Перейти к содержанию

Защита от ReadProcessMemory


Гость j711

Рекомендуемые сообщения

Добрый день.

 

Суть проблемы:

Написал несколько ботов для игры Perfect World и всё замечательно работало, но недавно вместе с обновой локализаторы установили драйвер в систему, блокирующий доступ к памяти клиента. Т.е. функции ReadProcessMemory и WriteProcessMemory не работают. Каким образом можно обойти защиту?

Заранее благодарен.

Ссылка на комментарий
Поделиться на другие сайты

1) читать через системные процессы которые имеют хендл с нужными правами(system, svchost.exe, lsass.exe, csrss.exe) 
2) каким-то образом загрузить либу в процесс и читать напрямую
3) драйвера(свой или юзать уязвимые). Тут много вариаций:
MmCopyVirtualMemory
KeStackAttachProcess + RtlCopyMemory

MmMapIoSpace
Замаппить в юзермод приложение \Device\PhysicalMemory ну или просто изменить header_Object у этого объекта чтобы из юзера можно было бы открыть.
Скорее всего, на Win8 + эти RPM/WPM никак не трогают(я имею ввиду нету ядерных хуков, так как KPP). Возможно ставят каллбак на открытие процесса ->> OpenProcess не имеет должных привилегий, поэтому и RPM/WPM не могут работать. 
Можно нейтрализовать калбеки и вызывать функции без проблем, либо из драйвера(своего или чужого) получить хендл для процесса игры с нужными правами(в идеале с PROCESS_ALL_ACCESS) и спокойно работать(malwarefox driver) - хоть и не так безопасно. 

Изменено пользователем mrPTyshnik
одно упоминание DLL-HIJACKING'а автоматом ставит под этим сообщение минимум 2 смайла со смехом. Так и живем, технологиями "2007-года". ЗЫ: гораздо раньше, гораздо
Ссылка на комментарий
Поделиться на другие сайты

  • 3 месяца спустя...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, Вы автоматически соглашаетесь соблюдать наши Условия использования.