Руководствуясь Хоглундом и Батлером на тему перехват прерываний и исключений , написать и запустить драйвер получается но перехват не выходит, пытался перехватить как 0x04 OF так и 0x13 ошибки доступа к памяти, запускал на VB xp 32 с одним процессором, но увы, не опытность даёт знать, вот код на Си который вышел:

init.c:


IDT.c


| Сообщение посчитали полезным:

>> Ну а работа с пользовательскими модулями тривиальна - загружаем копию модуля с диска и юзаем в обход фильтров.
Ну чтобы подгрузить копии модулей, нужно же поснимать хуки с тех модулей, он же хукает LoadLibrary и прочие которые нужны чтобы обычным способом можна было инжектить. НУ а если поснимать то можна и ими самими воспользоватся и потом назад все хуки вернуть? Или я не правильно понял?

Всётаки ради интереса попробывал пропатчить дров, но во время загрузки приложения дров обновляется.

>> Дров пришлось олькой дизасмить, так как не нашёл тут иду в инструментах. Откуда её слить ?
Брал с трекера, первая ссылка по запросу "IDA pro"

| Сообщение посчитали полезным:

MickeyBlueEyes
Да всё это уже когда-то было. --> Посмотрите тут<--

--> А потом тут <--

Заодно и почитайте всю тему сначала.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: MickeyBlueEyes

MickeyBlueEyes

> чтобы подгрузить копии модулей, нужно же поснимать хуки с тех модулей, он же хукает LoadLibrary

Через LoadLibrary() вы так просто не загрузите копию, я ведь дал вам семпл. Загрузку системных модулей никто лочить не будет, потому что бессмысленно.

Зачем из ядра лезть в юзермод ?

| Сообщение посчитали полезным:

Ну как вижу, для начала сделать доступным для использования ядерное апи чтобы можна было открывать и писать в процесс. Потом идёт же стандартная загрузка dll(чита), но loadlibrary и прочее апи хукается уже самим приложением и перенаправляет всё длл фростколлектору. Дык нужно же както теперь сделать доступным использования этих апи чтобы подгружатся. Если что не правильно понял, сорь )

| Сообщение посчитали полезным:

Для того, чтобы в процесс что-то записать из ядра, можно обойтись вообще без апи. К чему весь этот цирк с перехватом исключений, непонятно.

| Сообщение посчитали полезным:

Ну записали, а дальше ж то всёрогно нада дёрнуть за апи процесса которое хукается.

| Сообщение посчитали полезным:

MickeyBlueEyes

Так а что делать то, переключакем ап через аттач и напрямую пишем.

С загрузкой хз, поробуйте lwe заюзать, там нэйтив. Поток создав или испеользуя уже созданные.

| Сообщение посчитали полезным:

Dr0p
> lwe заюзат
lwe?

Ну можна и из юмода писать и открывать, просто расширить сервисную таблицу, вписать в свободные ячейки орыганльные адреса нужных нам апи, ну и в юмоде писать переходники уже на эти номера, и использовать. Фрост патчит таблицу, функции целые.

Archer
> К чему весь этот цирк с перехватом исключений, непонятно
Просто читал и пытался применить на практике, и походу возникали новые идеи, ну и щас клубок розматался что к исключениям и прерываниям дело это практические не имеет.

| Сообщение посчитали полезным:

MickeyBlueEyes

Из юзермода можно писать через стандартные сервисы, без извратов. Как открыть процесс я вам сказал.

lwe - загрузчик из памяти. Передаёте ему для загрузки образ тестовой дллки и смотрите что произойдёт.

Я уверен что детекта не будет, так как мотор сей использует восстановленный с диска нэйтив.

| Сообщение посчитали полезным:

> lwe - загрузчик из памяти.
Как росшифровать или дать правильно гуглу понять )

| Сообщение посчитали полезным:

Loader Wrapper Engine.

053e_25.01.2014_EXELAB.rU.tgz - lwe.zip

| Сообщение посчитали полезным:

У меня вопрос к MickeyBlueEyes. Вот вы пишете здесь про перехваты, а если представим, что их нет. И тогда вам ничего не мешает записать желаемые значения в адресное пространство игры. Но что вы будете туда писать, вы уже определились с этим?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL

Чит будет загружать(dll) - #5.5; запись вероятно нужна для инжекта оной дллки.

| Сообщение посчитали полезным:

Dr0p
Откуда уверенность, что эта длл заработает? Откуда вообще взялась эта длл? И почему тот, кто её сделал, не удосужился сделать модуль, который её грузит и выложить, иначе как проверить, что она вообще работает?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL

Это левый чит, античит - общая защита от читов. Вот он и не даёт инжектнуть чит в защищаемый процесс. Знаю с лаба чувака, давно помогал ему античит пилить(маяк вроде). Туда пихают защиту от всего подрят, всёравно что хипс

| Сообщение посчитали полезным:

ARCHANGEL
> Но что вы будете туда писать, вы уже определились с этим?

Ну как писать шел для LoadLibrary и CreateRemoteThread.

| Сообщение посчитали полезным:

MickeyBlueEyes

Ну что там с загрузкой вышло, сколько ждать можно..

| Сообщение посчитали полезным:

> Ну что там с загрузкой вышло, сколько ждать можно..
Lwe слишком тяжелая хрень для меня вышла, пока я в ней не розберусь. Благодаря вам и так уже знаю куда копать, сеня ночью подгружу да както )
................
Вышло подгрузится, востановил апи процесса и СДТ, и готово. Но проверят он хуки апи юмода, ктобы сомневался, и потом выкидывает. Так шо прийдётся писать трапы для нужного мне апи, скрывать либу и гуд.

| Сообщение посчитали полезным:

MickeyBlueEyes

> Lwe слишком тяжелая хрень для меня

Куда ещё проще. Линкуете обьектник, либо подключаете дамп(сдампите из экзешника). Вызываете LWE() - это начало мотора передавая аргументы через стек и вызываемый сервис LWE_LOAD_DLL в rEax. В аргументах:



> прийдётся писать трапы

Какие трапы ?

| Сообщение посчитали полезным:

> Куда ещё проще
Значить так показалось
> Какие трапы ?
Ну как пишу в ап процесса, орыгинальные 5 байт хученых апи, и сразу за ними jmp на апи+5 байт, и должно по идеи всё выполнятся хорошо.

| Сообщение посчитали полезным:

MickeyBlueEyes

> должно по идеи всё выполнятся хорошо.

Не нужны вам эти ваши идеи. Так ничего не делается. Что вышло с загрузкой ?

Трап это тип исключения, ещё этим сами вектора называют и фреймы. Вы наверно имели ввиду траблы"

| Сообщение посчитали полезным:

> Трап это тип исключения, ещё этим сами вектора называют и фреймы. Вы наверно имели ввиду траблы"
Нет то я их так назвал, от слова "трамплин" ))) Сразу выполняется орыгинальные 5 байт, затем прижок на остальную не хученую функцию.
> Что вышло с загрузкой ?
У меня токо утро началось) пока ещё не добрался.
........................................................................
Решил все проблемы через перехват sysenter, ну и потом проксирую на не хученое апи и всё работает )

| Сообщение посчитали полезным:

MickeyBlueEyes

Так это же нубский метод, вручную апишки забивать, обрабатывать, нэйтив портить..

Загрузка прошла или нет моим мотором, мне интересно.

И с патчем шлюза вы явно хотите нас обдурить, ибо необходима маршрутизация из апи, которую вы реализовать не сможите

| Сообщение посчитали полезным:

> Так это же нубский метод, вручную апишки забивать, обрабатывать, нэйтив портить..
Почему, просто делаю копию таблици, и перенаправляю всё что нужно на копию.
> Загрузка прошла или нет моим мотором, мне интересно.
Пока не пробывал, но обязательно испытаю и отпишу.
> И с патчем шлюза вы явно хотите нас обдурить, ибо необходима маршрутизация из апи, которую вы реализовать не сможите.
Ну перехватил да, по логике вроде бы ничего особенного, всё должно заработать. Дурить не хотел, ну я попробую.
.................
Добавлю, ну если не извратами, то как ещё защиты обходить, если опыт в крекерстве никакой.
По поводу хакшилда, то там всё что касается игры упаковано в 23гб файл, и покрыт темидой. Открыл винхексом, сразу видно PE заголовок. Запустил поиск по файлу вбил "This program cannot" чтобы найти сколько dll там есть, то порядка 100 штук нашёл, дальше сканить не стал долго, та и смысла нету. Наверное стоит в Вад покопатся? Есть смысл?

| Сообщение посчитали полезным:

Вот мне интересно, откуда модули возьмутся в ваде, если их грузить вручную? А если их просто грузят из оверлея (а именно так, похоже, и происходит), иначе как объяснить 23 Гб ехе, когда х86 позволяет 4 Гб виртуальной памяти процессу иметь, из которых 2 будут ядерные на большинстве машин. Так вот если грузить из оверлея, то вполне могут и грузить не вручную, а стандартным LoadLibrary, тогда тот же RkU покажет эти модули, даже будь они скрыты из РЕВ.

Отсюда мораль - вряд ли стоит смотреть VAD.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: MickeyBlueEyes

> иначе как объяснить 23 Гб ехе,
Не exe нормального размера, просто рядом лежит запакованый файл размером 23гб.
> Так вот если грузить из оверлея
Оверлея? в 2х словах плс

| Сообщение посчитали полезным:

Да не важен в вашей задаче оверлей, тем более, что его там, похоже, не используют. Просто вы так написали - 23 Гб ехе. Нехилый ехе. А вон оно как.

Я просто знаю, чем закончится этот топик. Ну, предположим, найдёте вы способ грузить свой код. А что дальше? Есть одна книга, я вам её сейчас прикреплю. Там более-мене подробно описывается процесс разработки чита для WoW. Как вы считаете - оно того стоит?

--> Exploiting online games<--

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

> Как вы считаете - оно того стоит?
Ну каждый своей дорогой ходит и доходит, надо же на чём-то тренироваться. Вот и взял руля в эту сторону.
> Посмотрел я всёровно в Rku и прочих, то даже никакого списке не отображает ) Типо не доступен из UserMode пишет, ну он сплайсит NtOpenProcess, и прочьи, так что нада предварительно всё поснимать. Ну всёрогно уж гляну чтобы спалось спокойней.
А за книгу благодарю, щас ознакомлюсь.
...........................................................
Это бред, почему я немогу росширить таблицу и сделать копию некоторых апи Nt* и просто менять значения eax на новое и чтобы работало, у винды что там ещё какаято системная инфа?

| Сообщение посчитали полезным:

MickeyBlueEyes

> если не извратами, то как ещё защиты обходить

Сказал же, исполнять код в копии проекции.

> Наверное стоит в Вад покопатся?

Выдёргиваем понятия из потока инфы ?

> NtOpenProcess

Его фильтр снимать не нужно, вы читаете вообще что я пишу ?

| Сообщение посчитали полезным:

> Выдёргиваем понятия из потока инфы ?
Не понял
> Его фильтр снимать не нужно, вы читаете вообще что я пишу ?
Да, конешно, но вещи которыми вам кажутся лёгкими и доступными, то для меня всё сложно. И просветление приходит чуть пожжа.

| Сообщение посчитали полезным: