C++ Eac чтение памяти

[SILICASILICA]

С оффнутым еаком все работает

С включенным драйвер получает pid и BaseAddr но память судя по всему не читает, в чем может быть проблема?

    template <typename type> type ReadVirtualMemory(ULONG ProcessId, ULONGLONG ReadAddress, SIZE_T Size)
    {
        if (hDriver == INVALID_HANDLE_VALUE)
            return (type)false;

        DWORD Return, Bytes;
        KERNEL_READ_REQUEST ReadRequest;

        ReadRequest.ProcessId = ProcessId;
        ReadRequest.Address = ReadAddress;
        ReadRequest.Size = Size;

        if (DeviceIoControl(hDriver, IO_READ_REQUEST, &ReadRequest, sizeof(ReadRequest), &ReadRequest, sizeof(ReadRequest), &Bytes, 0))
            return *(type*)&ReadRequest.Response;
        else
            return (type)false;
    }

if (ControlCode == IO_READ_REQUEST)
{
    PKERNEL_READ_REQUEST ReadInput = (PKERNEL_READ_REQUEST)Irp->AssociatedIrp.SystemBuffer;
    PKERNEL_READ_REQUEST ReadOutput = (PKERNEL_READ_REQUEST)Irp->AssociatedIrp.SystemBuffer;

    PEPROCESS Process;
    if (NT_SUCCESS(PsLookupProcessByProcessId(ReadInput->ProcessId, &Process)))KeReadVirtualMemory(Process, ReadInput->Address,&ReadInput->Response, ReadInput->Size);

    Status = STATUS_SUCCESS;
    BytesIO = sizeof(KERNEL_READ_REQUEST);
}

NTSTATUS KeReadVirtualMemory(PEPROCESS Process, PVOID SourceAddress, PVOID TargetAddress, SIZE_T Size)
{
    PSIZE_T Bytes;
    if (NT_SUCCESS(MmCopyVirtualMemory(Process, SourceAddress, PsGetCurrentProcess(), TargetAddress, Size, KernelMode, &Bytes)))
        return STATUS_SUCCESS;
    else
        return STATUS_ACCESS_DENIED;
}

 

[Dimedrol]

Драйвер грузится?
Какие движения в драйвере происходят?

 

[notGLadiator]

С оффнутым еаком все работает
Посмотреть вложение 200281
С включенным драйвер получает pid и BaseAddr но память судя по всему не читает, в чем может быть проблема?
Посмотреть вложение 200282

    template <typename type> type ReadVirtualMemory(ULONG ProcessId, ULONGLONG ReadAddress, SIZE_T Size)
    {
        if (hDriver == INVALID_HANDLE_VALUE)
            return (type)false;

        DWORD Return, Bytes;
        KERNEL_READ_REQUEST ReadRequest;

        ReadRequest.ProcessId = ProcessId;
        ReadRequest.Address = ReadAddress;
        ReadRequest.Size = Size;

        if (DeviceIoControl(hDriver, IO_READ_REQUEST, &ReadRequest, sizeof(ReadRequest), &ReadRequest, sizeof(ReadRequest), &Bytes, 0))
            return *(type*)&ReadRequest.Response;
        else
            return (type)false;
    }

if (ControlCode == IO_READ_REQUEST)
{
    PKERNEL_READ_REQUEST ReadInput = (PKERNEL_READ_REQUEST)Irp->AssociatedIrp.SystemBuffer;
    PKERNEL_READ_REQUEST ReadOutput = (PKERNEL_READ_REQUEST)Irp->AssociatedIrp.SystemBuffer;

    PEPROCESS Process;
    if (NT_SUCCESS(PsLookupProcessByProcessId(ReadInput->ProcessId, &Process)))KeReadVirtualMemory(Process, ReadInput->Address,&ReadInput->Response, ReadInput->Size);

    Status = STATUS_SUCCESS;
    BytesIO = sizeof(KERNEL_READ_REQUEST);
}

NTSTATUS KeReadVirtualMemory(PEPROCESS Process, PVOID SourceAddress, PVOID TargetAddress, SIZE_T Size)
{
    PSIZE_T Bytes;
    if (NT_SUCCESS(MmCopyVirtualMemory(Process, SourceAddress, PsGetCurrentProcess(), TargetAddress, Size, KernelMode, &Bytes)))
        return STATUS_SUCCESS;
    else
        return STATUS_ACCESS_DENIED;
}

EAC, и подобные нормальные кернел-анти-читы защищают память игры.

 

[x488]

EAC, и подобные нормальные кернел-анти-читы защищают память игры.

С включенным драйвер получает

 

[SILICASILICA]

Драйвер грузится?
Какие движения в драйвере происходят?

да грузится
оффаю проверку подписи dsefix'ом, запускаю драйвер, включаю проверку подписи обратно, после этого чищу mmUnloadedDrivers и PiDDBCacheTable
что под движениями в драйвере подразумевается?

 

[Dimedrol]

что под движениями в драйвере подразумевается?

DbgPrint, смотри что внутри, с каждым шагом, проверкой.

 

[FARMx]

С оффнутым еаком все работает
Посмотреть вложение 200281
С включенным драйвер получает pid и BaseAddr но память судя по всему не читает, в чем может быть проблема?
Посмотреть вложение 200282

    template <typename type> type ReadVirtualMemory(ULONG ProcessId, ULONGLONG ReadAddress, SIZE_T Size)
    {
        if (hDriver == INVALID_HANDLE_VALUE)
            return (type)false;

        DWORD Return, Bytes;
        KERNEL_READ_REQUEST ReadRequest;

        ReadRequest.ProcessId = ProcessId;
        ReadRequest.Address = ReadAddress;
        ReadRequest.Size = Size;

        if (DeviceIoControl(hDriver, IO_READ_REQUEST, &ReadRequest, sizeof(ReadRequest), &ReadRequest, sizeof(ReadRequest), &Bytes, 0))
            return *(type*)&ReadRequest.Response;
        else
            return (type)false;
    }

if (ControlCode == IO_READ_REQUEST)
{
    PKERNEL_READ_REQUEST ReadInput = (PKERNEL_READ_REQUEST)Irp->AssociatedIrp.SystemBuffer;
    PKERNEL_READ_REQUEST ReadOutput = (PKERNEL_READ_REQUEST)Irp->AssociatedIrp.SystemBuffer;

    PEPROCESS Process;
    if (NT_SUCCESS(PsLookupProcessByProcessId(ReadInput->ProcessId, &Process)))KeReadVirtualMemory(Process, ReadInput->Address,&ReadInput->Response, ReadInput->Size);

    Status = STATUS_SUCCESS;
    BytesIO = sizeof(KERNEL_READ_REQUEST);
}

NTSTATUS KeReadVirtualMemory(PEPROCESS Process, PVOID SourceAddress, PVOID TargetAddress, SIZE_T Size)
{
    PSIZE_T Bytes;
    if (NT_SUCCESS(MmCopyVirtualMemory(Process, SourceAddress, PsGetCurrentProcess(), TargetAddress, Size, KernelMode, &Bytes)))
        return STATUS_SUCCESS;
    else
        return STATUS_ACCESS_DENIED;
}

Поставили протект память как в Rust, вроде в танках такой же античит как и в Rust

что под движениями в драйвере подразумевается?

Читает или нет, да и вообще работает дальше или просто выгружается

 

[pepe____]

Поставили протект память как в Rust, вроде в танках такой же античит как и в Rust

Читает или нет, да и вообще работает дальше или просто выгружается

раст != танки, и если бы даже их туда поставили, то челу бы возвращало что угодно, кроме нуля


копируй память в выделенный буффер в дрв, а после в юм буффер

 

[FARMx]

раст != танки, и если бы даже их туда поставили, то челу бы возвращало что угодно, кроме нуля


копируй память в выделенный буффер в дрв, а после в юм буффер

Не ноль ,но добавить протекты и танки могли, у них очень серьезно с читерством

 

[KegA]

ReadVirtualMemory

А что тебе функция то возвращает? если 0 (false) Попробуй вызвать GetLastError

 

[pepe____]

Не ноль Посмотреть вложение 200322,но добавить протекты и танки могли, у них очень серьезно с читерством

тада хз, протект добавили только в раст насколько я знаю

 

[Solik]

тада хз, протект добавили только в раст насколько я знаю

в WarThunder он есть

 

[SILICASILICA]

ридвиртуалмемори возвращает 0xcccccccc
драйвер:

    if (ControlCode == IO_READ_REQUEST)
    {
        PKERNEL_READ_REQUEST ReadInput = (PKERNEL_READ_REQUEST)Irp->AssociatedIrp.SystemBuffer;
        PKERNEL_READ_REQUEST ReadOutput = (PKERNEL_READ_REQUEST)Irp->AssociatedIrp.SystemBuffer;

        PEPROCESS Process;
        
        NTSTATUS stat = PsLookupProcessByProcessId(ReadInput->ProcessId, &Process);

        if (NT_SUCCESS(stat)) {

            NTSTATUS kestat = KeReadVirtualMemory(Process, ReadInput->Address, &ReadInput->Response, ReadInput->Size);

            if (!NT_SUCCESS(kestat)) {
                DPRINT("KeReadVirtualMemory failed status: 0x%x", kestat);
            }

        }   
        else if (!NT_SUCCESS(stat)) {

            DPRINT("PsLookupProcessByProcessId failed status: 0x%x", stat);
        }

        DbgPrintEx(0, 0, "Read Params:  %lu, %#010x \n", ReadInput->ProcessId, ReadInput->Address);
        DbgPrintEx(0, 0, "Value: %lu \n", ReadOutput->Response);

        Status = STATUS_SUCCESS;
        BytesIO = sizeof(KERNEL_READ_REQUEST);
    }

 

[SILICASILICA]

вот после ребута

 

[notGLadiator]

С включенным драйвер получает

PID и адрес модуля гетается не читая память игры.

 

[SILICASILICA]

Можете закрывать тред, проблема была в том что драйер не тот пид и бейсаддр получал