Вопрос Inject через driver

Focker44 · 10 Фев 2022

Крякал я чит и вдруг понял что чит в игру инджектится драйвером
Можно ли как-то перехватить инджект или сдампить драйвер для дальнейшего исследования? Длл не передается драйверу, длл сразу в драйвере, а лоудер нужен для патча драйвером дллки aka добавить хвид и ник(не точно)
Вообще хочу спросить что бы вы сделали в такой ситуации

Драйвер под vmp
Перед инджектом пишет адрес например: FFFFBC07E8400000

catahustle · 10 Фев 2022

Focker44 написал(а):
Перед инджектом пишет: FFFFBC07E8400000

кто пишет где пишет..

stripov1337 · 10 Фев 2022

показал бы хоть, кто, что пишет.

jacqueline1488 написал(а):
кто пишет где пишет..

я

Ahora_technology · 10 Фев 2022

Вот ответ:
Если используется мапнутый драйвер для инжекта,то вы,скорее всего,в выйграеше.
Просто сбросьте драйвер и посмотрите список используемых ntapi.
Если драйвер использует хук для коммуникации(например:ZwQueryAuxiliaryCounterFrequency),то ваша работа облегчается(особенно,если dll не зашифрована).
Вы можете просто сдампить dll при при передаче драйверу DLL.
После того,как вы узнали ntapi,которые используются для инжекта просто сделайте временный IAT хук на ntapi,чтобы перехватить запись в процесс и сбросьте на диск.
Если накрыт виртуализацией и нет таблицы импорта/сктрок,то тут через эмуляцию кода только изучать.
В противном случае установите хуки на известные ntapi и сбрасывайте все записи в процесс на диск.

Ahora_technology · 10 Фев 2022

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

Focker44 · 11 Фев 2022

Ahora57 написал(а):
Скрытое содержимое

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

Colortune112 · 11 Фев 2022

Focker44 написал(а):
Перед инджектом пишет адрес например: FFFFBC07E8400000

Жду когда под этой темой напишут что-то типа : Хахаха иди нахуй , не крякай меня

rayzexrj · 11 Фев 2022

Focker44 написал(а):
Крякал я чит и вдруг понял что чит в игру инджектится драйвером
Можно ли как-то перехватить инджект или сдампить драйвер для дальнейшего исследования? Длл не передается драйверу, длл сразу в драйвере, а лоудер нужен для патча драйвером дллки aka добавить хвид и ник(не точно)
Вообще хочу спросить что бы вы сделали в такой ситуации

Драйвер под vmp
Перед инджектом пишет адрес например: FFFFBC07E8400000

Хахаха иди нахуй , не крякай меня

scrux · 11 Фев 2022

Хахаха иди нахуй , не крякай меня

Colortune112 · 11 Фев 2022

scrux написал(а):
Хахаха иди нахуй , не крякай меня

platon1999 написал(а):
Хахаха иди нахуй , не крякай меня

Оригинально смешно , сука даже сообщение спастили

scrux · 11 Фев 2022

Colortune112 написал(а):
Оригинально смешно , сука даже сообщение спастили

Оригинально смешно , сука даже сообщение спастили

welc0me · 11 Фев 2022

Colortune112 написал(а):
Оригинально смешно , сука даже сообщение спастили

Оригинально смешно , сука даже сообщение спастили

Waltzing · 11 Фев 2022

Focker44 написал(а):
Длл не передается драйверу, длл сразу в драйвере

Кто-то крякает неверлуз, хехе.
Soufiw въеби ему.

Fals3R · 11 Фев 2022

зависит от того, как именно байты перемещаются в пространство памяти игры, если это читик на кску, то скорее всего какой нибудь хук на ZwAllocateVirtualMemory/ZwProtectVirtualMemory даст тебе представление в какой части памяти оказывается дллка.
Можешь ещё попробовать ExAllocatePoolWithTag, на случай, если он аллоцируется в кернел память и свапает флаг в PTE

Arting · 17 Фев 2022

Если найти передачу длл так и не получится - можешь попробовать найти главную функцию инжекта куда передаётся указатель на память голой DLLки чита и сделать дамп памяти через шеллкод (с условием что драйвер ммапится, именно при ммапе тебе и нужно менять байткод), просто в начале функции вызываешь NtCreateFile/NtWriteFile/NtClose и драйвер любезно сохранит тебе дллку на диск при инжекте. Я так когда то Desync ломал на PUBG :Jebaited: