Вопрос Inject через driver

nop
Пользователь
Статус
Оффлайн
Регистрация
1 Ноя 2019
Сообщения
261
Реакции[?]
53
Поинты[?]
0
Крякал я чит и вдруг понял что чит в игру инджектится драйвером
Можно ли как-то перехватить инджект или сдампить драйвер для дальнейшего исследования? Длл не передается драйверу, длл сразу в драйвере, а лоудер нужен для патча драйвером дллки aka добавить хвид и ник(не точно)
Вообще хочу спросить что бы вы сделали в такой ситуации

Драйвер под vmp
Перед инджектом пишет адрес например: FFFFBC07E8400000
 
Последнее редактирование:
✊Rot Front✊
Пользователь
Статус
Оффлайн
Регистрация
2 Июл 2020
Сообщения
131
Реакции[?]
256
Поинты[?]
84K
Вот ответ:
Если используется мапнутый драйвер для инжекта,то вы,скорее всего,в выйграеше.
Просто сбросьте драйвер и посмотрите список используемых ntapi.
Если драйвер использует хук для коммуникации(например:ZwQueryAuxiliaryCounterFrequency),то ваша работа облегчается(особенно,если dll не зашифрована).
Вы можете просто сдампить dll при при передаче драйверу DLL.
После того,как вы узнали ntapi,которые используются для инжекта просто сделайте временный IAT хук на ntapi,чтобы перехватить запись в процесс и сбросьте на диск.
Если накрыт виртуализацией и нет таблицы импорта/сктрок,то тут через эмуляцию кода только изучать.
В противном случае установите хуки на известные ntapi и сбрасывайте все записи в процесс на диск.
 
nop
Пользователь
Статус
Оффлайн
Регистрация
1 Ноя 2019
Сообщения
261
Реакции[?]
53
Поинты[?]
0
Последнее редактирование:
UwU Femboy EAC coder
Забаненный
Статус
Оффлайн
Регистрация
27 Мар 2021
Сообщения
252
Реакции[?]
64
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Пользователь
Статус
Оффлайн
Регистрация
15 Апр 2021
Сообщения
224
Реакции[?]
64
Поинты[?]
0
Крякал я чит и вдруг понял что чит в игру инджектится драйвером
Можно ли как-то перехватить инджект или сдампить драйвер для дальнейшего исследования? Длл не передается драйверу, длл сразу в драйвере, а лоудер нужен для патча драйвером дллки aka добавить хвид и ник(не точно)
Вообще хочу спросить что бы вы сделали в такой ситуации

Драйвер под vmp
Перед инджектом пишет адрес например: FFFFBC07E8400000
Хахаха иди нахуй , не крякай меня
 
UwU Femboy EAC coder
Забаненный
Статус
Оффлайн
Регистрация
27 Мар 2021
Сообщения
252
Реакции[?]
64
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Забаненный
Статус
Оффлайн
Регистрация
19 Янв 2022
Сообщения
50
Реакции[?]
18
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
окряен.цц
Уникальная группа
Статус
Оффлайн
Регистрация
12 Окт 2017
Сообщения
407
Реакции[?]
179
Поинты[?]
1K
зависит от того, как именно байты перемещаются в пространство памяти игры, если это читик на кску, то скорее всего какой нибудь хук на ZwAllocateVirtualMemory/ZwProtectVirtualMemory даст тебе представление в какой части памяти оказывается дллка.
Можешь ещё попробовать ExAllocatePoolWithTag, на случай, если он аллоцируется в кернел память и свапает флаг в PTE
 
Последнее редактирование:
Разработчик
Статус
Оффлайн
Регистрация
23 Авг 2017
Сообщения
171
Реакции[?]
474
Поинты[?]
1K
Если найти передачу длл так и не получится - можешь попробовать найти главную функцию инжекта куда передаётся указатель на память голой DLLки чита и сделать дамп памяти через шеллкод (с условием что драйвер ммапится, именно при ммапе тебе и нужно менять байткод), просто в начале функции вызываешь NtCreateFile/NtWriteFile/NtClose и драйвер любезно сохранит тебе дллку на диск при инжекте. Я так когда то Desync ломал на PUBG :Jebaited:
 
Сверху Снизу