![Gamehacklab[RU]](http://s3.eu-central-1.amazonaws.com/cdn.gamehacklab.ru/uploads/monthly_2018_04/1_PNG_GHL_64x.png.aade309f307e218b142f0f187391f20a.png)
HwID ban bypass
0
Блоги
Neural Network Right Here in Your Browser
Unity + ML (Python)
[Left 4 Dead 2] Опыт в подсветке мобов
Вот только в L4D2 ничего такого нет, тут все куда более просто или оптимизировано, структура подсветки наследуется только для боссов (танк, курильщик и т.д.) и игроков, а подсветка ведется постоянно нужно лишь изменить уровень прозрачности. А вот структура определяющая подсветку для мобов (обычных зараженных) является динамической из-за чего заполняется только при определенных условиях, это создает некоторые сложности с подсветкой т.к. придется вручную выделять память под каждого моба и заполнять структуру определяющую подсветку, но просто так записав значение по определенным адресам не выйдет из-за подсчета объектов в структуре. Но мы ведь не пальцем деланные, немного пореверсив находим функцию инициализации, правда перед вызовом необходимо получить указатель на моба, это делается с помощью вызова виртуальной функции, которая принимает id и возвращает указатель на структуру. На выходе получаем это:
Вызов внутреигровых функций
Собственно время пришло
Данная статья является примером метода о котором рассказано в данном видео Рассмотрим вызов игровой функции на примере перовой части игры Dishonored
В данном примере будем восполнять себе количество маны, которая в игре не может регенерироваться полностью после использования череды способностей
Для начала нам необходимо найти само значение маны, благо оно храниться 4мя байтами в памяти и тут нет ничего сложного
Теперь когда у нас есть адрес маны или же указатель на данный адрес, нам необходимо найти метод который как раз и перезаписывает значение
Делается это очень просто (F6)
Нас интересует инструкция которая перезаписывает значение 1 раз
Выходим на эту инструкцию в дизассемблере и ставим брейк
Вот мы и нашли инструкцию, далее просто выходим из него (Кнопка Execute till return)
Для того чтобы вызвать метод, необходимо узнать и проанализировать его параметры. Этим и займемся
В метод передается 2 параметра, один из которых находится в ecx (Указатель на базовый класс)
А второй передается в регистре ecx, до инструкции которая перезапишет значение
Данный кусок:
push ecx
mov ecx,esi
Регистр edx содержит все время один и тот же не изменяющийся адрес, т.е он статичен
Распишу параметры чтобы было более нагляднее
push ecx (Значение 50 в данный момент)
mov ecx, esi (В ecx записывается значение из esi (0x0AD0A000))
Теперь если немного проанализировать, то можно понять что 50 - это значение маны, которое будет присвоено игроку после применения способности
А 0x0AD0A000 это указатель на начало структуры игрока, т.е PlayerController* player; Таким образом метод выглядит так: ManaMethod(PlayerController* player, int ManaOut);
Теперь можно приступать к написанию самого кода на c++, чтобы вызывать этот внутреигровой метод (При этом заранее найдем работающий указатель на класс игрока PlayerController)
Для вызова метода нам необходимо определить его соглашение о вызове, т.е в каком порядке туда передаются аргументы
Посмотреть все соглашения можно тут https://ru.wikipedia.org/wiki/Соглашение_о_вызове
Немного почитав можно увидеть что это соглашение __thiscall thiscall — соглашение о вызовах, используемое компиляторами для языка C++ при вызове методов классов в объектно-ориентированном программировании. Аргументы функции передаются через стек, справа налево. Очистку стека производит вызываемая функция. Соглашение thiscall отличается от cdecl соглашения только тем, что указатель на объект, для которого вызывается метод (указатель this), записывается в регистр ecx.
В самом коде объявляем этот метод для его вызова далее
//Метод принимает PlayerController* и ManaOut //0x00AB17C0 - адрес которых хранился в edx и он статичен typedef void*(__thiscall * _ManaType)(PlayerController* Player, int Mana); _ManaType ManaFunc = (_ManaType)(0x00AB17C0); Остается только написать вызов этого метода и на этом дело будет сделано /*PlayerConroller.h */ struct PlayerController { public: char pad_0000[2656]; //0x0000 int Mana; //0x0A60 }; /*Метод который вызывается при создании потока из dll*/ void onAttach() { while (true) { if (GetAsyncKeyState(VK_END)) { PlayerController* Player = reinterpret_cast<PlayerController*>(*(DWORD*)(Base + 0x01052DE8)); //Получаем указатель на игрока PlayerController* ManaFunc(Player, 100); } Sleep(150); } } Собственно на этом моменте статья закончена
При нажатии на кнопку END внутри игры, мана восполняется до 100 единиц
Bypass EAC, BE, MRAC [Clean screenshots]
[IDA/GHIDRA/radare2] Немного о сигнатурных модулях и FLIRT
Суть технологии проста - экономия времени, вместо ручного восстановления библиотечных функций, используются сигнатурные файлы сгенерированные из статических библиотек с помощью утилит, которые идут в комплексе с IDA SDK, которые по ходу анализа переименовывают функции найденный с помощью сигнатур.
Сигнатурный файлы выглядит так:
Например, мы знаем, что игра X использует Lua для выполнения скриптов, но сама длл луа вшита в файл, а не идет в комплексе рядом с ним, из-за чего мы не можем увидеть импортируемые функции, а значит придется потратить кучу времени, чтобы вручную по исходникам восстановить их. И тут на помощь приходит FLIRT, подключаем сигнатурный модуль в процесс анализа
и буквально через пару секунд функции начинаются помечаться как библиотечные и подписываться. Пока IDA работает, реверсер отдыхает.
У GHIDRA есть подобный функционал, но называется Function ID. И чтобы базы для гидры не генерировать руками, есть готовый скрипт, но для начала совету прочитать статью автора, чтобы не было вопросов по использованию скрипта:
https://blog.threatrack.de/2019/09/20/ghidra-fid-generator/
[IDA] Сигнатурные модули lua 5.1x64
[Raft] Генерация кодов локаций
Восстановив код и запустив для проверки, обнаружились некоторые проблемы: 1. Cид используется 1 раз при создании нового мира. 2. Частота состоит из 4 цифр, из-за чего очень много сидов будет подходить под значение первой частоты, которая дается в начале игры, поэтому придется брутить и генерировать все возможные частоты для 2-4 локаций. На генерацию сидов ушло порядка 30 минут, 90000+ возможных сидов и лишь 1 правильный набор кодов. Занятие было бессмысленным, но это был отличный способ занять вечер. Seed: 1276855 ------------------------------ 9839 1106 5814 8084 ------------------------------
Наработки по сканеру указателей основанному на отладке
Может быть кто-то более опытный в Lua захочет его доделать. Осталось сделать 3 пункта: Нормальный парсинг инструкций Парсинг...ну что тут сказать, в Lua паттерны это какой-то regex после авиакатастрофы попавший в аварию на машине скорой.
