C++ ВОПРОС Как задетектить кернел софт из ring0?

Начинающий
Статус
Оффлайн
Регистрация
25 Ноя 2022
Сообщения
2
Реакции[?]
0
Поинты[?]
0
Как драйверу спалить драйверный софт? Что делать с читом, который решил смануалмаппиться в кернел?
 
Pa$$ter
Пользователь
Статус
Оффлайн
Регистрация
9 Июн 2020
Сообщения
241
Реакции[?]
83
Поинты[?]
12K
Как драйверу спалить драйверный софт? Что делать с читом, который решил смануалмаппиться в кернел?
Искать код который выполняется в неподписанной памяти, искать кринжовые методы коммуникации, искать смешные пейджи которые никому не принадлежат но экзекьютабл, хукать функции которые могут потенциально взаимодействовать с защищаемым процессом и смотреть что их вызвало, посмотреть как это делают уже существующие ач по типу EAC/BE и спиздить их техники детекта (довольно много их реверса на уц).
 
EFI_COMPROMISED_DATA
лучший в мире
Статус
Оффлайн
Регистрация
26 Янв 2018
Сообщения
920
Реакции[?]
1,632
Поинты[?]
85K
Пользователь
Статус
Оффлайн
Регистрация
12 Фев 2020
Сообщения
382
Реакции[?]
95
Поинты[?]
0
Искать код который выполняется в неподписанной памяти, искать кринжовые методы коммуникации, искать смешные пейджи которые никому не принадлежат но экзекьютабл, хукать функции которые могут потенциально взаимодействовать с защищаемым процессом и смотреть что их вызвало, посмотреть как это делают уже существующие ач по типу EAC/BE и спиздить их техники детекта (довольно много их реверса на уц).
в очередной раз приколы выдал.
Как драйверу спалить драйверный софт? Что делать с читом, который решил смануалмаппиться в кернел?
без базовых знаний архитектуры окон - никак
Пожалуйста, авторизуйтесь для просмотра ссылки.
для изучения - в самый раз
 
Pa$$ter
Пользователь
Статус
Оффлайн
Регистрация
9 Июн 2020
Сообщения
241
Реакции[?]
83
Поинты[?]
12K
Имелось unsigned code аля в контексте
Пожалуйста, авторизуйтесь для просмотра ссылки.
, сорри за то что паршиво сформулировал.

функции, которые взаимодействовать с защищаемым процессом ни один из перечисленных античитов не хукает
Я и не говорил что они хукают? Это впринципе не супер идея но всё-же потенциально не вижу проблемы их хукнуть и смотреть ретаддр из ф-ции? Не знаю насчёт еака/бе, я их не реверсил и в принципе не изучал если честно, но 100% знаю что некоторые ач хукают MmCopyVirtualMemory например.
 
Последнее редактирование:
Pa$$ter
Пользователь
Статус
Оффлайн
Регистрация
9 Июн 2020
Сообщения
241
Реакции[?]
83
Поинты[?]
12K
в очередной раз приколы выдал.

без базовых знаний архитектуры окон - никак
Пожалуйста, авторизуйтесь для просмотра ссылки.
для изучения - в самый раз
Тогда уж лучше
Пожалуйста, авторизуйтесь для просмотра ссылки.

И как доп материалы
Пожалуйста, авторизуйтесь для просмотра ссылки.

т.к. то что ты скинул не имеет никакого отношения к детекту читов(?)
 
EFI_COMPROMISED_DATA
лучший в мире
Статус
Оффлайн
Регистрация
26 Янв 2018
Сообщения
920
Реакции[?]
1,632
Поинты[?]
85K
EFI_COMPROMISED_DATA
лучший в мире
Статус
Оффлайн
Регистрация
26 Янв 2018
Сообщения
920
Реакции[?]
1,632
Поинты[?]
85K
1) Можно байпасснуть патчгвард (ач так делать не будет но всё же)
если ты сразу отбросил этот вариант, то зачем вообще упоминать его тогда?

у кого-то есть импорты в иате? :CoolStoryBob:
upd: алсо, драйвер то мапается до твоего античита, так что так просто ты его не поймаешь, бтвв если нормально инлайнить свои импорты в маппере, то это уже совсем в гадание на кофейной гуще превращается для античита. поэтому идея и хуйня, но как вариант ловить тупых додиков возможно не так уж и плохо
upd2: к слову, так делает на моей памяти только вангуард, не понял при чем тут бе и еак
 
Последнее редактирование:
Pa$$ter
Пользователь
Статус
Оффлайн
Регистрация
9 Июн 2020
Сообщения
241
Реакции[?]
83
Поинты[?]
12K
если ты сразу отбросил этот вариант, то зачем вообще упоминать его тогда?
Почему нет? Хотя нормальный ач так делать и не будет, я бы не сильно удивился если бы какой-то китайский ач так делал (т.к. даже майкрософту наверное похуй на внутренний китайский рынок) :/

у кого-то есть импорты в иате? :CoolStoryBob:
upd: алсо, драйвер то мапается до твоего античита, так что так просто ты его не поймаешь, бтвв если нормально инлайнить свои импорты в маппере, то это уже совсем в гадание на кофейной гуще превращается для античита. поэтому идея и хуйня, но как вариант ловить тупых додиков возможно не так уж и плохо
upd2: к слову, так делает на моей памяти только вангуард, не понял при чем тут бе и еак
Да, у кучи (хуёвых) читов.
У фейсита/вангуарда ач загружается раньше твоего драйвера (если ты не через уефи маппишь).
Причём тут бе и еак? Я говорил вообще о методах детекта, просто по еаку и бе больше информации можно накопать на том-же уц чем про вангуард/фейсит/рандомный китайский ач.
 
Последнее редактирование:
EFI_COMPROMISED_DATA
лучший в мире
Статус
Оффлайн
Регистрация
26 Янв 2018
Сообщения
920
Реакции[?]
1,632
Поинты[?]
85K
У фейсита/вангуарда ач загружается раньше твоего драйвера (если ты не через уефи маппишь).
Причём тут бе и еак?
если речь идет про фейсит или вангуард, то это совсем другая история
ты то в самом первом сообщении сказал о BE/EAC, поэтому я о них и говорю

к слову, если мы говорим о фейсите или вангуарде, то загрузиться до них тоже является возможным и без всяких кринже уефи бутеров, просто нужно немного пореверсить и пару чеков наебать(не буду конкретно говорить какие, но у вангуарда там прям совсем легко)
 
Pa$$ter
Пользователь
Статус
Оффлайн
Регистрация
9 Июн 2020
Сообщения
241
Реакции[?]
83
Поинты[?]
12K
если речь идет про фейсит или вангуард, то это совсем другая история
ты то в самом первом сообщении сказал о BE/EAC, поэтому я о них и говорю
Это была отдельная часть предложения.
Казнить, нельзя помиловать?

и без всяких кринже уефи бутеров
А почему уефи кринж? Кроме того что с него немного неудобно бутиться, он вроде как стабильный?
 
EFI_COMPROMISED_DATA
лучший в мире
Статус
Оффлайн
Регистрация
26 Янв 2018
Сообщения
920
Реакции[?]
1,632
Поинты[?]
85K
А почему уефи кринж? Кроме того что с него немного неудобно бутиться, он вроде как стабильный?
у меня детская травма связана с разработкой уефи бутлоадера
 
Сверху Снизу