Сейчас на форуме: vsv1, NIKOLA, r0lka, johnniewalker (+4 невидимых)

 eXeL@B —› Крэки, обсуждения —› Идентифицировать хукер
Посл.ответ Сообщение

Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

 Создано: 16 декабря 2019 15:39
· Личное сообщение · #1

Что-то не могу найти старый топик по распаковщикам.
Есть строки
Error at hooking API "%S"
Dumping first %d bytes:

Судя по гуглу, встречается в некоторых играх. Подозреваю что это часть ВМП.
Еще используется шифрование строк по методу
dst[i] = ror(src[i] ^ const, i), где const для каждой строки уникальный.

-----
старый пень

Ранг: 43.1 (посетитель), 20thx
Активность: 0.160.29
Статус: Участник

 Создано: 16 декабря 2019 16:23
· Личное сообщение · #2

r_e пишет:
Error at hooking API "%S"
Dumping first %d bytes:
такие строки есть в VMP 2 и 3 версий

| Сообщение посчитали полезным: r_e


Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

 Создано: 16 декабря 2019 16:23 · Поправил: BlackCode
· Личное сообщение · #3

r_e
Можно подробнее, что конкретно хукает, какие API?
Если NtProtectVirtualMemory в том числе, то это VMP.

Да это VMP 100% только что глянул..
Code:
  1. 000007FEE7428708  45 00 72 00 72 00 6F 00 72 00 20 00 61 00 74 00  E.r.r.o.r. .a.t.  
  2. 000007FEE7428718  20 00 68 00 6F 00 6F 00 6B 00 69 00 6E 00 67 00   .h.o.o.k.i.n.g.  
  3. 000007FEE7428728  20 00 41 00 50 00 49 00 20 00 22 00 25 00 53 00   .A.P.I. .".%.S.
  4. 000007FEE7428738  22 00 0A 00 00 00 00 00 44 00 75 00 6D 00 70 00  ".......D.u.m.p.
  5. 000007FEE7428748  69 00 6E 00 67 00 20 00 66 00 69 00 72 00 73 00  i.n.g. .f.i.r.s.  
  6. 000007FEE7428758  74 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00  t. .%.d. .b.y.t.  
  7. 000007FEE7428768  65 00 73 00 3A 00 0A 00 00 00 00 00 00 00 00 00  e.s.:...........  
  8. 000007FEE7428778  25 00 30 00 32 00 58 00 0A 00 00 00 00 00 00 00  %.0.2.X.........  
  9. 000007FEE7428788  25 00 30 00 32 00 58 00 20 00 00 00 00 00 00 00  %.0.2.X. .......  


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 16 декабря 2019 19:08
· Личное сообщение · #4

r_e

Защита не должна видеть что с ней работают, никакие моды в код не допустимы. Семпл должен по тихому исполняться под надстройкой, которая следит за нужной областью; путём отслеживания исполнения, выборки. А не ловушек, где можно испортить код и получить событие, при этом сработает детект в защите.

-----
vx


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 16 декабря 2019 19:27 · Поправил: difexacaw
· Личное сообщение · #5

ELF_7719116

А в вопросе то совсем не очевидно. Давно следует забыть про все эти хуки. Контр суммой можно обнаружить активность аналитики. Вообще же посмотри это --> Link <--
Когда поймёшь как это работает, тогда вот расскажи про очевидность. И накой чёрт эти патчи.

-----
vx

Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 16 декабря 2019 19:52
· Личное сообщение · #6

difexacaw пишет:
Когда поймёшь как это работает, тогда вот расскажи про очевидность
поймёТЕ, расскажиТЕ
ТС озвучил проблему в идентефикации защиты. А vmp с примитивами read/write разбирается и патчится. Вот тогда поймете как, тогда и пишите.




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 16 декабря 2019 21:37
· Личное сообщение · #7

ELF_7719116
difexacaw
Либо пишите по теме, либо идите в оффтоп. Оба.
Ругань удалена.

-----
EnJoy!
 eXeL@B —› Крэки, обсуждения —› Идентифицировать хукер
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати