Начинающий
-
Автор темы
- #1
Как драйверу спалить драйверный софт? Что делать с читом, который решил смануалмаппиться в кернел?
|
C++ ВОПРОС Как задетектить кернел софт из ring0?
- Автор темы savetypleace
- Дата начала
kira yoshikage
Пользователь
Для просмотра содержимого вам необходимо авторизоваться.
Pa$$ter
Пользователь
Искать код который выполняется в неподписанной памяти, искать кринжовые методы коммуникации, искать смешные пейджи которые никому не принадлежат но экзекьютабл, хукать функции которые могут потенциально взаимодействовать с защищаемым процессом и смотреть что их вызвало, посмотреть как это делают уже существующие ач по типу EAC/BE и спиздить их техники детекта (довольно много их реверса на уц).
EFI_COMPROMISED_DATA
а это как?
функции, которые взаимодействовать с защищаемым процессом ни один из перечисленных античитов не хукает
Пользователь
в очередной раз приколы выдал.
без базовых знаний архитектуры окон - никак
Пожалуйста, авторизуйтесь для просмотра ссылки.
для изучения - в самый разPa$$ter
Пользователь
Имелось unsigned code аля в контексте
Пожалуйста, авторизуйтесь для просмотра ссылки.
, сорри за то что паршиво сформулировал.Я и не говорил что они хукают? Это впринципе не супер идея но всё-же потенциально не вижу проблемы их хукнуть и смотреть ретаддр из ф-ции? Не знаю насчёт еака/бе, я их не реверсил и в принципе не изучал если честно, но 100% знаю что некоторые ач хукают MmCopyVirtualMemory например.
Последнее редактирование:
Pa$$ter
Пользователь
Тогда уж лучше
Пожалуйста, авторизуйтесь для просмотра ссылки.
И как доп материалы
Пожалуйста, авторизуйтесь для просмотра ссылки.
т.к. то что ты скинул не имеет никакого отношения к детекту читов(?)
EFI_COMPROMISED_DATA
Pa$$ter
Пользователь
1) Можно байпасснуть патчгвард (ач так делать не будет но всё же)а как ты себе это представляешь
патчгуард
2) IAT хуки
EFI_COMPROMISED_DATA
если ты сразу отбросил этот вариант, то зачем вообще упоминать его тогда?
у кого-то есть импорты в иате?
upd: алсо, драйвер то мапается до твоего античита, так что так просто ты его не поймаешь, бтвв если нормально инлайнить свои импорты в маппере, то это уже совсем в гадание на кофейной гуще превращается для античита. поэтому идея и хуйня, но как вариант ловить тупых додиков возможно не так уж и плохо
upd2: к слову, так делает на моей памяти только вангуард, не понял при чем тут бе и еак
Последнее редактирование:
Pa$$ter
Пользователь
Почему нет? Хотя нормальный ач так делать и не будет, я бы не сильно удивился если бы какой-то китайский ач так делал (т.к. даже майкрософту наверное похуй на внутренний китайский рынок) :/
Да, у кучи (хуёвых) читов.у кого-то есть импорты в иате?
upd: алсо, драйвер то мапается до твоего античита, так что так просто ты его не поймаешь, бтвв если нормально инлайнить свои импорты в маппере, то это уже совсем в гадание на кофейной гуще превращается для античита. поэтому идея и хуйня, но как вариант ловить тупых додиков возможно не так уж и плохо
upd2: к слову, так делает на моей памяти только вангуард, не понял при чем тут бе и еак
У фейсита/вангуарда ач загружается раньше твоего драйвера (если ты не через уефи маппишь).
Причём тут бе и еак? Я говорил вообще о методах детекта, просто по еаку и бе больше информации можно накопать на том-же уц чем про вангуард/фейсит/рандомный китайский ач.
Последнее редактирование:
EFI_COMPROMISED_DATA
если речь идет про фейсит или вангуард, то это совсем другая история
ты то в самом первом сообщении сказал о BE/EAC, поэтому я о них и говорю
к слову, если мы говорим о фейсите или вангуарде, то загрузиться до них тоже является возможным и без всяких кринже уефи бутеров, просто нужно немного пореверсить и пару чеков наебать(не буду конкретно говорить какие, но у вангуарда там прям совсем легко)
Pa$$ter
Пользователь
Это была отдельная часть предложения.
Казнить, нельзя помиловать?
А почему уефи кринж? Кроме того что с него немного неудобно бутиться, он вроде как стабильный?
EFI_COMPROMISED_DATA
ладно ладно прости, подушнить хотелось
EFI_COMPROMISED_DATA
у меня детская травма связана с разработкой уефи бутлоадера