с внедренным в него Cheating Death client'ом 4.25.0, и усе. hl зависает, Оля зависает и только ресет поможет их снять. CD как то сечет, что запущен SoftIce, не пойму как, поэтому начал искать альтернативы, но, похоже проще будет с SIce-ом всё-таки.

| Сообщение посчитали полезным:

А ты зачем созда тему, если проще с сайсом?
ттачусь к hl.exe
К играм(крупным) не аттачатся

| Сообщение посчитали полезным:

----------------------------------------------------
Cheating Death client'ом 4.25.0
Это типа лоадер или чё? Если лоадер, он открывает прогу с привелегиями отладки и х.. ты к ней приатачишься! Я как понял ты хочешь приаттачиться к полноэкранной игре Поставь хот галку в настройках, чтобы оля стала по верх всех(все не на Оле, а Оля на всех
----------------------------------------------------

Аттач то проходит, но все нитки суспендед и не резюмятся То есть по адресному пространству ползать можно, но как в иде - статично. И иногда виснет при попытке остановить отладку.

CD - это лоадер, но после внедрения его длл в контру основной процесс можно закрывать он функциональности особой не несет. А вот та внедренная длл с закрученной функцией, которая отвечает за регистрацию клиента на серваке и она не хотит корректно работать если включен SIce.

Игру я делаю в оконном режиме, для удобства.

Дак значит Olly в этом случае не прокатит? Жаль, я думал раз уж коммерческие протекторы под ним пускают, то он смогет...

| Сообщение посчитали полезным:

ant_man пишет:
Дак значит Olly в этом случае не прокатит? Жаль, я думал раз уж коммерческие протекторы под ним пускают, то он смогет...
Комерческие протекторы почти под всем ложатся! На олю нех.. гнать - супер отладчик. Если уметь им пользоваться, тогда и HEX редактор не нужен и вообще нех не нужно...

| Сообщение посчитали полезным:

Я ж не спорю - если уметь, можно и в хекс. А если нет, то надо что-нибудь незаметно живучее, вовремя всплывающее и брякающееся где надо.
Если говорить конкретно, то надо узнать чем занимается функция той длл по адресу 0x7fe010e0 в процессе hl. Но там куча SEH, INT3, RDTSC и мож еще что. И когда запущен SoftIce ничего полезного функция не делает, что резко усложняет задачу - непонятно где копать.

А с Olly еще и умудриться надо до 0x7fe010e0 живым добраться Расскажите как

| Сообщение посчитали полезным:

ant_man пишет:
0x7fe010e0 в процессе hl.
что-то не похож этот адрес на юзеровский код. Хотя фиг знает - теоретически он в первых 2 гигах.

| Сообщение посчитали полезным:

ant_man
это системная библиотека, кернел какой-нибудь

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

ant_man
эх, вот читеров развелось =) играй честно !

| Сообщение посчитали полезным:

что вы меня пугаетиити я уж думал перегрелся на жарком уральском солнце. не, всё прально. мод кернеля 0x7c570000. а код CD 0x7fe00000 - 0x7ff92000. может это только у меня в win2000 SP4 так? не знаю. Может дело в том, что это не совсем длл, cdeath.exe мониторит процессы и инжектирует в hl cd.dll, а та, в свою очередь, грузит упакованный файл непонятной структуры cd.bin и распаковывает его уже в те адреса.

| Сообщение посчитали полезным:

Mario555 пишет:
эх, вот читеров развелось =) играй честно !

я не читерил и не собираюсь, было любопытно разобраться что за защита. а теперь, когда стало известно, что CD с софтайсом не дружит - как я буду отлаживать и играть в CS?! перезагружаться? за державу, короче, обидно.

| Сообщение посчитали полезным:

CD какой версии? Какая ОС? Под ХР с айсом CD 4.25 работает. Вчера проверил еще и с Olly - нормально аттачится.
Защита там простая - проверки кода некоторых функций hl (путем checksum), проверка кода самой CD (сравнение с оригинальным кодом, который лежит чуть выше (для адресов 0х7fexxxxx оригинальный код лежит в 0x7ffxxxxx) + checksum на этот код, ну и проверки кода, который вызывает экспортируемые энжином функции.
Впрочем, я разбирался достаточно давно (где-то с версией 4.1х), но не думаю, что там что-то кардинально поменялось.

| Сообщение посчитали полезным:

Как я уже писал,
CD 4.25.0
WIN2K ws SP4 (пробовал на сервере - тоже)

Ты как проверял, к серваку с защитой подключался? не кикает?
А в Olly после аттача процесс дальше отпускается?

| Сообщение посчитали полезным:

Да, отпускается. Только пришлось убрать бряки по эвентам (кроме int 3), иначе начинались глюки. Но я запускал HL в полноэкранном режиме; может, глюки из-за этого.
Да, с айсом я работал еще под чистой ХР (без сервис паков), а с Olly - уже под ХР SP1.
Ты как проверял, к серваку с защитой подключался? не кикает?
А что, собственно, проверять? Я защиту не отключал - гиморно все это, т.к. вычисленные checksum'ы используются в обмене между клиентской и серверной частями CD (точно не скажу, но мне так показалось).
А что нужно-то? Сэмулировать работу CD?

| Сообщение посчитали полезным:

В этом и фишка, я хочу знать как он сечет, что айс запущен. Потому что когда он это определяет, то с серваком общаться перестает, даже вычислять ответ не потрудится. У меня IceExt со всеми защитами включен - не помогает.

Проверял что он делает в SEH с DRx так

bpmb место_в_ядре_call_to_seh x do "bc1;bpmb @(esp+4*2)+1c;x;" //убрать старый бряк, поставить новый на DR7 в CONTEXT.

не словило ничего - значит, кажись с DR операций нет... че еще копнуть, реестр попробую. от MeltIce айсекст должен железно беречь...

| Сообщение посчитали полезным:

По идее, CD DRx регистры не трогает, т.к. под NT нужны права администратора, чтобы их изменить (или я ошибаюсь? Впрочем, в ring0 он точно не лезет). Можно написать небольшой драйвер, который бы перехватывал обращение к этим регистрам (аппаратно) и выводил что-нибудь
А точно CD перестает работать, может, он детектит простые точки останова на защищаемом коде (или установленные хуки)?
Могу сегодня вечером проверить.
ЗЫ Все-таки мне кажется, что айс он не детектит.

| Сообщение посчитали полезным:

я без всяких бряков в фоне держу айс - сервер кикает. без айса всё на ура.

| Сообщение посчитали полезным:

KATEHOK пишет:
DRx регистры не трогает, т.к. под NT нужны права администратора, чтобы их изменить
гыгы

| Сообщение посчитали полезным:

Mario555
Уверены, что стандартный Гость сможет получить хендл нити с правами THREAD_SET_CONTEXT? Я не уверен, что, собственно, и написал.
Или Вы знаете другой способ записи в DR регистры (не прыгая в ring0)? Или как прыгнуть в ring0 (мне под Гостем не удавалось открыть \device\physicalmemory)?

| Сообщение посчитали полезным:

KATEHOK
Дык это, SEH используй, в обработчике except_handler получишь доступ к структуре CONTEXT и можно писАть в dr регистры.

| Сообщение посчитали полезным:

KATEHOK
ну вот, Asterix меня опередил =)
пиши в структуру CONTEXT... после выхода из обработчика записанные значение окажутся в DRx.

KATEHOK пишет:
способ записи в DR регистры (не прыгая в ring0)
а там по-любому только в ринг0... просто мы может записать в структуру CONTEXT а винда там уже сама это в DRx запишет (ессно на уровне ринг0).

| Сообщение посчитали полезным:

ant_man
Все работает, с сервера не кикает.
Правда, если несколько раза вызвать айс (HL в полноэкранном режиме), начинает бажить управление

Asterix
Mario555
SEH - это, конечно, хорошо. Но разве эти регистры не уникальны для каждой нити (другими словами, они должны переписаться при переключении на другую нить)? Тогда придется как-то встраивать обработчик исключений в чужую нить (как?), суспендить ее, патчить по адресу EIP (или как-нибудь еще вызвать исключение), резюмить, и т.д. Геморрой еще тот.
Хотя у меня есть подозрение, что для ХР SP1 регистры DR одни и те же внутри каждого процесса.

| Сообщение посчитали полезным:

KATEHOK пишет:
Все работает, с сервера не кикает.
Правда, если несколько раза вызвать айс (HL в полноэкранном режиме), начинает бажить управление

Хм. Значит это только мне так "повезло".
Какой у тебя айс, чем скрываешь?

| Сообщение посчитали полезным:

KATEHOK пишет:
SEH - это, конечно, хорошо. Но разве эти регистры не уникальны для каждой нити (другими словами, они должны переписаться при переключении на другую нить)? Тогда придется как-то встраивать обработчик исключений в чужую нить (как?)

Зачем чужую нить суспендить, если айс в твоей шарит?

| Сообщение посчитали полезным:

Помнится, попадалась мне как-то утилита, которая показывала какими способами она смогла обнаружить в системе айс. Не подскажете как она зовется? Может есть что-нибудь подобное?

| Сообщение посчитали полезным:

Айс из Driver Studio 3.1 (почти полная) + IceExt 0.65. Ничем не скрываю (!protect on юзаю вручную, когда понадобится). Все работает под WinXP SP1 (rus). Osinfo.dat скачан с нумеги.

Зачем чужую нить суспендить, если айс в твоей шарит?
Ну, как там айс шарит, дело темное. Ведь если установть аппаратный бряк, например, на функцию из kernel32.dll, то брякаться будут все нити. Но, похоже, это иногда не нравится винде, и бряки не срабатывают
Как винда обрабатывает эти регистры при переключении нитей - фиг знает. Но в Win2k SP1 аппаратные точки останова действовали во всех адресных пространствах (Гунински даже эксплоит написал, который рушил lsass.exe и захватывал именованный канал), но эту проблему решили SP2 (или SP3?). Как - интересный вопрос.

Кстати, никто не в курсе, как перехватить переключение на нужную нить и как самому принудительно переключиться? Может, ссылки полезные есть

| Сообщение посчитали полезным:

ant_man пишет:
Помнится, попадалась мне как-то утилита, которая показывала какими способами она смогла обнаружить в системе айс.

Нашел, это detect.exe из пакета NtDump, но она старая. Пишет, что ничего не находит...

| Сообщение посчитали полезным:

Короче, действительно, в WinXP такой ерунды нет и активный ICE не влияет на работу защищенной функции. Надо будет еще поразбираться в чем здесь дело, если лень не одолеет
KATEHOK, thanks for advice.

PS. А имитатор CD4.25.0 получился.

| Сообщение посчитали полезным: