Что нового?

C++ MMAP

Uldlasa
Uldlasa
Начинающий
Статус
Оффлайн
Регистрация
20 Фев 2020
Сообщения
13
Реакции[?]
4
Поинты[?]
1K
Братья славяне, есть вопрос.

Юзаю
Пожалуйста, авторизуйтесь для просмотра ссылки.
для внедрения моего DLL в процесс

Появилась такая проблема, при внедрении моего DLL в игру можно спиздить подменив функцию VirtualAllocEx и NtWriteVirtualMemory внедрив цыганский DLL в мой лоадер (пример такого вора говна -
Пожалуйста, авторизуйтесь для просмотра ссылки.
).

Пробывал создавать хуки функций VirtualAllocEx которые беэкапят оригинал, использовал их - помогло только от кражи через подмену VirtualAllocEx, NtWriteVirtualMemory я не использую :/ (как раз через него и воруется мое DLL, хз откуда у меня NtWriteVirtualMemory :NotLikeThis:)

Как можно защититься от этого?
 
mhalaider
sg
mhalaider
Участник
Статус
Оффлайн
Регистрация
15 Янв 2021
Сообщения
492
Реакции[?]
289
Поинты[?]
79K
Uldlasa написал(а):
NtWriteVirtualMemory я не использую :/ (как раз через него и воруется мое DLL, хз откуда у меня NtWriteVirtualMemory
Нажмите для раскрытия...
WriteProcessMemory вызывает NtWriteVirtualMemory.

В принципе ты можешь вызывать NtWriteVirtualMemory через syscall'ы. Это откинет половину школьных реверсеров в любом случае, к тому же, хук на NtWriteVirtualMemory не будет тригериться, так как ты её не вызываешь ( почему и как оно работает можешь найти статейки в гугле ).
 
Ahora_technology
✊Rot Front✊
Ahora_technology
Пользователь
Статус
Оффлайн
Регистрация
2 Июл 2020
Сообщения
131
Реакции[?]
256
Поинты[?]
84K
1)Использовать syscall напрямую(помните, что через
Пожалуйста, авторизуйтесь для просмотра ссылки.
вам нужно перейти в x64 code)
2)Использовать драйвер для инжекта.
Так же помните, что вашу Dll могут сдампить после инжекта с помощью прогулки по памяти(NtQueryVirtualMemory и прогулка по подозрительной памяти):
Условие ~ такое:
C++: 
if  (!(mbi.Protect & PAGE_GUARD) && !(mbi.Protect & PAGE_NOACCESS) &&
    mbi.Type == MEM_PRIVATE &&
    mbi.RegionSize > PAGE_SIZE * 3 &&
    mbi.Protect & PAGE_EXECUTE_READWRITE)//or PAGE_EXECUTE_READ
{
    //=dump suspect region
}

Даже если вы удалили PE заголовок, то не забывайте отключать создание
Пожалуйста, авторизуйтесь для просмотра ссылки.
при генерации кода т.к если у вас нет PE и при этом находится манифест, то это довольно тупая попытка скрыть Dll и CRT т.к он тоже создаёт сигнатуру.
<assembly xmlns='urn:schemas
3C 61 73 73 65 6D 62 6C 79 20 78 6D 6C 6E 73 3D 27 75 72 6E 3A 73 63 68 65 6D 61 73
P.S самое основное - сделать нерабочий дамп памяти(например,через сервер передавать адреса функций(например, копировать их в стек(посмотрите структуру того же PG,чтобы понять о чём я) и не вызывать напрямую,чтобы постепенно увеличивать неприятные моменты).
В любом случае, это игра в догонялки, где нет победителя и проигравшего окончательно
 
Uldlasa
Uldlasa
Начинающий
Статус
Оффлайн
Регистрация
20 Фев 2020
Сообщения
13
Реакции[?]
4
Поинты[?]
1K
Войдите или зарегистрируйтесь для ответа.
Похожие темы
S
Требуется услуга Injector c++
Ответы
0
Просмотры
272
shnukk
S
Rampage-
  • Закрыта
Лоадер для cs2 с привязкой к keyauth.win
Ответы
0
Просмотры
193
Rampage-
Rampage-
S
Требуется услуга Injector c++ for Game
Ответы
1
Просмотры
422
membanned
M
B
Вопрос Где взять инжектор?
Ответы
0
Просмотры
386
brending
B
D3Pz
Вопрос Injector
Ответы
6
Просмотры
639
Allah_enjoyer
Allah_enjoyer
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Сверху Снизу