Гость j711 Опубликовано 29 августа, 2018 Поделиться Опубликовано 29 августа, 2018 Добрый день. Суть проблемы: Написал несколько ботов для игры Perfect World и всё замечательно работало, но недавно вместе с обновой локализаторы установили драйвер в систему, блокирующий доступ к памяти клиента. Т.е. функции ReadProcessMemory и WriteProcessMemory не работают. Каким образом можно обойти защиту? Заранее благодарен. Ссылка на комментарий Поделиться на другие сайты Поделиться
Xipho Опубликовано 2 сентября, 2018 Поделиться Опубликовано 2 сентября, 2018 Можешь попробовать использовать недокументированные функции записи/чтения памяти. Ссылка на комментарий Поделиться на другие сайты Поделиться
JustHack Опубликовано 2 сентября, 2018 Поделиться Опубликовано 2 сентября, 2018 (изменено) [censored] Изменено 11 апреля, 2020 пользователем JustHack Ссылка на комментарий Поделиться на другие сайты Поделиться
Xipho Опубликовано 2 сентября, 2018 Поделиться Опубликовано 2 сентября, 2018 Только что, JustHack сказал: Столько уроков по этому, что уже документированные стали)) ну, в MSDN они остаются недокументированными же ) Ссылка на комментарий Поделиться на другие сайты Поделиться
JustHack Опубликовано 2 сентября, 2018 Поделиться Опубликовано 2 сентября, 2018 (изменено) [censored] Изменено 11 апреля, 2020 пользователем JustHack Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость j711 Опубликовано 2 сентября, 2018 Поделиться Опубликовано 2 сентября, 2018 А можно ссылочку на эти недокументированные функции / уроки? Гугл мне с этим не помог( Ссылка на комментарий Поделиться на другие сайты Поделиться
mrPTyshnik Опубликовано 2 сентября, 2018 Поделиться Опубликовано 2 сентября, 2018 (изменено) 1) читать через системные процессы которые имеют хендл с нужными правами(system, svchost.exe, lsass.exe, csrss.exe) 2) каким-то образом загрузить либу в процесс и читать напрямую 3) драйвера(свой или юзать уязвимые). Тут много вариаций: MmCopyVirtualMemory KeStackAttachProcess + RtlCopyMemory MmMapIoSpace Замаппить в юзермод приложение \Device\PhysicalMemory ну или просто изменить header_Object у этого объекта чтобы из юзера можно было бы открыть. Скорее всего, на Win8 + эти RPM/WPM никак не трогают(я имею ввиду нету ядерных хуков, так как KPP). Возможно ставят каллбак на открытие процесса ->> OpenProcess не имеет должных привилегий, поэтому и RPM/WPM не могут работать. Можно нейтрализовать калбеки и вызывать функции без проблем, либо из драйвера(своего или чужого) получить хендл для процесса игры с нужными правами(в идеале с PROCESS_ALL_ACCESS) и спокойно работать(malwarefox driver) - хоть и не так безопасно. Изменено 2 сентября, 2018 пользователем mrPTyshnik одно упоминание DLL-HIJACKING'а автоматом ставит под этим сообщение минимум 2 смайла со смехом. Так и живем, технологиями "2007-года". ЗЫ: гораздо раньше, гораздо Ссылка на комментарий Поделиться на другие сайты Поделиться
re3ake Опубликовано 30 декабря, 2018 Поделиться Опубликовано 30 декабря, 2018 Just disable\replace ObRegisterCallbacks Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения