Вопрос Entrypoint

Пользователь
Статус
Оффлайн
Регистрация
20 Янв 2022
Сообщения
182
Реакции[?]
40
Поинты[?]
25K
глупый и одновременно сложный вопрос для новичка, как найти ентрипоинт в определенном разделе памяти, например интернал чита на кс го.
P.S. вопрос в том что как найти энтрипоинт для инита чита через маппер
 
Забаненный
Статус
Оффлайн
Регистрация
9 Янв 2023
Сообщения
21
Реакции[?]
2
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Как вариант найти ентри помнт по паттерну.
Переходи в "зону чита"(если ты сдампил его, то в карте памяти ищешь это регион, правой кнопкой мыши - перейти к дизасемб.. коду) правой кнопкой мыши по любому месту -> поиск в -> текущая область -> шаблон. туда вводишь паттерн - 55 8B EC 83 7D 0C 01 75 05. если не нашлось, то до инита чита ставь бряк на GetSystemTimeAsFile и когда он сработает, то переходишь к ретёрн адресу и это твой ентри поинт (ретёрн адрес это вроде тире (-) на клаве)
 
Забаненный
Статус
Оффлайн
Регистрация
27 Ноя 2022
Сообщения
77
Реакции[?]
26
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
можешь по патерну или отлови момент вызова чита
например: Создается поток, в котором выполняется такой код
Код:
push 0
push 1
push базовый адрес региона чита
mov eax, адрес точки входа
call eax
код может и по другому выглядить, он может быть вообще без чисел, и вызываться с помощью параметров, поэтому ставь бряк на thread entry и чекай код и стек
 
Забаненный
Статус
Оффлайн
Регистрация
9 Янв 2023
Сообщения
21
Реакции[?]
2
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
можешь по патерну или отлови момент вызова чита
например: Создается поток, в котором выполняется такой код
Код:
push 0
push 1
push базовый адрес региона чита
mov eax, адрес точки входа
call eax
код может и по другому выглядить, он может быть вообще без чисел, и вызываться с помощью параметров, поэтому ставь бряк на thread entry и чекай код и стек
а если там скрытый поток или как в легендваре?
 
Забаненный
Статус
Оффлайн
Регистрация
27 Ноя 2022
Сообщения
77
Реакции[?]
26
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
а если там скрытый поток или как в легендваре?
скачай efiguard и поставь titanhide, она отлавливает эти скрытые потоки, а еще в лв ентри поинт по патерну находится
 
Последнее редактирование:
Забаненный
Статус
Оффлайн
Регистрация
9 Янв 2023
Сообщения
21
Реакции[?]
2
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Пользователь
Статус
Оффлайн
Регистрация
20 Янв 2022
Сообщения
182
Реакции[?]
40
Поинты[?]
25K
Как вариант найти ентри помнт по паттерну.
Переходи в "зону чита"(если ты сдампил его, то в карте памяти ищешь это регион, правой кнопкой мыши - перейти к дизасемб.. коду) правой кнопкой мыши по любому месту -> поиск в -> текущая область -> шаблон. туда вводишь паттерн - 55 8B EC 83 7D 0C 01 75 05. если не нашлось, то до инита чита ставь бряк на GetSystemTimeAsFile и когда он сработает, то переходишь к ретёрн адресу и это твой ентри поинт (ретёрн адрес это вроде тире (-) на клаве)
в х64 архитектуре по сигнатуре не находиться по паттерну(этот паттерн вроде для х32 бита)
 
Забаненный
Статус
Оффлайн
Регистрация
9 Янв 2023
Сообщения
21
Реакции[?]
2
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
в х64 архитектуре по сигнатуре не находиться по паттерну(этот паттерн вроде для х32 бита)
Да, ну тогда юзай тот способ который я написал ниже. Либо хукай функцию IsProcessFeature (функция которая вызывается в еп) и сделай месадж бокс с ретерн адресом
 
Забаненный
Статус
Оффлайн
Регистрация
27 Ноя 2022
Сообщения
77
Реакции[?]
26
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Да, ну тогда юзай тот способ который я написал ниже. Либо хукай функцию IsProcessFeature (функция которая вызывается в еп) и сделай месадж бокс с ретерн адресом
:joycat:
 
Забаненный
Статус
Оффлайн
Регистрация
28 Фев 2023
Сообщения
3
Реакции[?]
0
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
в лв хуета с потоками
в таком случае саня, напиши суспендер. Инжектите полностью чит, потом запускайте resmon и замораживайте процесс игры, аттачнитесь дебагером и найдите в памяти софт, обычно с правами erw и по размеру будет понятно что это читик, копируйте сайз и пишите хуйню которая будет искать сайз в памяти, и при обнаружении NtSuspend (может кому нужно будет, сайз легендвара 0x54E000 , а ep - 0x7FEACF67)
и снеси себе пк
 
Murasaki
Разработчик
Статус
Оффлайн
Регистрация
18 Мар 2020
Сообщения
431
Реакции[?]
870
Поинты[?]
206K
скачай efiguard и поставь scyllahide,
чего...... а каким боком тут efiguard нужен, если ты советуешь юзермод плагин, да и к тому же, который ещё и в детекте находится у протекторов

Для ТСа, который не любит искать ответы, решение было дано в этом треде
 
Забаненный
Статус
Оффлайн
Регистрация
27 Ноя 2022
Сообщения
77
Реакции[?]
26
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
чего...... а каким боком тут efiguard нужен, если ты советуешь юзермод плагин, да и к тому же, который ещё и в детекте находится у протекторов

Для ТСа, который не любит искать ответы, решение было дано в этом треде
не то написал, спасибо
 
Забаненный
Статус
Оффлайн
Регистрация
9 Янв 2023
Сообщения
21
Реакции[?]
2
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
в таком случае саня, напиши суспендер. Инжектите полностью чит, потом запускайте resmon и замораживайте процесс игры, аттачнитесь дебагером и найдите в памяти софт, обычно с правами erw и по размеру будет понятно что это читик, копируйте сайз и пишите хуйню которая будет искать сайз в памяти, и при обнаружении NtSuspend (может кому нужно будет, сайз легендвара 0x54E000 , а ep - 0x7FEACF67)

и снеси себе пк
шиалекс , екзен?
 
Сверху Снизу