[Руководство] Сканер адрессов + Поиск сигнатур

[крайслер]

Сканер адрессов:
Создаем новый проект:
Скрин1

[Ссылки могут видеть только зарегистрированные пользователи. ]

Проект Win32
Скрин2

[Ссылки могут видеть только зарегистрированные пользователи. ]

Скрин3

[Ссылки могут видеть только зарегистрированные пользователи. ]

Тип проекта - Библтотека DLL
Доп.параметры - Пустой проект
Скрин4

[Ссылки могут видеть только зарегистрированные пользователи. ]

Создаем фаил исходного кода(.срр) - ПКМ - Добавить - Создать элемент(или нажать Ctrl+Shift+A)
Скрин5

[Ссылки могут видеть только зарегистрированные пользователи. ]

Скрин6

[Ссылки могут видеть только зарегистрированные пользователи. ]

Подключаем нужные фаилы:

Код:

#include <windows.h>
#include <stdio.h>
#include <iostream>
#include <fstream>

Пишем точку входа(позже ее заполним)

Код:

BOOL WINAPI DllMain(HINSTANCE module, DWORD dwReason, LPVOID lpvReserved)
 {
 if (dwReason == DLL_PROCESS_ATTACH)
 {

 ExitProcess(0);//закрываем процесс
 }
 return true;
 }

Пока у нас только закрывается процесс при аттаче...

Не люблю когда все сваленно в обном фаиле, поэтому создаем заголовочный фаил(.h)
Скрин7

[Ссылки могут видеть только зарегистрированные пользователи. ]

Я назвал его Hack.h... Подключаем его к главному фаилу проекта, дописав в нем

Код:

#include "Hack.h"

Теперь заполним этот фаил нужными нам функциями:
ФиндПаттерн

Код:

bool bCompare(const BYTE* pData, const BYTE* bMask, const char* szMask)
 {
 for(;*szMask;++szMask,++pData,++bMask)
 if(*szMask=='x' && *pData!=*bMask) return 0;
 return (*szMask) == NULL;
 }
 DWORD FindPattern(DWORD dwAddress,DWORD dwLen,BYTE *bMask,char * szMask)
 {
 for(DWORD i=0; i<dwLen; i++)
 if (bCompare((BYTE*)(dwAddress+i),bMask,szMask)) return (DWORD)(dwAddress+i);
 return 0;
 }

Работа с .txt

Код:

using namespace std;
ofstream ofile; 
char dlldir[320];

void __cdecl add_log (const char *fmt, ...)
 {
 if(ofile != NULL)
 {
 if(!fmt)
 { 
	 return;
 }
 va_list va_alist;
 char logbuf[256] = {0};
 va_start (va_alist, fmt);
 _vsnprintf (logbuf+strlen(logbuf), sizeof(logbuf) - strlen(logbuf), fmt, va_alist);
 va_end (va_alist);
 ofile << logbuf << endl;
 }
 }
 char *GetDirectoryFile(char *filename)
 {
 static char path[320];
 strcpy(path, dlldir);
 strcat(path, filename);
 return path;
 }

Добавим еще два заголовочных фаила и включим их в проект:
Signature.h - здесь будем писать сигнатуры
PrintAdress.h - здесть будем записывать адресса в txt

Код:

#include "Signature.h"
#include "PrintAdress.h"

Заполняем(пример на ЕСП и АнтиСлеп):
Signature.h

Код:

 DWORD Flash = FindPattern(0x401000,0x4c8000,(PBYTE)"\x55\x8B\xEC\x83\xEC\x64\x89\x4D\xA4\x83\x7D\x08\x00","xxxxxxxxxxxxx");
 DWORD HP1 = FindPattern(0x401000,0x4c8000,(PBYTE)"\x0F\x85\x00\x00\x00\x00\x8D\x4D\x93","xx????xxx");
 DWORD HP2 = FindPattern(0x401000,0x4c8000,(PBYTE)"\x0F\x84\x00\x00\x00\x00\x8B\x85\x00\x00\x00\x00\x8B\x48\x10\xE8\x00\x00\x00\x00\x50","xx????xx????xxxx????x");

PrintAdress.h

Код:

void PrintLog()
{
	add_log("#define ESP1  0x%X",HP1);
	add_log("#define ESP2  0x%X",HP2);
	add_log("#define NoFlash  0x%X",Flash);
}

Вернемся к нашей точке входа и допишем все остальное:

Код:

BOOL WINAPI DllMain(HINSTANCE module, DWORD dwReason, LPVOID lpvReserved)
 {
 if (dwReason == DLL_PROCESS_ATTACH)
 {
 remove("C:\\LogSignature.txt");//удаляем,если есть, старый фаил
 ofile.open(GetDirectoryFile("C:\\LogSignature.txt"), ios::app);//создаем новый фаил
 PrintLog();//заполняем сoзданный ранее фаил
 ExitProcess(0);//закрываем процесс
 }
 return true;
 }

Компилируем и пробуем(заранее переименовав dll в "dxhook.dll" или "Game.dll")


Поиск сигнатур:
Используем ОллиДебаггер+плагин "SigScan"(Ссылки ниже)...

Запускаем программу и открываем "PointBlank.exe.exe"
Скрин1

[Ссылки могут видеть только зарегистрированные пользователи. ]

Переходим по адрессу функции(в моем случаи это АнтиСлеп - 661FD0)
Скрин2

[Ссылки могут видеть только зарегистрированные пользователи. ]

Выделяем область в несколько адрессов, ПКМ - Make Sig - Test Sig - Scan, и смотрим на результат
Скрин3

[Ссылки могут видеть только зарегистрированные пользователи. ]

Скрин4

[Ссылки могут видеть только зарегистрированные пользователи. ]

Если адрессов несколько то возвращаемся и выделяем область побольше
Скрин5

[Ссылки могут видеть только зарегистрированные пользователи. ]

Ноходим уникальный набор байт и вписываем все в "формулу"

Код:

DWORD Адресс = FindPattern(Начало,Конец,(PBYTE)"Байты","Маска");

Если не удается найти уникальные байты(например такое происходит с быстрым минированием), то:

Цитата: Сообщение от Annedroid допустим ищешь какой-то динамический адрес, а он меняется, и байты к нему не подобрать, тогда ты ищешь адрес который рядом с ним и ищешь его байты, а потом просто прибавляешь смещение (разницу между нужным адресом и адресом по которому искали)...

Для тех у кого нет строки Make Sig

Цитата: Сообщение от Meteor2142 Заходишь в Олли, жмешь Options->Appearence->Directories, там указываешь путь ка папке где лежит твой Олли, жмешь ОК, а потом перезагружаешь Олли!

Ссылки:
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]

[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ] (Незнаю почему такое большое кол-во вирусов)

The end...

[•spaik•]

Крайслер почему когда я открываю в ольке pointblank.exe.exe выдает ошибку типа фростколлектора вот скрин [Ссылки могут видеть только зарегистрированные пользователи. ]

[Mazafuckas]

Цитата: Сообщение от •spaik• Крайслер почему когда я открываю в ольке pointblank.exe.exe выдает ошибку типа фростколлектора вот скрин [Ссылки могут видеть только зарегистрированные пользователи. ]

Это всегда так
Просто нажми "Ок"

[•spaik•]

А потом оказываюсь в модуле frostcollector.dll

[крайслер]

Цитата: Сообщение от •spaik• А потом оказываюсь в модуле frostcollector.dll

Решение

[Ссылки могут видеть только зарегистрированные пользователи. ]

[Meteor2142]

•spaik•,
Сообщение предупреждает что файл то ли модифицирован, то ли еще что-то, вообщем чтобы знал это когда ставил BreakPoint'ы

[elvin115]

у мя нету ПКМ - Make Sig помогите

[Ссылки могут видеть только зарегистрированные пользователи. ]

[V11RUS]

Цитата: Сообщение от elvin115 у мя нету ПКМ - Make Sig помогите

Плагины хоть подключил?
В настройках сверил расположение твоих плагинов и написанных в настройках?

[Meteor2142]

elvin115,
Заходишь в Олли, жмешь Options->Appearence->Directories, там указываешь путь ка папке где лежит твой Олли, жмешь ОК, а потом перезагружаешь Олли!

[elvin115]

[Ссылки могут видеть только зарегистрированные пользователи. ]

[Meteor2142]

elvin115,
Я же сказал, выбери путь где у тебя стоит расспокованая программа!

[•spaik•]

Вот ознакомительное видио: [Ссылки могут видеть только зарегистрированные пользователи. ]
Конешно видио не ахти, так как на ютубе акк забыл

[BLACK_DEAD]

Цитата: Сообщение от seakvon Куда "туда"? в олю?

в свой сканер или накрайняк в вх

[_PASHA_]

а как сделать чтоб и фраемворк дс показывал?

[Meteor2142]

_PASHA_,
Также
Пишешь модуль
HMODULE Frame = GetModuleHandle("i3frameworkdx.dll");
Пишешь сам паттерн
DWORD Adress = FindPattern ((DWORD)Frame , 0x2A715B, (PBYTE)"\x00\x00\x00\x00\x00", "xxxxxxxxxxx");

Все