2-ух факторная аундефикация + инкогнитотак и знал, что в онекряке есть RATник
Нолик а кто занимается бесплатным вт?q. Кажется что прошло не так уж и много времени, но поверьте, это было время огромных перемен.
Что изменилось:
- DumpInvoker вырос в огромный проект под названием DPT (Dump Processing Tool). (Лицензия на год от 1,5k ? ? ? )
- DPT обрёл: D2D (DumpToDLL/Из дампа в полноценную дллку без зависимостей), SmartDumper, Invoker, Терминал для управления сегментами, и многое другое. (+GUI)
- DPT на Java (JNA/JFX/Etc stuff).
Q/A (Question/Answer):
Q: Ну а как жи OneTapPatcher веть это твой праект?
A: Да. Только вот я выпускал серию тем где объяснял что OneTapPatcher перерос в DumpInvoker. С DPT я так и не смог создать тему, т.к был в бане. Просить кого-то как минимум глупо, т.к это мой проджект.
Q: А что будет дальше с OneTap? Перестанешь ним заниматься?
A: Планирую перестать. Для обновы уже есть целых 2 человека, которые делают одно и тоже. Никсер (niceiq) и чел который кидает всем фри версию. Не знаю что по рмс/стиллеров у обоих, юзабле на свой страх и риск.
Q: И как ты собираешься билдить из сырого дампа полноценную дллку?
A: Главное это то, что представляет из себя дамп: Полноценную дллку с готовыми адресами и стёртым хеадером, или же кусок рандомного абстрактного кода. Из первого можно легко собрать дллку/Вызвать дамп, из второго все куда сложнее.
Для начала тебе нужно понять что представляет из себя этот кусок абстрактного кода, возможно это просто пару функций, а возможно это полноценный сегмент.
Q: Ну у меня в этом дампе сегмент, что дальше?
A: Для обратной загрузки (:siyozna:) дампа в процесс нужно 3 вещи: IAT (Imports Address Table), RAT (Relocations Address Table), OEP (OriginalEntryPoint/DLLMain).
SmartDumper достаёт их всех если работает прямо в процессе.
И так, для чего нужен каждый из них:
1. IAT - Указывает системному загрузчику по какому оффсету лежит импорт в дллке, чтобы он заменил этот адрес на текущий адрес функи.
Пример: У нас есть функция NtLoadLibrary которая вызывается из дллки ntdll.
Задача: Как заставить системный лоадер пропатчить функцию которая лежит поверх вызова (Т.е в дллке чтобы не делать огромную простыню из оффсетов, компилятор просто закидует вызов в отдельную функцию, которые вызывают другие функции (Уж сорян за тафтологию)).
Ответ: Поместить функцию которую нужно патчить, и через которую будет проходить вызов функции из либы в IAT. Для этого нужно: указать дллку в которой лежит нужная нам функция, указать оффсет по которому лежит функция в дллке (т.е ntdll), указать где лежит функция для патча в нашей дллке.
2. RAT - Обычные релокации, юзаются чтобы указать дллке где лежат данные внутри неё.
Пример: Глобальные переменные/Внутренние функи/Динамические данные.
Задача: У нас есть переменная [offsetTo] нужно сделать так чтобы программа поняла что лежит сейчас в переменной. [offsetTo] это глобальная переменная, именно по этому нужно чтобы программа понимала что СЕЙЧАС лежит в переменной. По стандарту значение в этой переменной: 0x24.
Ответ: Глобальная переменная [offsetTo] загрузится в динамическую память, и будет изменятся 24/7, но выгрузим её мы.
И так, компилятор указал что оффсет по которому лежит значение в переменной в памяти это [Текущий базовый адрес + 0x351D].
Теперь добавляем в RAT это: Оффсет переменной в памяти - 0x351D, Значение по стандарту - 0x24, Места где используется переменная - 0x032A, 0x950E. Запускаем. Магия.
3. OEP - Обычный DLLMain. Тут даже без задачи.
Пример: Системный лоадер выгрузил дллку в память, теперь он вызовет DLLMain с аргументами, т.к в хеадере написан оффсет где лежит этот самый OEP.
Q: Нихуя не понял. У меня дамп без хеадера, тут везде написано что нужен хеадер, ты еблан?
A: Хеадер нужен для системного загрузчика, но можно и без него обойтись, если хорошенько постараться.
Чтобы получить IAT нужно просто просканировать сегмент в процессе, чтобы получить RAT нужен Zydis и OEP, и немного магии, чтобы получить OEP нужен паттерн или же рантайм.
Q: Соболезную. И что теперь делать?
A: Ждать релиза софта/Пойти поиграть с OneTap/ПРОСИТЬ У МЕНЯ ONETAPPATCHER (Этим чувакам я особенно рад).
Q: Т.е мне нужно будет покупать этот софт чтобы дампнуть чит и играть с ним без лаунчера?
A: И да, и нет. Если в чите есть VMP/Аналогичная штучка которая защищает все что только можно и мутирует код - я не помогу. Ну а по поводу покупки: Иду по стопам продавца onetap.
Q: А нахуя мне эта информация?
A: Немного инфы никогда не помешает.
P.S Нет, на зоне не насиловали.
P.P.S Стикерпак про никсера (Telegram):Пожалуйста, авторизуйтесь для просмотра ссылки.
чел может на всем на тебя похуй? ты видел дату создания темы??? ааа? удали профиль нахуйбля чел мне кажется всем на тебя тупо похуй понимаешь
Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz