Приветствую форумчане!
Возникла идея написать свой unwrapper для игр от компании alawar. Алгоритм продумал:
1) внедряем dll в процесс и просим пользователя запустить игру (в триал режиме).
2) хукаем функцию WriteProcessMemory и получаем украденные байты OEP
Но на 2 же пункте застрял т.к не понимаю как можно хукнуть функцию и вытащить из нее данные.
Если использовать ms detours, то там можно только подменить функцию, но данные ориг. функции вытащить нельзя, или же можно, просто я чего-то не знаю? Язык на котором буду писать: c++

| Сообщение посчитали полезным:

OEP пишет:
но данные ориг. функции вытащить нельзя
Почему нельзя? Не знаю, про какой ms detours ты пишешь, написать самому не должно быть проблемой, если мышление ничто не ограничивает.

1) Ставишь джамп в обработчик своей dll
2) Смотришь аргументы: длину данных и буфер
3) Сбрасываешь данные буфера(украденные байты OEP) на диск/в пайпу/ в сокет
4) Передаёшь обратно управление, перед этим выполнив оригинальные затёртые инструкции

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
Не знаю, про какой ms detours ты пишешь
Библиотека от майкрософт, которая упрощает постановку хука

DenCoder пишет:
1) Ставишь джамп в обработчик своей dll
2) Смотришь аргументы: длину данных и буфер
3) Сбрасываешь данные буфера(украденные байты OEP) на диск/в пайпу/ в сокет
4) Передаёшь обратно управление, перед этим выполнив оригинальные затёртые инструкции
Можно пример пожалуйста, или хотя бы ссылку, где про это можно прочитать?

| Сообщение посчитали полезным:

Прочитай про WriteProcessMemory в msdn. Одним из параметров передается буфер. Так вот при хуке функции тебе нужно взять этот адрес и использовать

| Сообщение посчитали полезным:

Добавлено спустя 1 минуту
Хотя через IFEO хукать лучше

-----
IZ.RU

| Сообщение посчитали полезным:

OEP

> 2) хукаем функцию WriteProcessMemory и получаем украденные байты OEP

Просто чудесное опиание задачи, значит будем гадать, что говорят звёзды, вы кто по гороскопу лол

Тоесть есть общая функция, некая апи, которая пишет в память, а вам нужно какие то данные получить хз какие. OEP - каким образом это связано с данной апи так же хз и даже сложно представить, так до OEP исполняются не винапи механизмы.

Какой вопрос, такой и ответ.

Сформулировать чётко вопрос или задачу, от этого зависит дальнейший ход событий, ответы вам. Что вы вообще спрашиваете, похоже на поход за пищей на базар.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
OEP - каким образом это связано с данной апи так же хз и даже сложно представить
Просто ты не в теме. Алаваровский враппер - отдельное приложение, которое созрает процесс игры с флагом CREATE_SUSPENDED, восстанавливает в нем спертые с ОЕПа байты и стартует непосредственно игру. Задача у ТСа вполне внятно описана.

| Сообщение посчитали полезным:

TryAga1n

Думаете я не знаю как устроены крипторы и что такое ранпе. Тс это не описал. Задача не сформулирована.

> Просто ты не в теме.

Что значит не в теме.. я один из немногих кто именно в теме. Подумайте прежде чем писать.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Думаете я не знаю как устроены крипторы и что такое ранпе. Тс это не описал. Задача не сформулирована.

Ппц ты наркоман, да любой хоть сколь нибудь в тебе понимает задачу без дополнительной воды, с OEP затерли байты, возвращаются они записью через WriteProcessMemory, хукнуть функцию и вернуть байты на место, вся задача.

ТС, зачем тебе велосипеды, возьми готовую библиотеку, хоть тот же https://github.com/stevemk14ebr/PolyHook
посмотри параметры функции в MSDN, а после по образу и подобию примера сделай свой перехват WriteProcessMemory. Задача на минуту.

| Сообщение посчитали полезным: ARCHANGEL

А можно запустить враппер через лоадер, подождать старта игрули и читать спокойно байты, из лоадера?
Зачем усложнять?

Но что-то слыхал, там уже не применяется старый способ с краденным стартовым кодом.

| Сообщение посчитали полезным:

difexacaw пишет:
Тс это не описал. Задача не сформулирована.
OEP пишет:
unwrapper для игр от компании alawar

difexacaw пишет:
Подумайте прежде чем писать
Принято.

| Сообщение посчитали полезным:

OEP, --> Link <--
Или нужен свой велосипед?

difexacaw пишет:
Думаете я не знаю как устроены крипторы и что такое ранпе.

думаем, что ты не способен адекватно воспринимать информацию. Вероятно, последствия приёма психо-активных веществ.
Это, кстати, лечится.

| Сообщение посчитали полезным: plutos, DimitarSerg, TryAga1n, DrVB_5_6

Слыхал, что нет. Там необратимо отмирают какие-то клетки. Типа, лампочки перегорают, от повышенной напруги.

| Сообщение посчитали полезным:

difexacaw
Странно, а где советы заюзать православный IDP, GPE/GCBE или как там эта фигня называлась и накрыть это сверху VMBE2 шоб аверы не задетектили, а ну или как щадячий вариант че про Avrf не вспомнил? Чето ты совсем сдулся.

| Сообщение посчитали полезным:

обидно то, что есть люди, может и очень талантливые, со своими идеями, но от них как-то хочется держаться подальше, поскольку любая дискуссия совершенно фатально обращается в срач...
Это очень грустно, но факт.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: DenCoder, sefkrd, Gideon Vi

Gideon Vi

Ясно, окей. Хоть я и не согласен, но не важно. Просто напомню что бы вы понимали правильно - организм сам выделяет психоактивные вещества, причём которые проходят эфб(и сам мозг их выделяет) и это самые опасные вещества. Они определяют вашу мотивацию, ваш ход мыслей. Так что это мог такое утверждать и быть согласен с этим только тот, кто совсем глупый, либо у кого нет тела и этой биохимии.)

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:

Так что это мог такое утверждать и быть согласен с этим только тот

| Сообщение посчитали полезным: Gideon Vi

difexacaw
Ты компелировать зи-код то научился наконец, магл?

| Сообщение посчитали полезным:

difexacaw пишет:
Так что это мог такое утверждать и быть согласен с этим только тот, кто совсем глупый, либо у кого нет тела и этой биохимии.)

) Тю. Ты видел обычные лампочки, которые на кухне?
Подай туда не 220, а 1000 вольт, - посмотришь, что будет.
Кстати, "думалка" расходуется и в обычном режиме, - но не так быстро.



| Сообщение посчитали полезным:

dosprog

Тоесть вы видите какую то аналогию с перегоранием лампочки и работой мозга.. это походу не мне как то рассудок нужно корректировать. Тут судя по всему сплошная паталогия, вон взять #18, чел либо полный дебил, либо какой то школьник-троль малолетний

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
организм сам выделяет психоактивные вещества

Всё — яд, всё — лекарство; то и другое определяет доза (c) Сам организм себе в нормальном режиме повредить не может, иначе это уже аутоиммунное заболевание. Не твой случай.
Твой случай, вероятно, поступление психо-активных веществ извне.

dosprog пишет:
Типа, лампочки перегорают, от повышенной напруги.

Популярная теория проф. Савельева. Собственно, почему нет. Подай повышенное, но не фатальное напряжение на лампочку, или не умеренно форсируй двигатель и вот результат. Похоже, согласен.

plutos, просто попытайся смотреть на это с улыбкой. Посты difexacaw, обычно, только так и следует читать.

Берегите difexacaw, вам будет без него скучно. Уверен в этом

Alchemistry, чувак, у тебя такой прорыв говн, что закрадываются смутные подозрения о твоём нездоровом интересе к Инде. Право же, difexacaw на твоём фоне, что ромашка в детском садике.

| Сообщение посчитали полезным: plutos, sefkrd

Gideon Vi пишет:
OEP, --> Link <--
Или нужен свой велосипед?

хочу в качестве практики написать именно свой. Руками уже умею анварпить их игры, теперь хочется чего-то большего

Добавлено спустя 1 минуту
shellstorm пишет:
ТС, зачем тебе велосипеды, возьми готовую библиотеку, хоть тот же https://github.com/stevemk14ebr/PolyHook
посмотри параметры функции в MSDN, а после по образу и подобию примера сделай свой перехват WriteProcessMemory. Задача на минуту.
Спасибо! Буду пробовать!

| Сообщение посчитали полезным:

OEP пишет:
теперь хочется чего-то большего
Учись коду, и меньше "видь" Github и StackOver(подсматривай))..

| Сообщение посчитали полезным:

Gideon Vi пишет:
Берегите difexacaw, вам будет без него скучно. Уверен в этом


| Сообщение посчитали полезным:

shellstorm пишет:
ТС, зачем тебе велосипеды, возьми готовую библиотеку, хоть тот же https://github.com/stevemk14ebr/PolyHook
Что-то не получается у меня использовать данную библиотеку! VS 2012 сыпит ошибками, ссылаясь на файл polyhook.hpp.
https://b.radikal.ru/b14/1803/30/20141118455d.png

| Сообщение посчитали полезным:

OEP пишет: VS 2012 сыпит ошибками, ссылаясь на файл polyhook.hpp.

Сразу бы написали версию студии, этот архаизм не поддерживает std 11, а данная версия стандарта минимальная для сборки библиотеки.
Попробуйте альтернативы:
https://github.com/shmuelyr/CaptainHook
https://github.com/TsudaKageyu/minhook
Эти должны завестись.
Ps. Студию пора обновить, на дворе давно уже std 17.

| Сообщение посчитали полезным: plutos

shellstorm пишет:
Ps. Студию пора обновить, на дворе давно уже std 17.
Знаю! Но VS 2012 самая лучше в плане веса. Все что дальше весит уже не мыслимые размеры!
И+ под эту версию я нашёл ключ, а вот под все остальные не уверен что мне так же повезёт)

Добавлено спустя 2 минуты
А на VS 2017 PolyHook будет работать?

| Сообщение посчитали полезным:

OEP пишет: Знаю! Но VS 2012 самая лучше в плане веса.

15 весит ненамного больше, а в 17 можно выбирать , что устанавливать, не ставить весь сопутствующий хлам и размер будет нормальный, 12 сама по себе убогая, как IDE, и язык с тех пор сильно изменился, компиляторы не выбирают исходя из размера. Да, соберется.
С ключами нет проблем и сейчас есть версия visual studio community, она вообще бесплатна.
https://www.visualstudio.com/ru/thank-you-downloading-visual-studio/?sku=Community&rel=15
Если с местом совсем плохо, можно установить build tools (3 гигабайта), без IDE и к нему установить code blocks или code lite в качестве легковесной IDE.

| Сообщение посчитали полезным:

Поставил VS 2017 и она опять ругается на файл polyhook.hpp. Большинство ошибок одинаковы и говорят следующие:
https://b.radikal.ru/b38/1803/e8/4c6916c69b98t.jpg

| Сообщение посчитали полезным:

OEP
Ну так исправь в polyhook.h на:


| Сообщение посчитали полезным: