Подписывайтесь на наш Telegram и не пропускайте важные новости! Перейти
Что нового?

Гайд Принцип чтения памяти игры используя механики ядра ОС Windows (Virtual Memory, Physical Memory)

superiorboooty написал(а):
Ты разве не говоришь про подмену eprocess фиктивным значением? Можешь сам зайти в раст какой-нибудь и посмотреть. На последних билдах виндовса cr3 не меняется, хотя ранее он шафлился каждые 5-10 секунд. И на более старых билдах такого тоже вероятно уже нет, не проверял
Нажмите для раскрытия...
да, возможно ты прав, что на каком-нибудь 25H2 крипт ср3 действительно убрали, я не смотрел, что там, но не смотря на это, начиная с 10 винды, заканчивая 23H2 (?), крипт ср3 ( а именно подмена значения в EPROCESS'e ) - остался. "хотя ранее он шафлился каждые 5-10 секунд" - раньше еак релокал пейдж тейблы, что заставляло заново получать ср3. сейчас ( с ~ лета / сентября прошлого года ) это убрали
 
morphe-ya написал(а):
да, возможно ты прав, что на каком-нибудь 25H2 крипт ср3 действительно убрали, я не смотрел, что там, но не смотря на это, начиная с 10 винды, заканчивая 23H2 (?), крипт ср3 ( а именно подмена значения в EPROCESS'e ) - остался. "хотя ранее он шафлился каждые 5-10 секунд" - раньше еак релокал пейдж тейблы, что заставляло заново получать ср3. сейчас ( с ~ лета / сентября прошлого года ) это убрали
Нажмите для раскрытия...
Да. Подмена eprocess осталась. Но сейчас достаточно 1 раз при запуске получить cr3 и сохранить его. Он больше не меняется
 
KVANTOR815 написал(а):
И как это связано с твоим упоминанием LA57?
У большинства 4-х уровневая система умник, не у всех LA57 стоит.

Если в статье не учитывается LA57 это не делает ее технический ложной
Нажмите для раскрытия...
я не говорил что она технически ложная потому что в ней не упомянут pml5, я добавил что по спеке pml4 это не самый верхний уровень

технически ложной ее делают фрагменты про физ и вирт память
 
morphe-ya написал(а):
а что не так?
Нажмите для раскрытия...
после PG=1 понятие физ памяти не имеет смысла. в статье очень часто за чтением виртуальной памяти стоит вызов хуйни шинды которая подсосет cr3, а за чтение физ памяти(что, еще раз, некорректно) тот же процесс но со спизженным cr3.
 
metafaze написал(а):
после PG=1 понятие физ памяти не имеет смысла. в статье очень часто за чтением виртуальной памяти стоит вызов хуйни шинды которая подсосет cr3, а за чтение физ памяти(что, еще раз, некорректно) тот же процесс но со спизженным cr3.
Нажмите для раскрытия...
до сих пор не понял о чем идет речь

если ты имел в виду: "В этой статье разберем, как работать с физической памятью и почему использование чтения / записи виртуальной памяти в условиях популярных анти-читов - плохое решение.", то я привел пример именно в контексте работы с анти-читами ( EAC, BE, etc ). сама система не предоставляет средств для безопасного чтения / записи виртуальной памяти, которое соответствовало бы требованиям вышеперечисленных анти-читов. опять таки я не говорю, что читать виртуальную память - бред, я всего лишь говорю, что пока-что в винде просто нет таких средств, которые обеспечивают безопасность.
 
metafaze написал(а):
после PG=1 понятие физ памяти не имеет смысла. в статье очень часто за чтением виртуальной памяти стоит вызов хуйни шинды которая подсосет cr3, а за чтение физ памяти(что, еще раз, некорректно) тот же процесс но со спизженным cr3.
Нажмите для раскрытия...
Что значит неккоректно чтение физ памяти? Ты переводишь физику в вирт также как это делает твой процессор. Имея cr3 ты это можешь делать не находясь в контексте игры.
Если ты втупую делаешь mmcopyvirtualmemory то в зависимости от размера чита он у тебя может даже 20 тысяч раз вызываться. То есть ты 20 тысяч раз в секунду из вероятно неподписанной аттачишься к процессу игры.

И что за "вызов хуйни шинды". kestackattach? В случае с физикой его необязательно делать, когда у функции mmcopyvirtualmemory он делается в каждом вызове
 
morphe-ya написал(а):
до сих пор не понял о чем идет речь

если ты имел в виду: "В этой статье разберем, как работать с физической памятью и почему использование чтения / записи виртуальной памяти в условиях популярных анти-читов - плохое решение.", то я привел пример именно в контексте работы с анти-читами ( EAC, BE, etc ). сама система не предоставляет средств для безопасного чтения / записи виртуальной памяти, которое соответствовало бы требованиям вышеперечисленных анти-читов. опять таки я не говорю, что читать виртуальную память - бред, я всего лишь говорю, что пока-что в винде просто нет таких средств, которые обеспечивают безопасность.
Нажмите для раскрытия...
я скорее про то что твоя статья не бьется с терминами x86
superiorboooty написал(а):
Что значит неккоректно чтение физ памяти? Ты переводишь физику в вирт также как это делает твой процессор. Имея cr3 ты это можешь делать не находясь в контексте игры.
Если ты втупую делаешь mmcopyvirtualmemory то в зависимости от размера чита он у тебя может даже 20 тысяч раз вызываться. То есть ты 20 тысяч раз в секунду из вероятно неподписанной аттачишься к процессу игры.

И что за "вызов хуйни шинды". kestackattach? В случае с физикой его необязательно делать, когда у функции mmcopyvirtualmemory он делается в каждом вызове
Нажмите для раскрытия...
в x86 при PG вся память виртуальна, ты всегда читаешь и пишешь только в нее.
то что ты подменил cr3 и вирт адреса начали маппится на другие физические, не говорит о том что ты начал писать или читать физ память. ты все также работаешь с вирт памятью. вопрос именно к терминологии.
 
metafaze написал(а):
я скорее про то что твоя статья не бьется с терминами x86

в x86 при PG вся память виртуальна, ты всегда читаешь и пишешь только в нее.
то что ты подменил cr3 и вирт адреса начали маппится на другие физические, не говорит о том что ты начал писать или читать физ память. ты все также работаешь с вирт памятью. вопрос именно к терминологии.
Нажмите для раскрытия...
Да. Ты не обрабатываешь физ память. Ты ее вручную переводишь в виртуальную и работаешь. Доеб только до этого.
То есть грубо говоря это тот же mmcopyvirutalmemory только без атача к процессу.
И это будет андетектнее. Все остальное по детектам уже зависит от остальных частей твоего чита
 
superiorboooty написал(а):
Да. Ты не обрабатываешь физ память. Ты ее вручную переводишь в виртуальную и работаешь. Доеб только до этого.
То есть грубо говоря это тот же mmcopyvirutalmemory только без атача к процессу.
И это будет андетектнее. Все остальное по детектам уже зависит от остальных частей твоего чита
Нажмите для раскрытия...
не то чтоб прям доеб, статья про пейджинг, термины не про пейджинг
 
metafaze написал(а):
я скорее про то что твоя статья не бьется с терминами x86

в x86 при PG вся память виртуальна, ты всегда читаешь и пишешь только в нее.
то что ты подменил cr3 и вирт адреса начали маппится на другие физические, не говорит о том что ты начал писать или читать физ память. ты все также работаешь с вирт памятью. вопрос именно к терминологии.
Нажмите для раскрытия...
ты прав, что мы работаем с виртуальной памятью, но в чит-деве термин "чтение физической памяти" означает ручной перевод адресов с помощью дтб без использования mm_copy_virtual_memory
 

Похожие темы

hex_cat
Исходник [Сурс] Apex Legends — Утилита для дампа PE памяти через Kernel Driver (C++)
Ответы
3
Просмотры
209
ALOL1
ALOL1
Kamazik
Гайд Подробное описание встроенной античит-системы CS2
Ответы
8
Просмотры
2K
_or_75
_or_75
colby57
Гайд [Reverse-Engineering] Разбор Overwatch 2: Исключения, ремаппинг, антиотладка
Ответы
13
Просмотры
4K
WantToFreak
WantToFreak
Kodama
Гайд Абьюз SMM для самых маленьких
2 3
Ответы
43
Просмотры
4K
Kodama
Kodama
colby57
Гайд [Reverse-Engineering] Деобфусцируем импорты в Overwatch 2
Ответы
5
Просмотры
4K
hayk4500
hayk4500
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу