Сейчас на форуме: _MBK_, Adler (+6 невидимых)

 eXeL@B —› Вопросы новичков —› Защита памяти dll от модифицирования
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

 Создано: 17 июля 2011 15:09
· Личное сообщение · #1

Есть dll ка игры. В ней реализована защита памяти. В случае модификации памяти или dll сервер отключает клиента. Так вот. Также dll ка криптована, чем неизвестно, пейд молчит. Также встроенна куча защит, и анти дебаг. Снял дамп дллки, запустил в ida. Также с помощью встроенного дебагера в Cheat Engine узнал, какая процедурка обращается почти ко всем адрессам в памяти к самой дллки.

Вот что нашел

Code:
  1. .text:0453FB5F sub_453FB5F     proc near               ; CODE XREF: sub_453E1F6+3Bp
  2. .text:0453FB5F
  3. .text:0453FB5F var_14          = dword ptr -14h
  4. .text:0453FB5F var_C           = dword ptr -0Ch
  5. .text:0453FB5F var_8           = dword ptr -8
  6. .text:0453FB5F var_4           = dword ptr -4
  7. .text:0453FB5F
  8. .text:0453FB5F ; FUNCTION CHUNK AT .text:0453EDCA SIZE 00000005 BYTES
  9. .text:0453FB5F ; FUNCTION CHUNK AT .text:0453F317 SIZE 00000009 BYTES
  10. .text:0453FB5F ; FUNCTION CHUNK AT .text:0453F760 SIZE 00000009 BYTES
  11. .text:0453FB5F ; FUNCTION CHUNK AT .text:0453F96F SIZE 0000000F BYTES
  12. .text:0453FB5F ; FUNCTION CHUNK AT .text:0454006C SIZE 0000000B BYTES
  13. .text:0453FB5F
  14. .text:0453FB5F                 shl     eax, 7
  15. .text:0453FB62                 cmp     sp, 0A624h
  16. .text:0453FB67                 shr     ecx, 19h
  17. .text:0453FB6A                 push    ebx
  18. .text:0453FB6B                 or      eax, ecx
  19. .text:0453FB6D                 mov     byte ptr [esp+4+var_4], 25h
  20. .text:0453FB71                 cmp     bh, cl
  21. .text:0453FB73                 pushf
  22. .text:0453FB74                 cmc
  23. .text:0453FB75                 xor     al, [edx]
  24. .text:0453FB77                 call    sub_453E50E
  25. .text:0453FB7C                 jmp     loc_454006C
  26. .text:0453FB7C sub_453FB5F     endp



Code:
  1. .text:0453FB75                 xor     al, [edx]
именно эта команда обращается ко всем адресам почти. в [edx] хранится адрес байта. в al мне неизвестно. Прошу помощи, подскажите, как можно обойти эту защиту. Проблема основная в том, что дллка криптована и имеет кучу ловушек и что и как мне разобраться тяжело, только учусь всему. Также если будут заинтересованные, выложу дамп дллки для ida. Так как саму игру думаю, качать проблемно. Заранее благодарен.




Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

 Создано: 17 июля 2011 17:05
· Личное сообщение · #2

на вмпрот похоже



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

 Создано: 17 июля 2011 17:12
· Личное сообщение · #3

как мне кажется, перебираются байты и проверяется чексумма, но пока что да как не пойму, как именно отключить данную проверку, либо сделать её всегда верной. Так же отследил пакеты на сервер, на сервер отправляется не самма чексумма, а данные модифицирован ли файл или нет, модифицировать сам пакет тоже не удается, он криптуется в зависимости от времени.


 eXeL@B —› Вопросы новичков —› Защита памяти dll от модифицирования
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати