Вопрос Как встроить в лоудер мапер и драйвер

[IntoBlacers]

Всем привет , я начинающий кодер на плюсах и пишу лоудер для раст алкад у меня такая тема что драйвер и мапер kdu при запуске инжекта появляются в 1 месте на пк из за этого у меня могут украсть драйвер и мапер есть ли такая тема что бы встроить в лоудер exe мапер и драйвер например загрузка из памяти или если записывать на диск как прятать мапер и драйвер что бы потом их через день на юге не найти например тот же блюм как у них работает система драйвера и куда его прячут?

 

[G0LANG]

просто в ресурс лоадера встрой кдмаппер и пусть расспаковывается в темп

 

[umbre11a]

Всем привет , я начинающий кодер на плюсах и пишу лоудер для раст алкад у меня такая тема что драйвер и мапер kdu при запуске инжекта появляются в 1 месте на пк из за этого у меня могут украсть драйвер и мапер есть ли такая тема что бы встроить в лоудер exe мапер и драйвер например загрузка из памяти или если записывать на диск как прятать мапер и драйвер что бы потом их через день на юге не найти например тот же блюм как у них работает система драйвера и куда его прячут?

Украсть паблик маппер - это мощно, конечно. как вариант, без создания kdu.exe можно просто в себе запустить через байткод kdu.exe, но тебе всё равно придётся где твой loader.exe лежит, там должна находиться и .dll, которую требует kdu.exe. Также тебе в любом случае нужно будет загружать на диск 2 драйвера: 1, который требует kdu для загрузки твоего, ну и твой драйвер, хз как в kdu. Но в kdmapper ты можешь грузить свой драйвер и потом удалять. Вообще хз, зачем тебе kdu. как вариант, ты просто можешь через loader.exe создавать temp.exe, который в себе запускает kdu.exe, но тебе тут заспавнить нужно и легитный драйвер, и .dll. а вообще, легче kdmapper переписать под свои нужды

 

[IntoBlacers]

так тип в темпе спиздит драйвер
я уже решил kdmaper юзать но так где хранить драйвер

 

[umbre11a]

ну если kdmapper то в main.cpp идет вызов

std::vector<uint8_t> raw_image = { 0 };
    if (!kdmUtils::ReadFileToMemory(driver_path, &raw_image)) {
        kdmLog(L"[-] Failed to read image to memory" << std::endl);
        intel_driver::Unload();
        PauseIfParentIsExplorer();
        return -1;
    }

вот как видишь, тут он твой драйвер читает в raw_image. теперь просто берешь этот вызов, убираешь, и сам забиваешь raw_image, типо свой driver.sys, превращаешь в байткод, и все. также ты не сможешь не загрузить на диск то, что требует kdmapper( .sys которым мапишь ), так как он через sc грузит, а там создается с путем прям. поэтому, как вариант, против додиков, короче, при создании драйвера под kdmapper, по стандарту интоловский, просто создаешь его с системными параметрами, и все, его не видно даже если в view -> hidden items стоит галка. очевидно, если человек не долбоеб, он увидит, что твой loader.exe зачем-то создал на секунду драйвер, для того чтобы твой загрузить. но, знаешь, уже очень давно есть инструменты, чтоб ловить и дампить драйвера, которые грузятся мапперами, поэтому, если человеку нужно, он отломает.( а ну и + желательно raw_image чтоб защифрован был и просто при использовании декриптился и опять крипт )

 

[Opponentxd]

так тип в темпе спиздит драйвер
я уже решил kdmaper юзать но так где хранить драйвер

в памяти проще всего, на драйвер наложи там какой нибудь вмп

 

[IntoBlacers]

ну если kdmapper то в main.cpp идет вызов

std::vector<uint8_t> raw_image = { 0 };
    if (!kdmUtils::ReadFileToMemory(driver_path, &raw_image)) {
        kdmLog(L"[-] Failed to read image to memory" << std::endl);
        intel_driver::Unload();
        PauseIfParentIsExplorer();
        return -1;
    }

вот как видишь, тут он твой драйвер читает в raw_image. теперь просто берешь этот вызов, убираешь, и сам забиваешь raw_image, типо свой driver.sys, превращаешь в байткод, и все. также ты не сможешь не загрузить на диск то, что требует kdmapper( .sys которым мапишь ), так как он через sc грузит, а там создается с путем прям. поэтому, как вариант, против додиков, короче, при создании драйвера под kdmapper, по стандарту интоловский, просто создаешь его с системными параметрами, и все, его не видно даже если в view -> hidden items стоит галка. очевидно, если человек не долбоеб, он увидит, что твой loader.exe зачем-то создал на секунду драйвер, для того чтобы твой загрузить. но, знаешь, уже очень давно есть инструменты, чтоб ловить и дампить драйвера, которые грузятся мапперами, поэтому, если человеку нужно, он отломает.( а ну и + желательно raw_image чтоб защифрован был и просто при использовании декриптился и опять крипт )

Спс , а если переписать мапер в сам лоудер типо взять сурсы и встроить мапер в лоудер что бы он из памяти грузил драйвер и еслм делать из памяти байткодом дравер и встроиным мапером переписаным оно будет через байткод делать? И тогда смогут ломонуть? И так какой самый лучший способ от додиков что бы не слили драйвер и как встроить длл чита скачатвать по ссылке с xor шифром делать его в байты лоудер будет при инжекте расшифровывать и инжектить? Так?

ну если kdmapper то в main.cpp идет вызов

std::vector<uint8_t> raw_image = { 0 };
    if (!kdmUtils::ReadFileToMemory(driver_path, &raw_image)) {
        kdmLog(L"[-] Failed to read image to memory" << std::endl);
        intel_driver::Unload();
        PauseIfParentIsExplorer();
        return -1;
    }

вот как видишь, тут он твой драйвер читает в raw_image. теперь просто берешь этот вызов, убираешь, и сам забиваешь raw_image, типо свой driver.sys, превращаешь в байткод, и все. также ты не сможешь не загрузить на диск то, что требует kdmapper( .sys которым мапишь ), так как он через sc грузит, а там создается с путем прям. поэтому, как вариант, против додиков, короче, при создании драйвера под kdmapper, по стандарту интоловский, просто создаешь его с системными параметрами, и все, его не видно даже если в view -> hidden items стоит галка. очевидно, если человек не долбоеб, он увидит, что твой loader.exe зачем-то создал на секунду драйвер, для того чтобы твой загрузить. но, знаешь, уже очень давно есть инструменты, чтоб ловить и дампить драйвера, которые грузятся мапперами, поэтому, если человеку нужно, он отломает.( а ну и + желательно raw_image чтоб защифрован был и просто при использовании декриптился и опять крипт )

И вообще есть ли такой способ что бы драйвер подностью не появлялся на пк и длл чита тоже тоесть как встроить длл что бы он качался по ссылке и как то в байты получаеттся если длл в байты сделать то тогда не спиздят или как сделать что бы не спиздили и драйвер получается куда хранить что бы не спиздили и драйвер не появлялся на пк например как у блюма или омеге сделано

 

[umbre11a]

Спс , а если переписать мапер в сам лоудер типо взять сурсы и встроить мапер в лоудер что бы он из памяти грузил драйвер и еслм делать из памяти байткодом дравер и встроиным мапером переписаным оно будет через байткод делать? И тогда смогут ломонуть? И так какой самый лучший способ от додиков что бы не слили драйвер и как встроить длл чита скачатвать по ссылке с xor шифром делать его в байты лоудер будет при инжекте расшифровывать и инжектить? Так?

И вообще есть ли такой способ что бы драйвер подностью не появлялся на пк и длл чита тоже тоесть как встроить длл что бы он качался по ссылке и как то в байты получаеттся если длл в байты сделать то тогда не спиздят или как сделать что бы не спиздили и драйвер получается куда хранить что бы не спиздили и драйвер не появлялся на пк например как у блюма или омеге сделано

ну смотри, при использовании kdmapper у тебя 2 драйвера, первый - тот который создает kdmapper для того чтоб загрузить твой драйвер, его тебе в любом случае придется создавать, так как он легитимный и грузится через sc, и второй драйвер, который уже твой, его ты можешь просто не сохранять на диск, а через bytecode просто грузить, и если он у тебя в статике зашифрован даже простым xor шифром, уже какая то защита, но смотри, обычно в .sys, ну и почти во всех PE файлах, у тебя в конец 0x00 0x00, и когда ты шифруешь весь массив, они у тебя тоже будут 0xAA например, поэтому для тебя желательно какой то нормальный способ шифрование придумать, а не просто базовый, потому что легко понять как твой массив байт задекриптить, но от простых типов, которые не прям сильно разбираются, это спасет, так то нормально, как я говорил выше, ты можешь вот драйвер( по стандарту интоловский ) ты можешь просто его создавать с системным аттрибутом, и его не будет видно на компе( ну в найстроках можно включить view -> options -> view и тут hide protected operating system files . думаю для простого хватит такой защиты базовой, а перенести код kdmapper в свой лоадер не проблема, там по факту просто все файлы кроме main.cpp вставить в проект, и уже в лоадере просто вызывать эти функции, думаю достаточно

насчет .dll все также как с драйверо но тебе придется использовать manual map так как loadlibrary требует .dll на диске поэтому manual map лучший вариант

но скажу так даже если ты с сервера будешь получать .dll грузить в игру и тд все равно легко можно будет сдампить .dll
и также с драйвером что бы ты не придумал( ну то как реализовать о чем я писал выше ) его можно будет сдампить .dll вообще легко сдамить с процесса( ну если обычгый manual map )
.sys чуть потруднее но давно есть утилиты которые могу дампить драйвер загруженный kdmapperОМ

но думаю такая защита как новичку тебе поможет

 

[IntoBlacers]

Спс , а если переписать мапер в сам лоудер типо взять сурсы и встроить мапер в лоудер что бы он из памяти грузил драйвер и еслм делать из памяти байткодом дравер и встроиным мапером переписаным оно будет через байткод делать? И тогда смогут ломонуть? И так какой самый лучший способ от додиков что бы не слили драйвер и как встроить длл чита скачатвать по ссылке с xor шифром делать его в байты лоудер будет при инжекте расшифровывать и инжектить? Так?

