Вопрос Driver/usermode

[honorbuddy]

Как общаются Kernel Driver и Usermode ?

 

[amoguscsgo]

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[honorbuddy]

Было бы круто узнать это из уст людей которые этим занимаются/занимались, более обобщённо , а в первую очередь, на Русском, а не чисто техническом английском))

 

[Dimedrol]

Через DeviceIOControl

 

[honorbuddy]

Через DeviceIOControl

А у них есть свои идентификационные признаки? Допустим два драйвера будет в ядре. один Юзермод,( имею ввиду что функция DeviceIOControl будет использована в обоих драйверах) юзермод будет общаться только с одним? Или с обоими

 

[eneOperIer]

Как общаются Kernel Driver и Usermode ?

 

[SILICASILICA]

иоконтрол или по сокету
почекай на гитхабе как общение между юм и ядром реализовано

А у них есть свои идентификационные признаки? Допустим два драйвера будет в ядре. один Юзермод,( имею ввиду что функция DeviceIOControl будет использована в обоих драйверах) юзермод будет общаться только с одним? Или с обоими

ктл_код отправляет если в драйверах код один и тот же то ответят два драйвера

 

[Dimedrol]

иоконтрол или по сокету
почекай на гитхабе как общение между юм и ядром реализовано

ктл_код отправляет если в драйверах код один и тот же то ответят два драйвера

Нет. При загрузке дрв, ты создаёшь имя девайса, по которому и будет общение.

 

[honorbuddy]

Спасибо всем за информацию, если кто то хочет дополнить - дополняйте, я в целом смутно, но понял, надо больше про ядро почитать и про драйвера в целом

 

[SILICASILICA]

Нет. При загрузке дрв, ты создаёшь имя девайса, по которому и будет общение.

а да я хуйню написал

 

[FARMx]

Спасибо всем за информацию, если кто то хочет дополнить - дополняйте, я в целом смутно, но понял, надо больше про ядро почитать и про драйвера в целом

IOCTL не подойдет для читов если в игре есть EAC/BE да и любой античит который в режиме ядра, он подойдет если его подписать и не делать читы. для софтов же нужна любая комуникация. все что нужно это передать структуру.

 

[SlurpTapper]

IOCTL is not suitable for cheats if the game has EAC / BE and any anti-cheat that is in kernel mode, it will work if you sign it and do not cheat. for software, any communication is needed. all you need to do is pass the structure.

То, что вы говорите, является откровенно ложной информацией, которую вы просто продолжаете распространять. IOCTL не обнаружен и никогда не обнаруживался, единственная обнаруженная вещь заключается в том, что большинство людей неправильно используют его, создавая объект драйвера, который затем используется для отправки команд и управления обработчиком устройства, но запись не вызывается напрямую и полностью выполняется вручную. отображено в памяти. Исправление состоит в том, чтобы выделить вашу память в уже доступном достаточно большом пространстве, чтобы вы не запускали обнаружение при создании/выделении пустого пространства для начала, а затем сопоставили свой драйвер внутри, а затем освободили пул. Если все это сделать до того, как служба античита даже запустится, детекции не будет.

 

[FARMx]

То, что вы говорите, является откровенно ложной информацией, которую вы просто продолжаете распространять. IOCTL не обнаружен и никогда не обнаруживался, единственная обнаруженная вещь заключается в том, что большинство людей неправильно используют его, создавая объект драйвера, который затем используется для отправки команд и управления обработчиком устройства, но запись не вызывается напрямую и полностью выполняется вручную. отображено в памяти. Исправление состоит в том, чтобы выделить вашу память в уже доступном достаточно большом пространстве, чтобы вы не запускали обнаружение при создании/выделении пустого пространства для начала, а затем сопоставили свой драйвер внутри, а затем освободили пул. Если все это сделать до того, как служба античита даже запустится, детекции не будет.

Ну юзай в чем проблема ?

 

[Vazzup]

То, что вы говорите, является откровенно ложной информацией, которую вы просто продолжаете распространять. IOCTL не обнаружен и никогда не обнаруживался, единственная обнаруженная вещь заключается в том, что большинство людей неправильно используют его, создавая объект драйвера, который затем используется для отправки команд и управления обработчиком устройства, но запись не вызывается напрямую и полностью выполняется вручную. отображено в памяти. Исправление состоит в том, чтобы выделить вашу память в уже доступном достаточно большом пространстве, чтобы вы не запускали обнаружение при создании/выделении пустого пространства для начала, а затем сопоставили свой драйвер внутри, а затем освободили пул. Если все это сделать до того, как служба античита даже запустится, детекции не будет.

Тебе в любом случае придется открывать файловый дескриптор(почитай как работает ioctl), также большинству античитов не составит труда обнаружить ссылки(указатели/джампы) на твой выделеный(зампленый) ex пул находящийся вне легитного модуля, было бы все так просто как ты описал, все бы уже давно сидели на ioctl

 

[SlurpTapper]

In any case, you will have to open a file descriptor (read how ioctl works), and it will not be difficult for most anti-cheats to detect links (pointers / jumps) to your dedicated (ampled) ex pool located outside the legitimate module, it would be as simple as you described, everyone would have been sitting on ioctl for a long time

Yes, I agree with you. By the way, the interception is even worse, it takes seconds for the anti-cheat to detect the corrupted instruction and track where the rax memory is installed, and this will directly lead to the command handler thread. Yes, I agree with you. By the way, the interception is even worse, it takes seconds for the anti-cheat to detect the corrupted instruction and track where the rax memory is installed, and this will directly lead to the command handler thread.