|
Немного о скрытии. - Общение разработчиков - Программирование для Point Blank, общение и обсуждение разработок |
12.07.2012, 23:58
|
#1
|
|
|
|
Рыцарь-защитник
|
Регистрация: 28.08.2009
Сообщений: 603
Популярность: 19129
Золото Zhyk.Ru: 500
Сказал(а) спасибо: 84
Поблагодарили 602 раз(а) в 321 сообщениях
|
Немного о скрытии.
Всем привет, недавно стал изучать PB в "читерском" плане.
Вроде не всё так плохо для изучения, но вот не могу никак поладить с фростом, а именно с его детектом "самоинжекторной d3d9.dll".
Как я понял после n-минут после запуска выполняется функция которая обновляет "dllWhiteList.txt" в которой я так понял хранятся "белые" .dll
в формате "ID-хеш сумма-название".
Дальше скорее всего выявляется "левая" .dll (d3d9.dll), создаётся "unloadDllXXXX" и если он не пустой (не важна что там) - выполняем кик.
Пробовал паблик скрытие.
Но "unloadDllXXXX" все равно создавался, правда с непонятным содержимым:
Код:
gggggggggggggggggggggggggggggggg D:\Games\PointBlank;C:\Windows\system32;C:\Windows\system;C:\Windows;.;.\frost;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\
Исходя из всего этого, я так понимаю, мне необходимо либо не записывать ничего в этот .txt (Ибо если этот файл пуст ничего плохо не происходит), либо вообще заблочить/убить создание этого файла.
Но так как я сейчас вообще не понимаю как работает фрост, его основные модули, а особенно модуль в котором хранятся функции детекта и записи .txt файл. Не могли бы "Тру" читеры PB подсказать в каком направлении копать.
Спасибо за внимание.
________________
We are Ducks. We are birds. We like bread. We cryack. Cryack.
|
|
|
13.07.2012, 10:22
|
#2
|
|
|
|
Сержант
|
Регистрация: 31.03.2011
Сообщений: 131
Популярность: 3991
Сказал(а) спасибо: 46
Поблагодарили 162 раз(а) в 87 сообщениях
|
Re: Немного о скрытии.
Заходи в frostcollector.dll ищи функцию выгрузки.
|
|
|
13.07.2012, 11:18
|
#3
|
|
|
|
Разведчик
|
Регистрация: 07.07.2012
Сообщений: 2
Популярность: 181
Сказал(а) спасибо: 0
Поблагодарили 1 раз в 1 сообщении
|
Re: Немного о скрытии.
|
|
|
13.07.2012, 17:06
|
#4
|
|
|
|
Рыцарь-защитник
|
Регистрация: 28.08.2009
Сообщений: 603
Популярность: 19129
Золото Zhyk.Ru: 500
Сказал(а) спасибо: 84
Поблагодарили 602 раз(а) в 321 сообщениях
|
Re: Немного о скрытии.
Как то так:
Код:
.text:72753EC0 public frostFunc
.text:72753EC0 frostFunc proc near ; DATA XREF: .data:off_729A46D0o
.text:72753EC0
.text:72753EC0 var_10 = dword ptr -10h
.text:72753EC0 var_C = dword ptr -0Ch
.text:72753EC0 var_4 = dword ptr -4
.text:72753EC0 arg_0 = dword ptr 8
.text:72753EC0 arg_4 = dword ptr 0Ch
.text:72753EC0
.text:72753EC0 push ebp
.text:72753EC1 mov ebp, esp
.text:72753EC3 push 0FFFFFFFFh
.text:72753EC5 push offset loc_72770C90
.text:72753ECA mov eax, large fs:0
.text:72753ED0 push eax
.text:72753ED1 push ecx
.text:72753ED2 push ebx
.text:72753ED3 push esi
.text:72753ED4 push edi
.text:72753ED5 mov eax, ds:dword_72777050
.text:72753EDA xor eax, ebp
.text:72753EDC push eax
.text:72753EDD lea eax, [ebp+var_C]
.text:72753EE0 mov large fs:0, eax
.text:72753EE6 mov [ebp+var_10], esp
.text:72753EE9 mov esi, [ebp+arg_0]
.text:72753EEC lea eax, [esi-1]
.text:72753EEF mov [ebp+var_4], 0
.text:72753EF6 cmp eax, 7 ; switch 8 cases <-Сравниваем знчение eax и 7
.text:72753EF9 ja loc_72753FD4 ; default <- Если eax не ниже 7 или равен 7, то прыгаем на функцию, которая ничего не записывает?
.text:72753EFF jmp ds:off_72754044[eax*4] ; switch jump <- прыгаем по индексу [eax*4] массива 72754044?
Если я правильно понял, то мне надо сделать eax равному 7 до проверки, либо сделать переход без условий?
________________
We are Ducks. We are birds. We like bread. We cryack. Cryack.
|
|
|
13.07.2012, 18:27
|
#5
|
|
|
|
Сержант
|
Регистрация: 31.03.2011
Сообщений: 131
Популярность: 3991
Сказал(а) спасибо: 46
Поблагодарили 162 раз(а) в 87 сообщениях
|
Re: Немного о скрытии.
.text:72753EF6 cmp eax, 7 ; switch 8 cases <-Сравниваем знчение eax и 7
я раньше этого менял!
|
|
|
13.07.2012, 20:37
|
#6
|
|
|
|
Старший сержант
|
Регистрация: 18.02.2011
Сообщений: 232
Популярность: 8824
Сказал(а) спасибо: 43
Поблагодарили 801 раз(а) в 240 сообщениях
|
Re: Немного о скрытии.
Nickitee, эх в плохую игру ты полез...
хотя если для изучения фроста то все норм...
есть у этого метода одна беда -> для него нужно успешно заинжектить длл...
|
|
|
13.07.2012, 21:48
|
#7
|
|
|
|
Разведчик
|
Регистрация: 11.08.2011
Сообщений: 0
Популярность: 105
Сказал(а) спасибо: 0
Поблагодарили 3 раз(а) в 3 сообщениях
|
Re: Немного о скрытии.
Работать с дампом сделанным PE tools эта та еще жопоболь. Вот если полностью восстановить таблицу импорта, а в ней уже искать LdrUnloadDll.
|
|
|
Пользователь сказал cпасибо:
|
|
13.07.2012, 23:55
|
#8
|
|
|
|
Рыцарь-защитник
|
Регистрация: 28.08.2009
Сообщений: 603
Популярность: 19129
Золото Zhyk.Ru: 500
Сказал(а) спасибо: 84
Поблагодарили 602 раз(а) в 321 сообщениях
|
Re: Немного о скрытии.
|
Цитата: |
|
|
|
|
|
|
|
|
|
Работать с дампом сделанным PE tools эта та еще жопоболь. Вот если полностью восстановить таблицу импорта, а в ней уже искать LdrUnloadDll.
|
|
|
|
|
|
Да я так и понял, что я уже только не делал, и менял eax на 7 до проверки, делал переходы со всех "локаций" на последнею, нопил проверку и делал переход без условий - всё время краш.
Есть ли инфа по "полностью восстановить таблицу импорта"? А ещё лучше информация с практикой.
Гугл не сильно разговорчив на эту тему.
________________
We are Ducks. We are birds. We like bread. We cryack. Cryack.
|
|
|
14.07.2012, 00:36
|
#9
|
|
|
|
Разведчик
|
Регистрация: 11.08.2011
Сообщений: 0
Популярность: 105
Сказал(а) спасибо: 0
Поблагодарили 3 раз(а) в 3 сообщениях
|
Re: Немного о скрытии.
Последний раз редактировалось erro1; 14.07.2012 в 00:44.
|
|
|
14.07.2012, 11:02
|
#10
|
|
|
|
Старший сержант
|
Регистрация: 18.02.2011
Сообщений: 232
Популярность: 8824
Сказал(а) спасибо: 43
Поблагодарили 801 раз(а) в 240 сообщениях
|
Re: Немного о скрытии.
|
|
|
14.07.2012, 11:53
|
#11
|
|
|
|
Рыцарь-защитник
|
Регистрация: 28.08.2009
Сообщений: 603
Популярность: 19129
Золото Zhyk.Ru: 500
Сказал(а) спасибо: 84
Поблагодарили 602 раз(а) в 321 сообщениях
|
Re: Немного о скрытии.
________________
We are Ducks. We are birds. We like bread. We cryack. Cryack.
|
|
|
14.07.2012, 14:36
|
#12
|
|
|
|
Разведчик
|
Регистрация: 04.05.2012
Сообщений: 18
Популярность: 805
Сказал(а) спасибо: 24
Поблагодарили 25 раз(а) в 18 сообщениях
|
Re: Немного о скрытии.
|
|
|
Ваши права в разделе
|
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
HTML код Выкл.
|
|
|
Заявление об ответственности / Список мошенников
Часовой пояс GMT +4, время: 14:46.
|
|