И вообще есть ли такой способ что бы драйвер подностью не появлялся на пк и длл чита тоже тоесть как встроить длл что бы он качался по ссылке и как то в байты получаеттся если длл в байты сделать то тогда не спиздят или как сделать что бы не спиздили и драйвер получается куда хранить что бы не спиздили

ну смотри, при использовании kdmapper у тебя 2 драйвера, первый - тот который создает kdmapper для того чтоб загрузить твой драйвер, его тебе в любом случае придется создавать, так как он легитимный и грузится через sc, и второй драйвер, который уже твой, его ты можешь просто не сохранять на диск, а через bytecode просто грузить, и если он у тебя в статике зашифрован даже простым xor шифром, уже какая то защита, но смотри, обычно в .sys, ну и почти во всех PE файлах, у тебя в конец 0x00 0x00, и когда ты шифруешь весь массив, они у тебя тоже будут 0xAA например, поэтому для тебя желательно какой то нормальный способ шифрование придумать, а не просто базовый, потому что легко понять как твой массив байт задекриптить, но от простых типов, которые не прям сильно разбираются, это спасет, так то нормально, как я говорил выше, ты можешь вот драйвер( по стандарту интоловский ) ты можешь просто его создавать с системным аттрибутом, и его не будет видно на компе( ну в найстроках можно включить view -> options -> view и тут hide protected operating system files . думаю для простого хватит такой защиты базовой, а перенести код kdmapper в свой лоадер не проблема, там по факту просто все файлы кроме main.cpp вставить в проект, и уже в лоадере просто вызывать эти функции, думаю достаточно

насчет .dll все также как с драйверо но тебе придется использовать manual map так как loadlibrary требует .dll на диске поэтому manual map лучший вариант

но скажу так даже если ты с сервера будешь получать .dll грузить в игру и тд все равно легко можно будет сдампить .dll
и также с драйвером что бы ты не придумал( ну то как реализовать о чем я писал выше ) его можно будет сдампить .dll вообще легко сдамить с процесса( ну если обычгый manual map )
.sys чуть потруднее но давно есть утилиты которые могу дампить драйвер загруженный kdmapperОМ

но думаю такая защита как новичку тебе поможет

а на данный момент например типы блюм как они делают от кражи длл и драйвера типо куда они хуярят длл

 

[umbre11a]

а на данный момент например типы блюм как они делают от кражи длл и драйвера типо куда они хуярят длл

честно ? понятие не имею , но других способов нету , на примере .dll могу сказать есть много способов сделать так что даже после дампа .dll не запуститься как обычно но ее по прежнему можно будет реверсить, например самый банальный способ который ты можешь сделать просто наложить vmp на .dll и .sys и как я тебе сказал грузить чтоб на диске не было ничего кроме loader.sys и интоловский драйвер который появиться на секунду

 

[IntoBlacers]

честно ? понятие не имею , но других способов нету , на примере .dll могу сказать есть много способов сделать так что даже после дампа .dll не запуститься как обычно но ее по прежнему можно будет реверсить, например самый банальный способ который ты можешь сделать просто наложить vmp на .dll и .sys и как я тебе сказал грузить чтоб на диске не было ничего кроме loader.sys и интоловский драйвер который появиться на секунду

а можешь сказать в крацие что самое лучше для защиты и что используют в 2026 если не смотреть что я бич типо что самое лучшее

 

[umbre11a]

а можешь сказать в крацие что самое лучше для защиты и что используют в 2026 если не смотреть что я бич типо что самое лучшее

ну тут я тебе не смогу сильно помочь, единственное могу посоветовать сначало просто посмотреть примеры как вариаент раздел реверс-инжиниринг и там статьи и программы ну и по немногу понимай какие дыры в твоей проге( ну а если тебе впадлу что то уникальное придумывать и тд просто испролтьзуй готовые тулзы нарпимер vmp )

 

[Antoxa1337]

@Flowon помоги уже им

 

[xqzme69]

а на данный момент например типы блюм как они делают от кражи длл и драйвера типо куда они хуярят длл

если хочешь могу статейку выплюнуть на юг, если конечно сметана не будет против

 

[IntoBlacers]

если хочешь могу статейку выплюнуть на юг, если конечно сметана не будет против

ебать , спрашиваешь еще .Жду ))))

 

[IntoBlacers]

@xqzme69 ну так че

 

[cmetanka2]

ебать , спрашиваешь еще .Жду ))))

там особо ничего интересного то и нету

 

[IntoBlacers]

там особо ничего интересного то и нету

пох