Вопрос Entrypoint

[iq_like_bread]

глупый и одновременно сложный вопрос для новичка, как найти ентрипоинт в определенном разделе памяти, например интернал чита на кс го.
P.S. вопрос в том что как найти энтрипоинт для инита чита через маппер

 

[sf1tik]

Как вариант найти ентри помнт по паттерну.
Переходи в "зону чита"(если ты сдампил его, то в карте памяти ищешь это регион, правой кнопкой мыши - перейти к дизасемб.. коду) правой кнопкой мыши по любому месту -> поиск в -> текущая область -> шаблон. туда вводишь паттерн - 55 8B EC 83 7D 0C 01 75 05. если не нашлось, то до инита чита ставь бряк на GetSystemTimeAsFile и когда он сработает, то переходишь к ретёрн адресу и это твой ентри поинт (ретёрн адрес это вроде тире (-) на клаве)

 

[no_life]

можешь по патерну или отлови момент вызова чита
например: Создается поток, в котором выполняется такой код

push 0
push 1
push базовый адрес региона чита
mov eax, адрес точки входа
call eax

код может и по другому выглядить, он может быть вообще без чисел, и вызываться с помощью параметров, поэтому ставь бряк на thread entry и чекай код и стек

 

[sf1tik]

можешь по патерну или отлови момент вызова чита
например: Создается поток, в котором выполняется такой код

push 0
push 1
push базовый адрес региона чита
mov eax, адрес точки входа
call eax

код может и по другому выглядить, он может быть вообще без чисел, и вызываться с помощью параметров, поэтому ставь бряк на thread entry и чекай код и стек

а если там скрытый поток или как в легендваре?

 

[no_life]

а если там скрытый поток или как в легендваре?

скачай efiguard и поставь titanhide, она отлавливает эти скрытые потоки, а еще в лв ентри поинт по патерну находится

 

[sf1tik]

скачай efiguard и поставь scyllahide, она отлавливает эти скрытые потоки, а еще в лв ентри поинт по патерну находится

в лв хуета с потоками

 

[iq_like_bread]

Как вариант найти ентри помнт по паттерну.
Переходи в "зону чита"(если ты сдампил его, то в карте памяти ищешь это регион, правой кнопкой мыши - перейти к дизасемб.. коду) правой кнопкой мыши по любому месту -> поиск в -> текущая область -> шаблон. туда вводишь паттерн - 55 8B EC 83 7D 0C 01 75 05. если не нашлось, то до инита чита ставь бряк на GetSystemTimeAsFile и когда он сработает, то переходишь к ретёрн адресу и это твой ентри поинт (ретёрн адрес это вроде тире (-) на клаве)

в х64 архитектуре по сигнатуре не находиться по паттерну(этот паттерн вроде для х32 бита)

 

[sf1tik]

в х64 архитектуре по сигнатуре не находиться по паттерну(этот паттерн вроде для х32 бита)

Да, ну тогда юзай тот способ который я написал ниже. Либо хукай функцию IsProcessFeature (функция которая вызывается в еп) и сделай месадж бокс с ретерн адресом

 

[no_life]

Да, ну тогда юзай тот способ который я написал ниже. Либо хукай функцию IsProcessFeature (функция которая вызывается в еп) и сделай месадж бокс с ретерн адресом

 

[EvgeniyBoh]

в лв хуета с потоками

в таком случае саня, напиши суспендер. Инжектите полностью чит, потом запускайте resmon и замораживайте процесс игры, аттачнитесь дебагером и найдите в памяти софт, обычно с правами erw и по размеру будет понятно что это читик, копируйте сайз и пишите хуйню которая будет искать сайз в памяти, и при обнаружении NtSuspend (может кому нужно будет, сайз легендвара 0x54E000 , а ep - 0x7FEACF67)

скачай efiguard

и снеси себе пк

 

[colby57]

скачай efiguard и поставь scyllahide,

чего...... а каким боком тут efiguard нужен, если ты советуешь юзермод плагин, да и к тому же, который ещё и в детекте находится у протекторов

Для ТСа, который не любит искать ответы, решение было дано в этом треде

Хотелось бы спросить как можно узнать ентрипоинт, не имея в дампе пе хедера

Сдампил чит, сам дамп без пе, начал писать маппер, аллоцировал память, пофиксил импорты, но теперь мне нужно найти ентрипоинт, но без пе, я не знаю как найти его

yougame.biz

Хотелось бы спросить как можно узнать ентрипоинт, не имея в дампе пе хедера

Сдампил чит, сам дамп без пе, начал писать маппер, аллоцировал память, пофиксил импорты, но теперь мне нужно найти ентрипоинт, но без пе, я не знаю как найти его

yougame.biz

 

[no_life]

чего...... а каким боком тут efiguard нужен, если ты советуешь юзермод плагин, да и к тому же, который ещё и в детекте находится у протекторов

Для ТСа, который не любит искать ответы, решение было дано в этом треде

Хотелось бы спросить как можно узнать ентрипоинт, не имея в дампе пе хедера

Сдампил чит, сам дамп без пе, начал писать маппер, аллоцировал память, пофиксил импорты, но теперь мне нужно найти ентрипоинт, но без пе, я не знаю как найти его

yougame.biz

Хотелось бы спросить как можно узнать ентрипоинт, не имея в дампе пе хедера

Сдампил чит, сам дамп без пе, начал писать маппер, аллоцировал память, пофиксил импорты, но теперь мне нужно найти ентрипоинт, но без пе, я не знаю как найти его

yougame.biz

не то написал, спасибо

 

[sf1tik]

в таком случае саня, напиши суспендер. Инжектите полностью чит, потом запускайте resmon и замораживайте процесс игры, аттачнитесь дебагером и найдите в памяти софт, обычно с правами erw и по размеру будет понятно что это читик, копируйте сайз и пишите хуйню которая будет искать сайз в памяти, и при обнаружении NtSuspend (может кому нужно будет, сайз легендвара 0x54E000 , а ep - 0x7FEACF67)

и снеси себе пк

шиалекс , екзен?