Скрытие строк из дампа памяти

Mayor777 · 27 Дек 2018

Приветствую коллеги. Играю в одну старую стратегию ...
Я писал для неё чит в формате DLL. Всё работало , но недавно разработчик , выпустил обнову и походу сканирует дамп exe файла на строчки.
p.s. Я пробовал без строчек и всё нормально.
Так вот , вопрос собственно в чём. Как я могу скрыть строки из дампа памяти ?
Вроде как рабочий способ это накрытие строчек в коде XOR'om. Но мне это не совсем подходит по ряду причин.
Так же вроде как способ инжекта Manual Map должен не светить строки в дампе , но данный способ так же светит в дампе строки, но может я что-то не так понял...
Кто с подобным сталкивался , подскажите какие нибудь решения.

dxSpy · 27 Дек 2018

А если их подгружать динамически! Допусти находятся они в отдельном файле или ресурсах захорены XOR, Когда нужна строка взял ее, не нужна очистил память
p.s Manual Map также проецирует твою dll в память игры и дамп можно снять

Blick1337 · 27 Дек 2018

Mayor777 написал(а):
способ инжекта Manual Map должен не светить строки в дампе

с чего это?

_or_75 · 27 Дек 2018

XorStr же, есть некоторые либы которые рандомят строки при компиляции, + уникальная сигнатура, например

Пожалуйста, авторизуйтесь для просмотра ссылки.

можно как шеллкод ебашить даже, но это отдельная тема для разговора :CoolStoryBob:

dxSpy · 28 Дек 2018

_or_75 написал(а):
XorStr же, есть некоторые либы которые рандомят строки при компиляции, + уникальная сигнатура, например
Пожалуйста, авторизуйтесь для просмотра ссылки.

можно как шеллкод ебашить даже, но это отдельная тема для разговора

Строки будут расшифрованы когда твоя программа будет запущена! не? Или часть строк которые используются это не составит труда античиту или антивирусу сделать сигнатуру!
Ps Можно без строк обойтись

Blick1337 · 28 Дек 2018

dSpy написал(а):
Строки будут расшифрованы когда твоя программа будет запущена! не?

в реалтайме да. но они вроде как будут не в твоем модуле.

Nevermind · 28 Дек 2018

Mayor777 написал(а):
Так же вроде как способ инжекта Manual Map должен не светить строки в дампе

Что ты не засветишь - PEB.

Mayor777 · 28 Дек 2018

dSpy написал(а):
А если их подгружать динамически! Допусти находятся они в отдельном файле или ресурсах захорены XOR, Когда нужна строка взял ее, не нужна очистил память
p.s Manual Map также проецирует твою dll в память игры и дамп можно снять

Гемор. Там у меня не 2-3 строчки.

Blick1337 написал(а):
с чего это?

...но может я что-то не так понял... С того что надо предложение до конца дочитывать.

_or_75 написал(а):
XorStr же, есть некоторые либы которые рандомят строки при компиляции, + уникальная сигнатура, например
Пожалуйста, авторизуйтесь для просмотра ссылки.

можно как шеллкод ебашить даже, но это отдельная тема для разговора

Как бы я их не криптовал , они всё равно в дампе отобразятся. Единственный выход , это при открытии \ закрытии меню и всяких функций расшифровывать \ шифровать строки. Так как я заметил что там проверка идет не каждую миллисекунду.
Я бы и функцию саму хуканул в античите , но он накрыт VMProtectom с которым мне
Но это опять же слишком геморно и не стоит того.

dSpy написал(а):
Строки будут расшифрованы когда твоя программа будет запущена! не? Или часть строк которые используются это не составит труда античиту или антивирусу сделать сигнатуру!
Ps Можно без строк обойтись

Можно конечно , но всё таки интерфейс какой либо охото иметь и иметь у него достаточно понятные названия )))

Blick1337 написал(а):
в реалтайме да. но они вроде как будут не в твоем модуле.

Вы похоже не поняли вообще о чём говорится. Речь идет о дампе памяти самого exe приложения в которое был заинжекчен DLL.

Nevermind написал(а):
Что ты не засветишь - PEB.

Если можно , то прям чуточку поподробнее. PEB - список модулей? , но не до конца понял , что значит "что я не засвечу".

Brut7 · 28 Дек 2018

Тебе уже _or_75 написал про XorStr. Расшифровывай нужные строки там где нужно во временный буфер и собсвенно юзай там. Если ты не шифруешь строки то у тебя они падают в секцию rdata и висят там постоянно. Вот тут уже есть риск того что ач может сдампить и сделать сиги. Только еще помимо строк еще есть очень много мест которые можно засигать.

_or_75 · 28 Дек 2018

dSpy написал(а):
Строки будут расшифрованы когда твоя программа будет запущена! не? Или часть строк которые используются это не составит труда античиту или антивирусу сделать сигнатуру!
Ps Можно без строк обойтись

Эти строки как масив байтов и находятся в том месте где их использую то есть в секции кода, они не палятся вообще никак, но в стеке они останутся а дальше дело твоё и по сути найти их можно будет, но если хочешь что бы не нашли тогда:

Код:

char* yourmom = XorStr("verma_top");

// в конце функции к примеру
ZeroMemory(yourmom,6);

Mayor777 · 28 Дек 2018

Brut7 написал(а):
Тебе уже _or_75 написал про XorStr. Расшифровывай нужные строки там где нужно во временный буфер и собсвенно юзай там. Если ты не шифруешь строки то у тебя они падают в секцию rdata и висят там постоянно. Вот тут уже есть риск того что ач может сдампить и сделать сиги. Только еще помимо строк еще есть очень много мест которые можно засигать.

_or_75 написал(а):
Эти строки как масив байтов и находятся в том месте где их использую то есть в секции кода, они не палятся вообще никак, но в стеке они останутся а дальше дело твоё и по сути найти их можно будет, но если хочешь что бы не нашли тогда:

Код:

char* yourmom = XorStr("verma_top"); // в конце функции к примеру ZeroMemory(yourmom,6);

Ну так я уже делал.. Это понятно что будет работать . Ладно всем спасибо большое. Скорее всего буду просто очищать буффер.