Вопрос Читы растми RUSTME

[cristinel]

Добрый день всем, я начал сеичас кодить чит на RustMe Launcher и столкнулся с ряду ограничений, кто может помочь, советом, кодом или ресурсы в которых могу найти полезную информацию. Если кратко, я начал писать сам чит на с++ на опенгл хуках получилось даже достаточно хорошии есп и аим, но как будто не то что ишю + я так понимаю античит детектит быстро и нужно самому придумать как хукать, все решении из инета уже фикшены. Я так понимаю можно сканировать игру как-то через JNI и вытащить классы потом можно делать ектернал чит. Просто идея в том что я мало работал с памятью чтоб понять что я делаю не так. Java знаю только на среднем уровне, касательно с++ работаю с ним более 4х лет. Я только начал изучать как работает JVM и как пользоваться JVI но мне как будто чтото не хватает, я попробовал через Cheat Engine искать поинтеры координаты в игру даже это не получилось, хотя теоретически понял почему. А сеичас как будто сижу на одном месте несколько дней и не могу понять с чем начать. Даже начинаю думать чтоб писать свой драивер kernel ring 0 и ексткрнал который будет обращаться к нему. Пожалуйста кто знает, любая информация в данный момент для меня ценная



(Извиняюсь сразу за мой русский язык. Я не русскоговорящий Учил его только 6 лет ] и так понял что он учится всю жизнь)

 

[cristinel]

Готов рассмотреть поплату за любую ценную информацию

 

[colby57]

Что точно не обнаруживается на данный момент точно не скажу.

Видел использование KiUserExceptionDispatcher и его младшего брата Wow64PrepareForException.

Если ты откроешь в Ide ntdll и посмотришь на KiUserExceptionDispatcher то увидишь интересную картину:
mov rax, Wow64PrepareForException # Помещение в rax регистр
test rax, rax # Проверка на null
Если проверка успешна и Wow64 задан то он его вызовет -> call rax; # Wow64PrepareForException
С точки зрения как это можно использовать: Либо поменять в целом обработчик KiUserExceptionDispatcher или-же установить в Wow64PrepareForException конечный адрес функции (нашу функцию).

Фотография взята от сюда:

Пожалуйста, авторизуйтесь для просмотра ссылки.

если оно андетектед, то под юзеров с 25h2 билдом надо придумывать что-то другое, там больше нет такой возможности хукать через дату птр

да и перехватывать что-то через эксепшены всегда было сомнительной идеей, там можно с производительностью прощаться, если хук часто срабатывать будет, не думаю что ему подходит этот варик в целом

 

[Iaiw]

если оно андетектед, то под юзеров с 25h2 билдом надо придумывать что-то другое, там больше нет такой возможности хукать через дату птр

да и перехватывать что-то через эксепшены всегда было сомнительной идеей, там можно с производительностью прощаться, если хук часто срабатывать будет, не думаю что ему подходит этот варик в целом

Спасибо, буду знать.

С производительностью то понятно. Но, если не ошибаюсь, это один из самых не изнасилованных способов хуков, как те-же trampoline.
Из альтернатив известных мне это хуки через HWBP(Вроде так). Но они тоже имеют дропы в производительности.

Есть каике-то альтернативы? Я в этом плане малоопытен

 

[colby57]

Спасибо, буду знать.
С производительностью то понятно. Но, если не ошибаюсь, это один из самых не изнасилованных способов хуков, как те-же trampoline.
Из альтернатив известных мне это хуки через HWBP(Вроде так). Но они тоже имеют дропы в производительности.

Есть каике-то альтернативы? Я в этом плане малоопытен

хз, я и сам просто античит этот не реверсил, поэтому остаётся лишь теоретизировать на этот счёт, по поводу альтернативы в виде хвпб - они тоже эксепшн генерируют под капотом (EXCEPTION_SINGLE_STEP)

а по поводу других вариантов, надо опять же смотреть чо именно античит в детект уже успел кинуть, может есть возможность какой-то важный птр подменить в рдате