Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 25 Ноя 2022
- Сообщения
- 2
- Реакции
- 0
Как драйверу спалить драйверный софт? Что делать с читом, который решил смануалмаппиться в кернел?
|
C++ ВОПРОС Как задетектить кернел софт из ring0?
- Автор темы savetypleace
- Дата начала
Пользователь
- Статус
- Оффлайн
- Регистрация
- 21 Янв 2020
- Сообщения
- 888
- Реакции
- 115
Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.
Пользователь
- Статус
- Оффлайн
- Регистрация
- 9 Июн 2020
- Сообщения
- 235
- Реакции
- 81
Искать код который выполняется в неподписанной памяти, искать кринжовые методы коммуникации, искать смешные пейджи которые никому не принадлежат но экзекьютабл, хукать функции которые могут потенциально взаимодействовать с защищаемым процессом и смотреть что их вызвало, посмотреть как это делают уже существующие ач по типу EAC/BE и спиздить их техники детекта (довольно много их реверса на уц).
EFI_COMPROMISED_DATA
- Статус
- Оффлайн
- Регистрация
- 26 Янв 2018
- Сообщения
- 948
- Реакции
- 1,625
а это как?
функции, которые взаимодействовать с защищаемым процессом ни один из перечисленных античитов не хукает
Пользователь
Пользователь
- Статус
- Оффлайн
- Регистрация
- 12 Фев 2020
- Сообщения
- 380
- Реакции
- 93
в очередной раз приколы выдал.
без базовых знаний архитектуры окон - никак
Пожалуйста, авторизуйтесь для просмотра ссылки.
для изучения - в самый раз
Пользователь
- Статус
- Оффлайн
- Регистрация
- 9 Июн 2020
- Сообщения
- 235
- Реакции
- 81
Имелось unsigned code аля в контексте
Пожалуйста, авторизуйтесь для просмотра ссылки.
, сорри за то что паршиво сформулировал.Я и не говорил что они хукают? Это впринципе не супер идея но всё-же потенциально не вижу проблемы их хукнуть и смотреть ретаддр из ф-ции? Не знаю насчёт еака/бе, я их не реверсил и в принципе не изучал если честно, но 100% знаю что некоторые ач хукают MmCopyVirtualMemory например.
Последнее редактирование:
Пользователь
- Статус
- Оффлайн
- Регистрация
- 9 Июн 2020
- Сообщения
- 235
- Реакции
- 81
Тогда уж лучше
Пожалуйста, авторизуйтесь для просмотра ссылки.
И как доп материалы
Пожалуйста, авторизуйтесь для просмотра ссылки.
т.к. то что ты скинул не имеет никакого отношения к детекту читов(?)
EFI_COMPROMISED_DATA
- Статус
- Оффлайн
- Регистрация
- 26 Янв 2018
- Сообщения
- 948
- Реакции
- 1,625
Начинающий
- Статус
- Оффлайн
- Регистрация
- 12 Ноя 2020
- Сообщения
- 132
- Реакции
- 26
Есть отдельная Вселенная в которой можно хукнутьа как ты себе это представляешь
патчгуард
Пользователь
- Статус
- Оффлайн
- Регистрация
- 9 Июн 2020
- Сообщения
- 235
- Реакции
- 81
1) Можно байпасснуть патчгвард (ач так делать не будет но всё же)а как ты себе это представляешь
патчгуард
2) IAT хуки
EFI_COMPROMISED_DATA
- Статус
- Оффлайн
- Регистрация
- 26 Янв 2018
- Сообщения
- 948
- Реакции
- 1,625
если ты сразу отбросил этот вариант, то зачем вообще упоминать его тогда?
у кого-то есть импорты в иате?
upd: алсо, драйвер то мапается до твоего античита, так что так просто ты его не поймаешь, бтвв если нормально инлайнить свои импорты в маппере, то это уже совсем в гадание на кофейной гуще превращается для античита. поэтому идея и хуйня, но как вариант ловить тупых додиков возможно не так уж и плохо
upd2: к слову, так делает на моей памяти только вангуард, не понял при чем тут бе и еак
Последнее редактирование:
Пользователь
- Статус
- Оффлайн
- Регистрация
- 9 Июн 2020
- Сообщения
- 235
- Реакции
- 81
Почему нет? Хотя нормальный ач так делать и не будет, я бы не сильно удивился если бы какой-то китайский ач так делал (т.к. даже майкрософту наверное похуй на внутренний китайский рынок) :/
Да, у кучи (хуёвых) читов.у кого-то есть импорты в иате?
upd: алсо, драйвер то мапается до твоего античита, так что так просто ты его не поймаешь, бтвв если нормально инлайнить свои импорты в маппере, то это уже совсем в гадание на кофейной гуще превращается для античита. поэтому идея и хуйня, но как вариант ловить тупых додиков возможно не так уж и плохо
upd2: к слову, так делает на моей памяти только вангуард, не понял при чем тут бе и еак
У фейсита/вангуарда ач загружается раньше твоего драйвера (если ты не через уефи маппишь).
Причём тут бе и еак? Я говорил вообще о методах детекта, просто по еаку и бе больше информации можно накопать на том-же уц чем про вангуард/фейсит/рандомный китайский ач.
Последнее редактирование:
EFI_COMPROMISED_DATA
- Статус
- Оффлайн
- Регистрация
- 26 Янв 2018
- Сообщения
- 948
- Реакции
- 1,625
если речь идет про фейсит или вангуард, то это совсем другая история
ты то в самом первом сообщении сказал о BE/EAC, поэтому я о них и говорю
к слову, если мы говорим о фейсите или вангуарде, то загрузиться до них тоже является возможным и без всяких кринже уефи бутеров, просто нужно немного пореверсить и пару чеков наебать(не буду конкретно говорить какие, но у вангуарда там прям совсем легко)
Пользователь
- Статус
- Оффлайн
- Регистрация
- 9 Июн 2020
- Сообщения
- 235
- Реакции
- 81
Это была отдельная часть предложения.
Казнить, нельзя помиловать?
А почему уефи кринж? Кроме того что с него немного неудобно бутиться, он вроде как стабильный?
EFI_COMPROMISED_DATA
- Статус
- Оффлайн
- Регистрация
- 26 Янв 2018
- Сообщения
- 948
- Реакции
- 1,625
ладно ладно прости, подушнить хотелось
EFI_COMPROMISED_DATA
- Статус
- Оффлайн
- Регистрация
- 26 Янв 2018
- Сообщения
- 948
- Реакции
- 1,625
у меня детская травма связана с разработкой уефи бутлоадера
