Модули Apex

buridan · 9 Мар 2019

Всем, привет. Не так давно стал увлекаться читами. И столкнулся с такой проблемой: при попытке посмотреть dll игры через CreateToolhelp32Snapshot() ничего не показывалось. ( короче не кс ка, которая сразу вываливает тебе о себе всю инфу XD ).Пришёл к выводу, что похоже EAC хреначит таблицу импорта в конце загрузки, потому что даже сам r5apex.exe не выдаёт. В общем стало интересно, как это работает. Если кто знает и может объяснить, буду благодарен.

buridan · 10 Мар 2019

Тему наверное надо перенести сюда: https://yougame.biz/forums/832/

L1n · 10 Мар 2019

Ты гений

iDReeM · 10 Мар 2019

ЕАК блокирует получение указателя на структуру >>

Пожалуйста, авторизуйтесь для просмотра ссылки.

<< (кликабельно) через которую такие функции как CreateToolhelp32Snapshot/EnumProcessModules могут получать указатель на структуру PEB_LDR_DATA, где и берут ордеры на перебор модулей (InMemoryOrderModuleList).

buridan · 10 Мар 2019

iDReeM написал(а):
ЕАК блокирует получение указателя на структуру >>
Пожалуйста, авторизуйтесь для просмотра ссылки.
<< (кликабельно) через которую такие функции как CreateToolhelp32Snapshot/EnumProcessModules могут получать указатель на структуру PEB_LDR_DATA, где и берут ордеры на перебор модулей (InMemoryOrderModuleList).

Аа, я понял. А можно ли тогда разобрать хотя бы сам exe как PE файл, или он уже шифрованный EAC'ом и смысла в этом нет?
Ещё один вопрос: смотрел в сторону написания kernel-драйвера, чтобы беспалевно читать память, но видел инфу, что это не помогает и каким-то чудным способом EAC палит это, правда?

P.s. Спасибо за разъяснения

iDReeM · 10 Мар 2019

buridan написал(а):
Аа, я понял. А можно ли тогда разобрать хотя бы сам exe как PE файл, или он уже шифрованный EAC'ом и смысла в этом нет?
Ещё один вопрос: смотрел в сторону написания kernel-драйвера, чтобы беспалевно читать память, но видел инфу, что это не помогает и каким-то чудным способом EAC палит это, правда?

P.s. Спасибо за разъяснения

зависит от реализации.

buridan · 10 Мар 2019

iDReeM написал(а):
зависит от реализации.

Последний, вопрос, больше не буду мучать тебя)
Что можешь посоветовать начинающему крэкеру? Хотелось бы научиться писать софт без пасты, самому. Как приобрести нужные знания\умения?

iDReeM · 10 Мар 2019

buridan написал(а):
Последний, вопрос, больше не буду мучать тебя)
Что можешь посоветовать начинающему крэкеру? Хотелось бы научиться писать софт без пасты, самому. Как приобрести нужные знания\умения?

вместо того чтобы слизывать с паблика по молекулам, как делают другие, учись на том материале что видишь в свободном доступе.

lolkaru · 10 Мар 2019

iDReeM · 11 Мар 2019

lolkaru написал(а):
Каво блокируют? Всем юзермод функциям нужен хэндл процесса для получения информации о нем, як пре-каллбеком снижает права хэндла и все.
Оп все что тебе нужно это драйвер, в ядре можно просто взять и посмотреть информацию о процессе.

да ладна? снижает? это точно? а прекалбек случайно не может угадать по адресу из регистра куда нужно вернуть результат выполнения, какая именно функция использует этот хендл и в зависимости от этого, выдавать соответствующую копию хендла, имеющую ограниченые права, но точно нет. он наверно снижает. и дескриптор хранящийся в системе оно тоже снижает в правах, ведь это возможно без краша системы (нет)