pachela

4 часа назад, Dino сказал:

Veh Debugger  не может не работать, но с ним могут возникнуть пару нюансов. Для работы он должен загрузить свой модуль в адресное пространство игры, а затем уже проинициализироваться, этого не случится если :

a) В игре установлены хуки(как ты уже подметил) на такие функции как LoadLibrary, LoadLibraryEx, LdrLoadDll, в этом случае нужно вернуть оригинальные байты пролога, в общем то ничего сложного.. если конечно в игре не стоит контроль за целостностью памяти

б) Защита игры мониторит загруженные в нее модули и  в случае обнаружения постороннего - бан/вылет и все в этом духе. 

 

 

Я пробовал снимать через PCHunter хуки на брекпоинты (название хуков сейчас не припомню и нет возможности подсмотреть в шпаргалку), ничего это не дало. Значения то изменились, но от этого дебаггеры не стали работать.

В общем то поснимал я несколько раз дампы памяти и через dissect data\structure сравнил их. В том месте где находятся нужный мне адрес, присутствуют некоторые поинтеры и просто значения, которые не меняются. Можно ли как то опираясь на эти адреса, находить мой адрес? Может написать трейнер который будет искать поинтер такой то, от него отсупать на сколько то там байт и изменять значение в нужном адресе? Либо имея кучу дампов, можно ли как то найти оффсеты?

18 час назад, Dino сказал:

у тебя Veh Debugger палится игрой? 

Вообще СЕ палится, но после своей сборки, то с танцами с бубном получается запустить. Дебаггер вроде бы не палится, но ни один, кроме Kernelmod не аттачится к процессу, а последний, так и после аттача не работает. В игре стоят хуки на брекпоинты. Но самое интересное, что я вижу окно ассемблера.

6 часов назад, SER[G]ANT сказал:

Почитай ответы автора программы вот в этой теме.

http://forum.cheatengine.org/viewtopic.php?p=5644410

Спасибо, очень помогло. Хотя я и видел эту тему еще в начале года и пытался повторить все, но вылезала ошибка, оказалось, что нужно удалить пробелы после каждого слова в строчках driver64.dat. Но сволочь античит продолжает палить =(, даже если закрыть СЕ, но не выгружать драйвер. Походу все же в драйвере проблема =(.

Появились новые соображения, но опять таки, я не сильно знакомы со ВСЕМИ функциями СЕ, но думаю что есть нечто подобное в нем, либо у кого то в наработках.

Т.к. у меня окно асемблера работает, то я могу снять дамп куска памяти. Так вот как мне сообщил один "умник" который делает трейнера для игры, он делает их при помощи автоматического сравнения дампов.

Может кто подсказать как сравнивать дампы и что в них искать?

Облазил весь интернет и нифига толкового не нашел.

Можно ли как то спрятать драйвер (РОДНОЙ!!!) dbk64.sys? Так как сейчас модно делать детект по запущенному драйверу, а из-за особенностей современных 64 разрядных ОС (Виста, 8, 10) самодельный драйвер без тест режима не запустить.

Или можно как то запустить самодельный драйвер на вин 10 х64 без тестового режима?

В 27.08.2016в09:39, keng сказал:

 Так это, что за игра-то? Без названия можно долго тыкать пальцем в небо, а так хоть попробовать можно что-то сделать.

В паблике этого не могу написать.

6 часов назад, Xipho сказал:

Еще вариант - попробовать переименовать файл СЕ и, через тот же Resource Hacker или Restorator (или же поиском и отладкой), заголовок главного окна. Возможно, детект происходит именно по этим параметрам. Или, тоже вариант, поставить хук на функции чтения из памяти, чтобы убедиться, что целевая игра их не хукала.

Ну хук то можно поставить, но я не умею. А вот переименовка процесса и т.п. не помогает. В особенности когда загружен драйвер dbk64.sys, для работы с ядром. Без ядра, вообще СЕ не работает.

5 часов назад, Xipho сказал:

Зачем руками? Есть в артемоне поиск по файлам, например. Или, в про версии - поиск по формуле. Там тоже сначала снимаются дампы памяти, а потом сравниваются по формуле. В этом случае, я думаю, может что-то получиться.

Какой артмани? Если стоит защита от отладки, то можно было догадаться, что артмани 100% работать не будет, т.к. от нее тоже защита. СЕ тоже получается запустить только после танцев с бубном.

12 минуты назад, MasterGH сказал:

 

 

Возможно. Сканер указателей или поиск по дампам.

 

 

Без отладчика, брейкпоинтов, трассировки проблематично. Инструкций обычно очень много и в них можно найти обращения к статическим адресам из найденных указателей. По статическим адресам можно просмотреть обращения по смещениям, но куда следовать по коду и по каким смещениям надо изучать более детально в IDA, смотреть структуры одновременно. Можешь использовать декомпилятор плагин в IDA, тоже может помочь.

Сканер указателей не хочет давать результаты. Просто зависает процесс игры и СЕ. А если после 100500 попытки не зависает, то все равно результатов нет. =(

Я посмотрел, есть кое какие люди которые для этой игры трейнеры рисуют, но они же в приватной беседе говорят, что отладчик заставить работать с этой защитой нереально (на 99%, за 1% шанса возьмут 15-20к рублей и гарантий не дадут) и что они трейнера пишут не через отладчик.

Возможно ли найти указатели на адрес без возможностей ставить брейкпоинты? Прикол в том,что в игре стоит защита от отладки и любая попытка приаттачиться заканчивается закрытием отладчика и баном. Отладчик в СЕ работает, но только из режима ядра, но беда в том, что защита игры подгружает хуки в ring3 на установку брейкпоинтов. Пытался снимать руками эти хуки, выбираю адрес и жму F6, окно открывается, но после манипуляций в игре, оно остается пустым.

Если открыть карту памяти (Memmory Viewer) то в окошке с инструкциями вся инфа высвечивается, но опять же, выставив брейкпоинт на доступ окошко снова пустое.

Короче вопрос в следующем: Можно ли через окошко асемблера (то где написаны инструкции) найти ручками и глазками нужные указатели?