CE Lua 7.0 Поиск по формуле
CppHackGame CTF Challenge Решение задания
.text:00002173 cmp username_lenth, 10h .text:0000217A mov esi, offset username .text:0000217F movsd xmm0, ds:dbl_7D48 ; // xmm0 = 2.0 .text:00002187 cmovnb esi, username .text:0000218E movd xmm1, ebx .text:00002192 cvtdq2pd xmm1, xmm1 .text:00002196 call _libm_sse2_pow_precise .text:0000219B movsx eax, byte ptr [esi+ebx] ; // v0 = esi[ebx] получаем символ из массива .text:0000219F imul eax, ebx ; // v1 = v0 * idx .text:000021A2 inc ebx ; // idx++ .text:000021A3 cvttsd2si ecx, xmm0 .text:000021A7 cdq .text:000021A8 idiv ecx ; // v2 = v1 % pow(2, idx) .text:000021AA add edi, edx ; // checksum += v2 Немного восстановили функцию, это что-то похожее на генерацию чексуммы из строки. Приведем это в человеческий вид username = 'UserName' checksum = 0 for idx in range(len(username)): v1 = ord(username[idx]) * idx v2 = v1 % pow(2, idx) checksum += v2 print(checksum) Спускаемся немного ниже и видим инструкции, которые проверяют чексуммы, введенного пароля и имени пользователя. while (tmp_checksum != input_checksum): checksum -= char_value_ char_value_ = *tmp_checksum++; Зная алгоритм проверки, можем написать кейген. Для этого необходимо генерировать новые символы и отнимать от чек суммы значение, пока чексумма не станет равна 0 def generate_password(checksum): g_check = 0 password = '' tmp = 0 while True: char = random.randint(0x21, 0x2E) # генерируем символы, можно выбрать любые tmp = checksum - g_check # вычисление временной чексуммы if tmp // 0x56 == 0: # небольшая проверка последнего символа, чтобы избежать символов, которые будут нечитаемыми # после некоторых тестов 0x56 было более подходящим значением с минимальным выводом мусора. password += chr(tmp) break g_check += char # вычисление сгенерированной чек суммы password += chr(char) # добавление символа в строку с сгенерированным паролем print(password)
[Dark Souls 3] Автоматический поиск указателей не находит выхода в указанную структуру
CppHackGame CTF Challenge
Тем не менее, эта игра предназначена для челленджа по взлому. Сможешь ли, ты убить гоблина и забрать сундук? Правила: Разрешено использовать любые инструменты, разрешено патчить только код относящийся к игроку/гоблину. Скачать cpphackgame.exe
DS3
// velocity. used for backstab detection
// speed the opponent is approaching at. Player doesnt need to know their own. Idealy would like just if sprinting or not, actual velocity isnt important
// -0.04 slow walk
// -0.13 walk
// -0.16 - 18 sprint
wireshark filter
((udp.port >= 27000 && udp.port <= 27030) or udp.port == 3478 or udp.port == 4379 or udp.port == 4380 or (udp.port >= 50000 && udp.port <= 50003)) or ((tcp.port >= 27014 && tcp.port >= 27050) or tcp.port == 50050)
NS_SPRJ::WorldChrManImp - (48 8B 1D ? ? ? ? 48 8B F9 48 85 DB 74 40) 48 8B 0D ? ? ? ? 48 85 C9 74 09 48 8B 89 ? ? ? ? EB 03 49 8B CD 4D 85 FF 74 60 48 85 C9 74 0E 48 8B 01 FF 90 ? ? ? ? 4C 8B E0 EB 03
NS_SPRJ::WorldChrManImp + 80] = NS_SPRJ::PlayerIns
NS_SPRJ::PlayerIns + 1f90] = ptr_table
ptr_table + 18] = NS_SPRJ::SprjChrDataModule
NS_SPRJ::WorldChrManImp + 1d0/1ce8] = EntityList
EntityMax = 100
EntityList + idx * 0x38 - список игроков/npc ds3.rcnet
Форуму 10 лет
[Skyrim] Как генерировать уникальную отмычку, чтобы стражники Вайтрана не прострелили колено
v5 = 9.615000725f * 0.5; // 4.8075003625 v6 = v5 - 90.f; // -85.1924996375 v7 = 90.f - v5; // 85.1924996375 link = &qword_7FF6A0CEED70 LockPick->unlock_Value = ( v7 - v6 ) * (GenerateRandomValue(link, 0xFFFFFFFF) * 2.328306437E-10) + v6; LockPick->unlock_Value = 170.38 * (0xAE504DB6 * 2.328306437E-10) + -85.1924996375 LockPick->unlock_Value = 170.38 * (2924498432.00 * 2.328306437E-10) + -85.1924996375 LockPick->unlock_Value = 170.38 * (0.68) + -85.1924996375 LockPick->unlock_Value = 30.82 И проверяем в отладчике: Генератор отмычек готов.
Книги
История о том, как я для юнити писал автосплитер
Проблема возникла с тем, что у игры есть свои значения проверяющие загружена игра или нет, но получить к ним доступ через указатель оказалось невозможным. Перепробовав около 50 разных способов и потратив 1.5 недели, решил залезть в управление памятью юнити, возможно что-то интересно окажется там. Доков и исходников нет и поэтому - Реверсим, реврсим, вертим крутим и делаемся всякие непотребства с памятью и... Бам, оказалось( возможно это чистое совпадение), но UnityPlayer использует статические адреса для "работы" с CFG.
CFG/CF это Control Flow Guard - механизм защиты Windows, нацеленный на усложнения процесса эксплуатации бинарных уязвимостей в пользовательских и ядреных приложения. Сам механизма проводит валидацию неявных вызовов, предотвращающая перехват потока исполнения, например переписывая таблицы виртуальных функций. Именно этим мы и воспользуемся, но для начала найдем максимум информации о CFG и его внутреннем устройстве. Итак, когда игра не загружена то, адреса должны указывать на статические данные внутри UnityPlayer.dll, но после загрузки игры выделяться, например в куче. Зная это, можем приступать к поиску. В итоге нашелся статический адрес указывающий на старшую часть указателя, который работает с CFG, когда игра находится в меню или загружается, то старшая часть равна 7FFX( X - значение от 0 до F), но когда игра загружена, то значение меняется на адрес кучи. Что-то типа: Static - 7FFFDEADBEEF Heap - 01EFDEADBEEF Значит берем старшую часть, уменьшаем её для более простого сравнения используя:
value & 0xFFF В итоге, получаем значение которое можем засунуть для проверки в автосплитере, если игра не загружена, то значение равно от 4080 до 4095, но если игра загружена, то значение меньше 600, но на всякий случай, я указал: value < 4080 И на этом все, на все про все у меня ушло где-то 2.5-3 недели, просто чтобы узнать состояние игры. В общем, было интересно и стало более понятно как юнити работает с памятью.
Желаю всем подобных заданий, это ведь интересней, чем патрончики накручивать.
Большое исследование - моментальное редактирование
То есть что бы можно было написать свой код, потом включить компиляцию, и функция добавляется в чужой процесс без всяких проблем, на неё можно послать поток игры, сделать прыжок и так далее, изменять когда хочешь на высоком уровне, а не на ассемблере.
Мною было проведено исследование в котором было поставлена цель сделать это, и по итогам это вполне возможно! и это просто замечательно! ☺️
Нужно просто написать внедряющую часть, которая учитывает различные моменты и восстанавливает зависимости функции в новом процессе.
В этих трёх видео показан процесс исследования с нуля, до успешной работы ? В них нет звука вообще, даже кликов, так что советую включить какую то музыку если будите смотреть
А ещё в них прокомментированы действия, и некоторые функции взаимодействия с памятью других процессов, что может быть полезно: В первом виде всё медленно из за моей сонности ?
Во втором кульминация продуктивности!
В третьем к завершению дополнительно рассмотрено как сделать бегающий по экрану квадратик (к сожалению на видео он мерцает, на самом деле это не так), а ещё в нём почему то гора пропусков в конце, постоянно само ставилось на паузу, но это уже после основной части, где эксперимент объявлен успешно завершённым ? (если кто то что то заметит странное то скажите пожалуйста если не лень)
Тут показан общий принцип, если кому ни будь это будет интересно, могу продолжить и добавить перенос других зависимостей что бы можно было писать используя типы, или же вызывать другие функции, которые не помечены как внедряемые (то есть перенос вложенных функций)
Добавлены видео:
Скучное видео в котором делается AOBscan для автоматического поиска
Часть 5, в которой код приводится в порядок и создаются универсальные функции, а потом демонстрируется автоматическое размещение на разные адреса, это лучшее видно в плане принципа работы и кода? Демонстрация того что можно сделать, но уже на 64 бит ☺️
[Ghidra] Правка вывода декомпилятора
В общем давняя проблема была со значениями при декомпиляции, а именно они просто не отображались и вывод декомпилятора выглядел вот так: fVar12 = (float)uVar3 * (float)0x2f800000 * FLOAT_142ab7340; а нам нужно: fVar12 = (float)uVar3 * (float)0x2f800000 * 6.28318548; Это возникает только при анализе дампов, когда гидра считает, что адрес по которому лежит значения является динамическим, поэтому брать на себя ответственность за неправильный вывод гидра не хочет и предоставляет нам адрес. Чтобы поправить вывод, необходимо указать, что этот адрес и значение в нем являются константой. Для этого надо перейти по адресу со значением, ПКМ по значению, Data -> Settings -> Mutability = constant.
Теперь мне кажется, что гидра еще более сложный инструмент, чем ида.?
[Writeup] TraineMe by Xipho
Реверсим...Ставим бряк по адресу TraineMe.0+12E6 в x64dbg: bp TraineMe.0+12e6 Чтобы узнать, что лежит в регистрах и сделать код в функции m_fnEncodeValue более читаемым. После восстановления видим, что существует 2 массива для работы со здоровьем с общей структурой т.е.: PlayersArray[idx * 4] = KeysArray[idx * 4] ^ m_fLoadedHealth
Сам ключ вычисляется довольно просто: srand(time64(0)) //Задаем seed для последующей генерации "рандомных" чисел с помощью rand() m_wPseudorandom = rand() KeysArray[idx * 4] = (m_wPseudorandom + (m_wPseudorandom * 0x93275ab3) >> 0x3f) * 0xdeadbeef + 1 Обратите внимание на код, который был показан выше, а точнее на последний аргумент: m_fnEncodeValue(this ,param_2,m_fHealth ,AllocatedMemory,0); m_fnEncodeValue(this ,param_2,m_fAttack ,AllocatedMemory,1); m_fnEncodeValue(this ,param_2,m_fHealth ,AllocatedMemory,2);
0, 1, 2 указывает на используемый индекс в структуре, которая была выделена во время нажатия кнопки “Start Game” 0 - текущее значение 1 - урон (???) 2 - статичное значение, скорее всего максимальное значение здоровья
Эти значения могут пригодится для одного из способов создания бессмертия. Немного о выделении памяти, в этом traineme существует 2 основных выделения памяти под структуры на 48 и 24 байт. Все основные вычисления проводятся в той что по-больше.
Задание 2
Выполнив первое задание, мы без проблем можем обнаружить единственную нужную инструкцию.
После быстрого анализа кода с помощью трассировок, найти участок кода, где здоровье вычитается(а на деле прибавляется.), не составит труда. А теперь вспомним о значение 50, которое мы находили в первом задании. Весь алгоритм вычисления урона: srand(time64(0)) damage_multiplier = rand() / 32767.00000000 //приводим множитель к 1 damage = 50.f * damage_multiplier ^ 0x80000000 // 50.0 * 0.67 = 33.5 ^ 0x80000000 = -33.5 // // Загружается и расшифровывается значение здоровья (health) // health += damage //1000.0 += -33.5 damage = 0 damage_multiplier = 0 Задание 3
Довольно сложное задание, для тех, кто никогда/мало работал с GDI, поэтому ответ есть в этом видео:
01. Основные графики Windows. Изучаем GDI. Pen, Brush, Rectangle. Ну и табличка прилагается. TraineMe.CT RE--TraineMe.pdf
Задачка по IDA и Python
Адрес2 - Tutorial-i386.exe+16DBED - 89 45 FC - mov [ebp-04],eax или адрес 0x0056DBED И вот думаю, как скрипт ниже переделать, чтобы сначала вывести текстовый маршрут, а потом и хотя бы одну ветвь кода. Т.е. поднимаясь вверх по иерархии вызовов нужно остановиться до Адреса2. Пока просто вывод от стартовой функции без условий Как будет время попробую доделать... p.s. Ну ничего так idc скрипты. Много всего, но смысл тот же, что и в CE Lua у некоторых функций. Еще не разобрался как Python подключить к IDA, пока на idc скриптах. Будет интересно еще посмотреть эту же задачу на Hydra и Radare, ну и в CE (в новой версии появилось окно диаграмм)