Доброго времени суток. Недавно в руки попал экземпляр софта, накрытого VMProtect'ом последней версии, и собственно драйвер накрытый тем же.

1. При запуске, софт проверяет хеш сумму файла(ов), драйвера.
2. Затем запускает драйвер-службу (kernel)
3. Создаёт процесс с ограниченными правами (с уникальным SID), выключая ему все возможные привилегии на отладку и т.д.

Сам по себе софт - это лаунчер, а процесс который он создаёт - это игра.
Драйвер служит как я понимаю для того, чтобы ограничить любой доступ к игре.

Интересен сам способ ограничения всех возможных прав у ново-созданного процесса,
и тому, как их можно раз-ограничить (сделать низкого integrity level)

Потому, что с ProcessHacker и с правами System - я ничего поделать даже не могу, ни память прочитать, абсолютно ничего!(

PS: чисто в ознакомительных и образовательных целях!

| Сообщение посчитали полезным:

KVPV пишет:
чисто в ознакомительных и образовательных целях!
если нет ring-0 отладчика то можно сдампить и поизучать в иде участки дампа

| Сообщение посчитали полезным:

KVPV пишет:
чтобы ограничить любой доступ к игре
Не только, там еще функционал для юзермодной дллки для скана других процессов, детекты модификации ядра, детекты из ядра, и т.п.
Обычно используется уязвимый подписанный драйвер, чтобы замаппить свой неподписанный дров в ядро, затем выгружается уязвимый драйвер и все следы от него зачищаются, потому что античит проверяет наличие таких драйверов в системе, далее из него вы уже можете сделать дамп драйвера античита и поковырять в иде, но многое это не даст, т.к. все самое вкусное (и что не требует скорости) находится под виртуальной машиной, а ее девиртуализация совсем другой вопрос.
По большей части это все гадание на манной гуще, есть общеизвестные методы детектов, можете посмотреть на uc, так же можно посмотреть какие колбэки вешает античит через отладчик, но что конкретно там происходит без снятия вм не узнать.

-----
В облачке многоточия

| Сообщение посчитали полезным:

По поводу, как можно разграничить - свой драйвер, но только та дичь проверяет, включена ли проверка подписей, потому при оси в дебаг режиме - не запустится. А что, сколько щас за читы готовы платить, если не секрет?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

подписать драйвер - самая не серьезная проблема во всем топике.

| Сообщение посчитали полезным:

ARCHANGEL пишет: сколько щас за читы готовы платить
KVPV пишет: чисто в ознакомительных и образовательных целях!
Boostyq пишет: автор же написал что занимается благотворительностью

-----
В облачке многоточия

| Сообщение посчитали полезным:

KVPV пишет:
Интересен сам способ ограничения всех возможных прав у ново-созданного процесса
Устанавливается обработчик (ObRegisterCallbacks) на операции по работе с процессами, в этом обработчике в случае необходимости убираются разрешения на доступ к процессу.
Этот механизм появился, начиная с Висты, если вопрос про древнюю XP (что маловероятно), то там чутка другой способ, но суть таже.

Добавлено спустя 4 минуты
Gideon Vi пишет:
подписать драйвер - самая не серьезная проблема во всем топике
Можно в двух словах описать решение этой проблемы для Windows 10? Только желательно без танцев с бубном, которые описала Boostyq, и без всяких UPGDSED.

| Сообщение посчитали полезным:

user99 пишет:
Можно в двух словах описать решение этой проблемы для Windows 10?

можно даже готовой утилью, сразу после того, как закроется вопрос с vmp.

Я вообще не понимаю, зачем дампить какой-то драйвер, если нет понимания, что делать с vmp. Если понимание есть, то ещё более не понятно, зачем драйвер дампить. Мы же не руткит какой обсуждаем, где кроме дропера на руках и нет ни чего.

| Сообщение посчитали полезным:

Gideon Vi пишет:
зачем дампить какой-то драйвер, если нет понимания, что делать с vmp
а ты что не знал с час новые технологии, файл появляется в памяти процесса из неоткуда и у него даже не спрашивают разрешение, тут только дамп поможет.......

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan, шутку оценил ) в чем дамп-то поможет, vmp в процессе рассосется? )

KVPV пишет:
При запуске, софт проверяет хеш сумму файла(ов), драйвера

оставим на совести программистов, зачем там им понадобилось считать хэш дрова. Дров есть. Его не надо дампить.

я бы, кстати, рофла ради, отправил дров аверам. Если он там в x64 десятке умудряется хучить доступ к процессу, то им такое должно понравится.

| Сообщение посчитали полезным:

Gideon Vi пишет:
сразу после того, как закроется вопрос с vmp
А можно мухи отдельно, а котлеты отдельно?
У меня вопрос простой: как подписать драйвер, чтобы его можно было запустить на десятке? При этом чтобы не нужно было отключать проверку цифровых подписей в винде и не использовать способы в стиле UPGDSED. Буду благодарен за подсказку.

Gideon Vi пишет:
Если он там в x64 десятке умудряется хучить доступ к процессу
Сильно сомневаюсь, что внутри драйвера есть хуки системных функций и обход патчгварда.

| Сообщение посчитали полезным:

Гидеон и клокман опять вы порете какую-то горячку, если не шарите, то зачем?
Дамп не уберет вм, но снимет упаковку драйвера, позволит изучить незащищенные функции и лучше понять что конкретно ач делает.
Покупать подпись для дрова идиотская затея, если только это не жесткий приват для нескольких человек, иначе античит очень быстро добавит серт в базу и будет банить даже без проверки того, что там внутри.
Насчет аверов тоже бред, во первых он запускается у десятков тысяч людей, и антивирусы уже стопицо раз покрутили дров, а вообще им насрать на него т.к. он подписан ач компанией.
Хэш файлов проверяется (внезапно) чтобы не пропатчили.
И да, гидеон, твой изи метод загрузки дрова без подписи разумеется ждем, выкладывай.

-----
В облачке многоточия

| Сообщение посчитали полезным:

444

| Сообщение посчитали полезным:

Boostyq
Та тут всё ж в образовательных целях. В целях образования геморроя у античитоделов. Дампить-то смысл есть, но опять же нужен драйвер, ибо виндбг будет спален, и с ним не стартанёт. Может, есть какие-то трюки запуска чисто для дампа, когда античит уже работает?

Но про метод загрузки без подписи и без патчинга половины своей оси тоже готов послушать.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

user99 пишет:
А можно мухи отдельно, а котлеты отдельно?

нельзя. ТС сказал, что дров доступен. Поставил более-менее конкретные вопросы. бУСТИГ, в лучших традициях моторов инде (с кем сралась, от того и набралась) начала вещать на отвлеченные темы.
Я сказал, что по сравнению с разбором vmp подписать дров - ни о чем.
Меняю автоматизированную подпись твоего дрова на автоматизированную разбиралку моего vmp.

Boostyq пишет:
Дамп не уберет вм, но снимет упаковку драйвера

т.е. в vmp для тебя самое сложное - распаковать?

Boostyq пишет:
Покупать подпись для дрова идиотская затея

не предлагал

Boostyq пишет:
иначе античит очень быстро добавит серт в базу

по боку, куда он и что добавит, ты его нагибать будешь, или где. Твой серт просто отзовут.

Boostyq пишет:
И да, гидеон, твой изи метод загрузки дрова без подписи разумеется ждем, выкладывай

покажи, где я что-то писал о загрузке не подписанного дрова.

Вобщем, эта девушка сломалась. Инде, на твоей совести.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Но про метод загрузки без подписи и без патчинга половины своей оси тоже готов послушать.
+1. надо как то разбавить техническим, а то парни опять на личку уходят.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Gideon Vi пишет:
Меняю автоматизированную подпись твоего дрова на автоматизированную разбиралку моего vmp.
Хм... что-то какими-то отмазками попахивает. Причем здесь автоматизация? Если у вас рабочего способа нет (ну или у вас есть доступ к валидному сертификату), то можно просто об этом сказать, или если признаться в этом не можете, то хотя бы сослаться на секретность метода, это будет почти по-взрослому.

| Сообщение посчитали полезным:

Boostyq пишет: Дамп не уберет вм, но снимет упаковку драйвера
Gideon Vi пишет: т.е. в vmp для тебя самое сложное - распаковать?
Где связь? Если из "снять дамп чтобы увидеть хотя бы невиртуализированный код" для тебя следует "распаковка сложнее девиртуализации", то советую проверить голову, там не все дома.
С какого-то перепуга ты решил что в дрове только вм, а сам он чистенький и его не нужно распаковывать перед статическим анализом, либо ты планируешь изучать его в динамике под отладчиком, ну тогда просто земля тебе пухом.

Gideon Vi пишет: Меняю автоматизированную подпись
Грошь цена твоей ставке, мне не нужна подпись чтобы попасть в ядро.

Gideon Vi пишет: начала вещать на отвлеченные темы
Видимо ты спутал свои сообщения с моими, тс спросил про устройство ач, я объяснила как просто попасть в ядро без серта, сделать оттуда дамп чтобы получить версию без упаковки для изучения например в иде пусть и с вм, а в дальнейшем можно построить обход/скрытие через этот же канал к ядру, а вот в твоих сообщениях действительно по теме ничего нет, просто бред сумасшедшего.

Gideon Vi пишет: по боку, куда он и что добавит, ты его нагибать будешь, или где. Твой серт просто отзовут.
Что ты бл-ть несешь? У нормального античита проверки целостности под вм, он постоянно общается с сервером, а его компоненты связаны между собой. Чтобы "нагнуть" античит и оторвать его от игры или хотя бы отключить одну часть, нужно перебрать добрую его часть и сэмулировать всю связь. О таком в большинстве случаев не может идти и речи, поэтому цель это доступ и необнаруживаемость, а в таком случае функционал античита останется работать и придется мириться с блэклистом сертификатов.

Gideon Vi пишет: где я что-то писал о загрузке не подписанного дрова
Если ты не имел ввиду это, то какая польза от твоего присутствия в этой теме вообще?
Получается полезной нагрузки никакой не подразумевалось, все что ты делал это просто оспаривал мои сообщения?

-----
В облачке многоточия

| Сообщение посчитали полезным:

столько баранов
--> Link <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: bartolomeo

ClockMan пишет:
столько баранов
И ты только что пополнил их список ¯\_(ツ)_/¯
Переделывание драйвера в дллку, ах, что может быть лучше?
Сымитировать импорты, пофиксить все использования регистров, привилегированных инструкций, и других сайд эффектов.
Чтобы с горем пополам дойти до OEP и ... просто сдампить, отличное предложение, входит в топ 10 "как просрать время на ненужную ерунду".
Я уже не говорю про то, что неизвестно сработает ли это вообще с вмпротом и какими усилиями.
А потом загрузить в иду, разобраться с байпассом и внезапно понять что таки все равно нужно идти в ядро и загружать свой дров.

-----
В облачке многоточия

| Сообщение посчитали полезным:

А зачем ползать в драйвере? Запустить следует игру без драйвера и смотреть на то, как она будет ругаться, крешиться или просто искать драйвер и дальше делать вывод уже что к чему. Может окажется что проще удалить проверку на лету или написать свой эмулятор девайса.
Если же по какой-то неведомой причине в драйвер хочется залезть, ставим его в виртуалку и через удаленный отладчик (IDA +\- windbg ) смотрим чего он хочет.

| Сообщение посчитали полезным:

neprovad, если защита нормальная, то она должна из драйвера получать какую-либо ценную информацию, без которой софт работать не сможет.

neprovad пишет:
написать свой эмулятор девайса
neprovad пишет:
ставим его в виртуалку и через удаленный отладчик (IDA +\- windbg ) смотрим чего он хочет
мне кажется, что сделать это чуточку сложнее, чем написать об этом.

| Сообщение посчитали полезным:

Какой смысл давать задание по км, если весь ресурс слился на простой задаче юм.

-----
vx

| Сообщение посчитали полезным:

ARCHANGEL пишет:
А что, сколько щас за читы готовы платить, если не секрет?
Вот уж не знаю сколько приносят читы, НО: https://hackerone.com/riot/


| Сообщение посчитали полезным:

был не давно такой флудо батл
how_commercial_anti_cheats_spy_on_reverse

| Сообщение посчитали полезным:

На виксах сейчас не заработаешь, это не актуально из за системной защиты. Все пошли в читы, там порог вхождения около нулевой и крутится бабло --> Link <--

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
порог вхождения около нулевой --> Link <
Все античит системы работают в связке драйвер + vmprot(themida) там порог в хождения по 10 бальной шкале не ниже 8,плюс клиентура профи делают читы только под заказ для какого не буть крутого стримера и цена одного такого чита за бугром от 3000$

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan

Ты не представляешь сколько нужно знать для написания качественного крипта, эти все анклавы лишь мелкие детали. Читы это иная область, там кроме отладчика и гугла ничего больше не нужно, слишком просто. А ценник не связан со сложностью, он определяется спросом.

-----
vx

| Сообщение посчитали полезным:

Bronco пишет:
Но про метод загрузки без подписи и без патчинга половины своей оси тоже готов послушать.
+1. надо как то разбавить техническим, а то парни опять на личку уходят.

Если допускается покупка доп. оборудования — USB3380 или FPGA-платы в PCI-e + pcileech.
Pcileech может прогружать свой драйвер на самом низком уровне. С помощью него, в том числе, делают практически аппаратные читы для игр: https://github.com/EngineOwningSoftware/pcileech-webradar

| Сообщение посчитали полезным: bartolomeo

ValdikSS пишет:
аппаратные читы для игр > pcileech-webradar
caution, seems to be detected by ESEA and FaceIt

| Сообщение посчитали полезным: