|
Вопрос Какие методы можно использовать для защиты обнаружения длл в лоадере?
- Автор темы anfisov
- Дата начала
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 11 Май 2025
- Сообщения
- 28
- Реакции
- 3
бро, если цель сделать так, чтобы длл не палили и не сохранялась на диске, то всё рил можно сделать.
первый момент это грузи длл прямо в память. это делается через VirtualAlloc для выделения памяти и WriteProcessMemory, чтобы вписать туда код.
но если рил хочешь избавиться от любых хуков, то лучше использовать syscalls для обхода винапи, например NtCreateThreadEx вместо CreateThread.
ну и уже другой уровень грузишь всё в память и скидывать длл ток туда, не оставляя следов на диске.
ну а про хттпдебагер это просто, используй raw сокеты а не http для передачи данных тогда хттп дебагер не спалит, а если шифруешь - даже если трафик перехватят, он будет только в зашифрованом виде.
P.S. главное - меньше следов на диске и в памяти всё под контролем...
первый момент это грузи длл прямо в память. это делается через VirtualAlloc для выделения памяти и WriteProcessMemory, чтобы вписать туда код.
но если рил хочешь избавиться от любых хуков, то лучше использовать syscalls для обхода винапи, например NtCreateThreadEx вместо CreateThread.
ну и уже другой уровень грузишь всё в память и скидывать длл ток туда, не оставляя следов на диске.
ну а про хттпдебагер это просто, используй raw сокеты а не http для передачи данных тогда хттп дебагер не спалит, а если шифруешь - даже если трафик перехватят, он будет только в зашифрованом виде.
P.S. главное - меньше следов на диске и в памяти всё под контролем...
Пользователь
- Статус
- Оффлайн
- Регистрация
- 31 Май 2024
- Сообщения
- 250
- Реакции
- 38
Пользователь
Пользователь
- Статус
- Оффлайн
- Регистрация
- 6 Май 2025
- Сообщения
- 110
- Реакции
- 59
а какая разница, если create thread у тебя в конце концов вызовет nt create thread ex, а он уйдет в кернел?
человеку, который захочет взломать твой р2с, будет без разницы, используешь ли ты винапи или системный вызов
( но даже независимо от способа создания потока, у тебя в любом случае вызовется функция base thread init thunk, которую можно отследить, такой способ отлавливания потоков использует easy anti cheat )
к тому же, в прошлой строчке ты говоришь про использование virtual alloc и write process memory, а в следующей говоришь про "байпас винапи" с помощью использования системного вызова создания потока
по теме:
передача зашифрованного бинарника чита по сокетам ( с использованием SSL ), драйверный инжектор со скрытием памяти чита ( это можно сделать используя Virtual Address Descriptor / ремаппер физической памяти ( доступ к виртуальной памяти только с физической ) ), а также защищать процесс лоадера и игры, создавая process_callback и запрещать создавать хендл к процессу
Последнее редактирование:
Уникальная группа
Уникальная группа
- Статус
- Оффлайн
- Регистрация
- 24 Апр 2025
- Сообщения
- 252
- Реакции
- 94
согласен с человек выше, но лучше вместо перехода в кернел для мапа чита, раздробить его на регионы по 0x1000
а " back to back " заебал уже вставлять свои ебучие 5 копеек в каждый тред
а " back to back " заебал уже вставлять свои ебучие 5 копеек в каждый тред
Дробление юзелесс трик, только не особо умелых отпугнёт если, с кернела всё же рофлян поинтереснее будет, но автор темы скорее всего не потянет ничего из этого
Уникальная группа
Уникальная группа
- Статус
- Оффлайн
- Регистрация
- 24 Апр 2025
- Сообщения
- 252
- Реакции
- 94
с кернела тоже умелых не отпугнёт, каллбеки на защиту игры можно снять при желании, так же и ппл, либо другое говно, алсо можно в любом случае физ пейдж чита который закреплён за игрой сдампить.
Пользователь
- Статус
- Оффлайн
- Регистрация
- 31 Май 2024
- Сообщения
- 250
- Реакции
- 38
Спасибо за мнение.
Похожие темы
