Вообщем это античит для игры CS. Хотел ее подредактировать внутри чтобы читы давала запускать, но не тут то было. W32DASM не показал ничего. Паковщик тоже мною не определен. Хотел перехватить сетевой трафик от нее и тоже нифига (использовал CommView). Softice тоже не берет, даже немогу messagebox словить.
Помогите залезть внутрь. Скачать можно здесь www.sxe-injected.com/download/sXeInjectedClient5.4.rar весит 900 kb.

| Сообщение посчитали полезным:

tigger_am
EXECryptor 2.2.x - 2.3.x
И на длл тоже

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Какой прогой узнал?

| Сообщение посчитали полезным:

tigger_am
DiE все прекрасно показывает.
Держи распакованые(распаковал онпакером RSI):
rapidshare.com/files/119536485/sXe_Injected.zip

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

tigger_am
PEiD,DiE...
Есть такие

| Сообщение посчитали полезным:

v0id2k спасибо за unpack.
Но теперь другая проблема. Запускаю ее в olly и ничего в паузу уходит и все. Запуская в W32DSM пишет
"The thread tried to read from or write to a virtual address for which it dos not have the appropriate access
At eip 9bf1e9a7
This exseption is not being handled"
и все закрытие процесса. Как победить. Там видать параллельно еще поток запускается. Помоги.

| Сообщение посчитали полезным:

sdt хуки он ставит, если снять - падает...

| Сообщение посчитали полезным:

Edmon если можно поподробнее, как их словить или увидеть где они находятся, вообщем как это сделать???

| Сообщение посчитали полезным:

юзает драйвер ddsxei.sys
хучит:

NtCreateSection
NtCreateThread
NtOpenFile
NtOpenProcess
NtProtectVirtualMemory
NtQuerySystemInformation
NtReadVirtualMemory
NtSetContextThread
NtSuspendThread
NtWriteVirtualMemory
SYSENTER /int 2E

Если переименовать драйвер и скрыть Olly под HideToolz, то прога стартует под отладчиком, но выдает сообщение: "Îøèáêà ïðè çàãðóçêå, ïîïðîáóéòå çàíîâî" и завершается.
Можно обойти, если исправить переход 00406E76 JNZ 00406F20 на JMP. Тогда прога нормально стартует (появляется окно), но через несколько секунд всплывает блокнот с записями:

2007/12/01 11:31:55 - sXe Injected starting...
2007/12/01 11:31:56 - Win XP (5.1.2600 Service Pack 2)
2007/12/01 11:31:56 - version: 5.4
2007/12/01 11:31:56 - Starting Device Driver
2007/12/01 11:31:56 - service [C:\Program Files\sXe Injected\ddsxei.sys]
2007/12/01 11:31:56 - Open manager OK
2007/12/01 11:31:56 - GetLastError(1073)(Указанная служба уже существует.)
2007/12/01 11:31:56 - Craete service error [C:\Program Files\sXe Injected\ddsxei.sys]
2007/12/01 11:31:56 - Waiting for game...
2007/12/01 11:32:06 - GetLastError(6)(Неверный дескриптор.)
2007/12/01 11:32:06 - ERROR: sending control-code (driver missing or error)
2007/12/01 11:32:06 - Control-code error
2007/12/01 11:32:06 - Sending termination code. Error [6]
2007/12/01 11:32:06 - * Termination
2007/12/01 11:32:09 - * Cleaning
2007/12/01 11:32:09 - * Stoping service
2007/12/01 11:32:09 - GetLastError(1062)(Служба не запущена.)
2007/12/01 11:32:09 - Control service error
2007/12/01 11:32:09 - * Service stopped
2007/12/01 11:32:09 - * Service deleted

и программа завершается, в принципе если ТС нужно влегкую исправить код под отладчиком, то этого достаточно, потом вернешь переход 00406E76 JNZ, и переименуешь назад драйвер.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Ты знаешь сделал как ты переименовал драйвер на "ddsxei333.sys" olly переименовал на hidetoolz.EXE изменил адрес 00406E76 JNZ 00406F20 на JMP не стартует прога опять в паузу уходит.

| Сообщение посчитали полезным:

ты не переименовывай Olly, есть прога HideToolz, она скрывает Olly из процессов

HideToolz
http://www.wasm.ru/baixado.php?mode=tool&id=390
http://www.exelab.ru/f/action=vthread&forum=1&topic=6405&p age=0

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

по второй ссылке троян определился
чето нифига в процессах прога весит sxe injected а вот окна нет. выложи свой пропатченый файл на jmp я чето совсеем запутался

| Сообщение посчитали полезным:

slip
sXe блокирует процесс hl.exe и после этого в процесс нельзя заинжектиться, убить его и т.д.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

tigger_am держи dump.ru/file_catalog/392762.aspx

tigger_am пишет:
по второй ссылке троян определился
значит качай по первой и выкинь свой антивирь

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Все скачал, щас попробую

| Сообщение посчитали полезным:

Блин и с твоей версией окна не получается, в паузу уходит olly и все тут. ХЗ.

| Сообщение посчитали полезным:

Вопрос по данной тематике, не хочется создавать новый топик:
Когда снимаю sst хуки через rku - sxe падает, так вот, какие существуют методы проверки своего sst хука, и какими методами наверняка моно их отловить?

| Сообщение посчитали полезным:

Я тоже столкнулся с такой проблемой!!!
Чтобы не создавать топик, опишу здесь, темы очень похожи
Есть один замечательный античит на КС, называется LAC.
Ну так вот эта прога написана настолько дубово, что наверно даже сам Lucifer(создатель) наверно не понял как он это сделал))
Хотелось бы чтобы запускал читы, а он вырубает любые приложения связанные с игрой!!!
Вобщем пробовал много прог, но все напрасно! может быть подскажите как сделать?

| Сообщение посчитали полезным:

Ковыряйте без запуска, сложнее а что делать

| Сообщение посчитали полезным:

v0id2k Flint распакуйте эту бяку
www.sxe-injected.com/download/sXeInjectedClient5.5.rar
заранее признателен (exe и dll plz)

| Сообщение посчитали полезным:

tigger_am

--> Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 Public Build<--

Вам в помощь

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint
А есть сам ExeCriptor?
Flint распаковал но что-то не запускается эта штука, помоги

| Сообщение посчитали полезным:

Flint есть у тебя сам упаковщик ExeCryptor?

| Сообщение посчитали полезным:

нет, поищи по форуму.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

tigger_am
(exe + dll ) -> rapidshare.com/files/121674219/sXe_Injected_u.rar.html
экзешник работает, а вот длл не знаю как проверить. думаю должна тож пахать.

| Сообщение посчитали полезным:

А как dll распаковывать?

| Сообщение посчитали полезным: