| Сейчас на форуме: NIKOLA, r0lka, johnniewalker, vsv1 (+4 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› VMProtect & Kernel-Driver & Ограниченные права у процесса |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 07 апреля 2020 12:07 · Личное сообщение · #1 Доброго времени суток. Недавно в руки попал экземпляр софта, накрытого VMProtect'ом последней версии, и собственно драйвер накрытый тем же. 1. При запуске, софт проверяет хеш сумму файла(ов), драйвера. 2. Затем запускает драйвер-службу (kernel) 3. Создаёт процесс с ограниченными правами (с уникальным SID), выключая ему все возможные привилегии на отладку и т.д. Сам по себе софт - это лаунчер, а процесс который он создаёт - это игра. Драйвер служит как я понимаю для того, чтобы ограничить любой доступ к игре. Интересен сам способ ограничения всех возможных прав у ново-созданного процесса, и тому, как их можно раз-ограничить (сделать низкого integrity level) Потому, что с ProcessHacker и с правами System - я ничего поделать даже не могу, ни память прочитать, абсолютно ничего!( PS: чисто в ознакомительных и образовательных целях!  |
|
|
Создано: 21 апреля 2020 14:00 · Личное сообщение · #2 VOLKOFF пишет: caution, seems to be detected by ESEA and FaceIt Эти анти-читы — что-то с чем-то — принимают любую подозрительную для них программу как чит. Например, игры от Activision не запускаются, если обнаруживают в системе даже просто установленную, но не запущенную, программу для обхода блокировок сайтов GoodbyeDPI: Pcileech инжектит свой драйвер так, что ОС его не видит. Софт может попробовать обнаружить платы для DMA-атак по PID/VID, но их можно подделать. |
|
|
Создано: 21 апреля 2020 18:13 · Личное сообщение · #3 difexacaw пишет: сколько нужно знать для написания качественного крипта, эти все анклавы лишь мелкие детали. Читы это иная область, там кроме отладчика и гугла ничего больше не нужно, слишком просто Жалкие вопли неудачника Хватит гнать на читоделов, если человек выбрал более перспективную нишу, а ты нет - то это только твои проблемы Помимо знаний малварщик еще должен быть готов сесть на бутылку однажды, ты это понимаешь, боишься и потому не лезешь дальше То ли эго, то ли жалко потраченного времени, но не можешь приспособиться, вот и сидишь где-то в просаке с оскалом на тех кто поднять бабла решил ----- В облачке многоточия |
|
|
Создано: 21 апреля 2020 20:12 · Личное сообщение · #4 Boostyq > человек выбрал более перспективную нишу, а ты нет - то это только твои проблемы Проблемы начинаются когда повяжут. Да боюсь. А это всё не перспективно, лучше каким нибудь чиновником быть, там удобно жить с одной извилиной в мозгу, больше ничего не требуется. ----- vx |
| << . 1 . 2 . |
|
eXeL@B —› Крэки, обсуждения —› VMProtect & Kernel-Driver & Ограниченные права у процесса |
Для печати