Вопрос Какие методы можно использовать для защиты обнаружения длл в лоадере?

  • Автор темы Автор темы anfisov
  • Дата начала Дата начала
Pantheon Solutions
Пользователь
Пользователь
Статус
Оффлайн
Регистрация
31 Май 2024
Сообщения
250
Реакции
38
Просто загружать длл на комп и стирать ее после инжекта как по мне бред, ведь HTTP Debugger можно будет отследить это.
Какие есть решения для защиты?

C++ Желательно.
 
бро, если цель сделать так, чтобы длл не палили и не сохранялась на диске, то всё рил можно сделать.

первый момент это грузи длл прямо в память. это делается через VirtualAlloc для выделения памяти и WriteProcessMemory, чтобы вписать туда код.
но если рил хочешь избавиться от любых хуков, то лучше использовать syscalls для обхода винапи, например NtCreateThreadEx вместо CreateThread.

ну и уже другой уровень грузишь всё в память и скидывать длл ток туда, не оставляя следов на диске.

ну а про хттпдебагер это просто, используй raw сокеты а не http для передачи данных тогда хттп дебагер не спалит, а если шифруешь - даже если трафик перехватят, он будет только в зашифрованом виде.

P.S. главное - меньше следов на диске и в памяти всё под контролем...
 
бро, если цель сделать так, чтобы длл не палили и не сохранялась на диске, то всё рил можно сделать.

первый момент это грузи длл прямо в память. это делается через VirtualAlloc для выделения памяти и WriteProcessMemory, чтобы вписать туда код.
но если рил хочешь избавиться от любых хуков, то лучше использовать syscalls для обхода винапи, например NtCreateThreadEx вместо CreateThread.

ну и уже другой уровень грузишь всё в память и скидывать длл ток туда, не оставляя следов на диске.

ну а про хттпдебагер это просто, используй raw сокеты а не http для передачи данных тогда хттп дебагер не спалит, а если шифруешь - даже если трафик перехватят, он будет только в зашифрованом виде.

P.S. главное - меньше следов на диске и в памяти всё под контролем...


Cпасибо!
 
то лучше использовать syscalls для обхода винапи, например NtCreateThreadEx вместо CreateThread.
а какая разница, если create thread у тебя в конце концов вызовет nt create thread ex, а он уйдет в кернел?
человеку, который захочет взломать твой р2с, будет без разницы, используешь ли ты винапи или системный вызов

( но даже независимо от способа создания потока, у тебя в любом случае вызовется функция base thread init thunk, которую можно отследить, такой способ отлавливания потоков использует easy anti cheat )

к тому же, в прошлой строчке ты говоришь про использование virtual alloc и write process memory, а в следующей говоришь про "байпас винапи" с помощью использования системного вызова создания потока

по теме:

передача зашифрованного бинарника чита по сокетам ( с использованием SSL ), драйверный инжектор со скрытием памяти чита ( это можно сделать используя Virtual Address Descriptor / ремаппер физической памяти ( доступ к виртуальной памяти только с физической ) ), а также защищать процесс лоадера и игры, создавая process_callback и запрещать создавать хендл к процессу
 
Последнее редактирование:
согласен с человек выше, но лучше вместо перехода в кернел для мапа чита, раздробить его на регионы по 0x1000
а " back to back " заебал уже вставлять свои ебучие 5 копеек в каждый тред
 
Друзья, благодарю вас всех за полезные советы в треде.
Обязательно поищу дополнительную информацию о том что вы говорили.

<3
 
согласен с человек выше, но лучше вместо перехода в кернел для мапа чита, раздробить его на регионы по 0x1000
а " back to back " заебал уже вставлять свои ебучие 5 копеек в каждый тред
Дробление юзелесс трик, только не особо умелых отпугнёт если, с кернела всё же рофлян поинтереснее будет, но автор темы скорее всего не потянет ничего из этого
 
Дробление юзелесс трик, только не особо умелых отпугнёт если, с кернела всё же рофлян поинтереснее будет, но автор темы скорее всего не потянет ничего из этого
с кернела тоже умелых не отпугнёт, каллбеки на защиту игры можно снять при желании, так же и ппл, либо другое говно, алсо можно в любом случае физ пейдж чита который закреплён за игрой сдампить.
 
Дробление юзелесс трик, только не особо умелых отпугнёт если, с кернела всё же рофлян поинтереснее будет, но автор темы скорее всего не потянет ничего из этого

Спасибо за мнение.
 
Назад
Сверху Снизу