pachela

Стажёры
  • Публикации

    16
  • Зарегистрирован

  • Посещение

Репутация

0 Навыки не прокачены

О pachela

  • Звание
    Пользователь
  1. Возможно и должно. Но нифига. А про какие это структуры вы рассказываете?
  2. Есть таблица в которой 4 адреса float и еще 3 адреса 4 байтовые. Когда я захожу в СЕ и нахожу первый адрес (тип float), скопировав его и нажав в таблице на первое значение и Recalculate new adresses. Все значения пересчитываются согласно размеру float и даже те значения, которые 4 байт!!! Суть вопроса в следующем: Можно ли как то сделать, что бы пересчет float значений был согласно размеру float, а 4 байтовые согласно 4 байтам? Сейчас приходится мне пересчитывать только 4 значения флоат, т.к. они находятся на больших расстояниях друг от друга, а потом вручную искать 3 адреса которые 4 байтовые. Это жутко не удобно и долго.
  3. Уроки то я посмотреть посмотрю, некоторые уже видел. Понимать, я от части понимаю, но не все. А по поводу того, что это не С++, почему придираешься? Найден код на буржуйском сайте в разделе С++ исходников. Да и язык похож на тот, который я сейчас учу, возможно это С, но не ++? П.с. Времени в обрез, если не сложно, можно ссылку на видеоуроки именно по этой теме?
  4. Нашел на одном буржуйском сайте исходник паттер сканер сигнатур. Functions.h Source.cpp Я с С++ знаком на уровне плинтуса (успел прочитать только 50 страниц Шилдт Г.С. С++ базовый курс). Но меня вот интересует этот код и хотелось бы его применить. Так вот. Что мне поменять и в какую сторону копать? Я так понимаю что мне нужно поменять в DWORD aAddy = FindPattern("s4client.exe", название моего клиента? Дальше   "\xD9\x45\x57\x8B\x7C\x24\x14\x8D\x74\x24\x28\xE8\x00\x00\x00\x00\x5F\x5E\xB0\x01", тут количество байт можно грубо подставлять свои или еще где в коде нужно указывать это? И почему нет 0 пере х? Я на сколько понял, что в шестнадцатеричной системе байт должен выглядеть 0хАА, а тут хАА, где я не прав? Что это за секция?  "xxxxxxxxxxxx????xxxx"); Что значит эта запись? Что за ххх и что за "???" ?  Это я так понимаю, что отступ от найденной сигнатуры aAddy += 5;? Т.е. отступаем 5 байт и видим нужный нам адрес? Который и будет виведен в MsgBox? Далее, что это за опкод char OpCode[] = "\xDB\x45"? Зачем он нужен? И последнее, в этой инструкции WriteToMemory(aAddy, OpCode, 4); что значит цифра 4?
  5. Я тебе больше скажу, что за ольку, античит сразу банит и не важно какие плагины ставлю. А вот за дбг64 нет, но что первый, что второй, без SilentAttach и Scylla вообще не хотели видеть процесс. Сейчас посмотрю про паттерн и сканер сигнатур
  6. Хук стоит DbgUiRemoteBreakin его античит ставит на ntdll.dll, попробовал познакомиться с Идой и заглянул в ntdll.dll и по адресу хука увидел "Trap to Debbugger", а рядышком была еще одна занятная функция DbgBreakPointWithStatus@4 endp; sp-analys failed. короче если бы я был хорошим кодером, я бы попытался подставить в DbgBreakPointWithStatus положительный ответ. Предполагаю что возможно это помогло бы, но я не тру кодер. Так же еще раз вернусь к вопросу выше: можно ли опираясь на несколько соседних байт, которые имеют перманентные значения (либо содержат поинтеры, левые, но поинтеры, всегда одни и те же) найти нужный мне адресс, который находится всегда на одном и том же расстоянии от этих перманентных значений.
  7. Я пробовал снимать через PCHunter хуки на брекпоинты (название хуков сейчас не припомню и нет возможности подсмотреть в шпаргалку), ничего это не дало. Значения то изменились, но от этого дебаггеры не стали работать. В общем то поснимал я несколько раз дампы памяти и через dissect data\structure сравнил их. В том месте где находятся нужный мне адрес, присутствуют некоторые поинтеры и просто значения, которые не меняются. Можно ли как то опираясь на эти адреса, находить мой адрес? Может написать трейнер который будет искать поинтер такой то, от него отсупать на сколько то там байт и изменять значение в нужном адресе? Либо имея кучу дампов, можно ли как то найти оффсеты?
  8. Вообще СЕ палится, но после своей сборки, то с танцами с бубном получается запустить. Дебаггер вроде бы не палится, но ни один, кроме Kernelmod не аттачится к процессу, а последний, так и после аттача не работает. В игре стоят хуки на брекпоинты. Но самое интересное, что я вижу окно ассемблера.
  9. CE спрятать драйвер

    Спасибо, очень помогло. Хотя я и видел эту тему еще в начале года и пытался повторить все, но вылезала ошибка, оказалось, что нужно удалить пробелы после каждого слова в строчках driver64.dat. Но сволочь античит продолжает палить =(, даже если закрыть СЕ, но не выгружать драйвер. Походу все же в драйвере проблема =(.
  10. Появились новые соображения, но опять таки, я не сильно знакомы со ВСЕМИ функциями СЕ, но думаю что есть нечто подобное в нем, либо у кого то в наработках. Т.к. у меня окно асемблера работает, то я могу снять дамп куска памяти. Так вот как мне сообщил один "умник" который делает трейнера для игры, он делает их при помощи автоматического сравнения дампов. Может кто подсказать как сравнивать дампы и что в них искать?
  11. Облазил весь интернет и нифига толкового не нашел. Можно ли как то спрятать драйвер (РОДНОЙ!!!) dbk64.sys? Так как сейчас модно делать детект по запущенному драйверу, а из-за особенностей современных 64 разрядных ОС (Виста, 8, 10) самодельный драйвер без тест режима не запустить. Или можно как то запустить самодельный драйвер на вин 10 х64 без тестового режима?
  12. В паблике этого не могу написать.
  13. Ну хук то можно поставить, но я не умею. А вот переименовка процесса и т.п. не помогает. В особенности когда загружен драйвер dbk64.sys, для работы с ядром. Без ядра, вообще СЕ не работает.
  14. Сканер указателей не хочет давать результаты. Просто зависает процесс игры и СЕ. А если после 100500 попытки не зависает, то все равно результатов нет. =( Я посмотрел, есть кое какие люди которые для этой игры трейнеры рисуют, но они же в приватной беседе говорят, что отладчик заставить работать с этой защитой нереально (на 99%, за 1% шанса возьмут 15-20к рублей и гарантий не дадут) и что они трейнера пишут не через отладчик.