[Помогите!] Немного о скрытии.

[Nickitee]

Всем привет, недавно стал изучать PB в "читерском" плане.
Вроде не всё так плохо для изучения, но вот не могу никак поладить с фростом, а именно с его детектом "самоинжекторной d3d9.dll".
Как я понял после n-минут после запуска выполняется функция которая обновляет "dllWhiteList.txt" в которой я так понял хранятся "белые" .dll
в формате "ID-хеш сумма-название".
Дальше скорее всего выявляется "левая" .dll (d3d9.dll), создаётся "unloadDllXXXX" и если он не пустой (не важна что там) - выполняем кик.
Пробовал паблик скрытие.
Но "unloadDllXXXX" все равно создавался, правда с непонятным содержимым:

Код:

gggggggggggggggggggggggggggggggg D:\Games\PointBlank;C:\Windows\system32;C:\Windows\system;C:\Windows;.;.\frost;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

Исходя из всего этого, я так понимаю, мне необходимо либо не записывать ничего в этот .txt (Ибо если этот файл пуст ничего плохо не происходит), либо вообще заблочить/убить создание этого файла.
Но так как я сейчас вообще не понимаю как работает фрост, его основные модули, а особенно модуль в котором хранятся функции детекта и записи .txt файл. Не могли бы "Тру" читеры PB подсказать в каком направлении копать.
Спасибо за внимание.

[$._KING_.$]

Заходи в frostcollector.dll ищи функцию выгрузки.

[PrivateWH]

Цитата: Сообщение от Nickitee Как я понял после n-минут после запуска выполняется функция которая обновляет "dllWhiteList.txt" в которой я так понял хранятся "белые" .dll

Инфа считуется с ихнего сервера, а dllWhiteList.txt это просто лог .

frostcollector.dll-->>frostfunc

[Nickitee]

Как то так:

Код:

.text:72753EC0                 public frostFunc
.text:72753EC0 frostFunc       proc near               ; DATA XREF: .data:off_729A46D0o
.text:72753EC0
.text:72753EC0 var_10          = dword ptr -10h
.text:72753EC0 var_C           = dword ptr -0Ch
.text:72753EC0 var_4           = dword ptr -4
.text:72753EC0 arg_0           = dword ptr  8
.text:72753EC0 arg_4           = dword ptr  0Ch
.text:72753EC0
.text:72753EC0                 push    ebp
.text:72753EC1                 mov     ebp, esp
.text:72753EC3                 push    0FFFFFFFFh
.text:72753EC5                 push    offset loc_72770C90
.text:72753ECA                 mov     eax, large fs:0
.text:72753ED0                 push    eax
.text:72753ED1                 push    ecx
.text:72753ED2                 push    ebx
.text:72753ED3                 push    esi
.text:72753ED4                 push    edi
.text:72753ED5                 mov     eax, ds:dword_72777050
.text:72753EDA                 xor     eax, ebp
.text:72753EDC                 push    eax
.text:72753EDD                 lea     eax, [ebp+var_C]
.text:72753EE0                 mov     large fs:0, eax
.text:72753EE6                 mov     [ebp+var_10], esp
.text:72753EE9                 mov     esi, [ebp+arg_0]
.text:72753EEC                 lea     eax, [esi-1]
.text:72753EEF                 mov     [ebp+var_4], 0
.text:72753EF6                 cmp     eax, 7          ; switch 8 cases <-Сравниваем знчение eax и 7
.text:72753EF9                 ja      loc_72753FD4    ; default <- Если eax не ниже 7 или равен 7, то прыгаем на функцию, которая ничего не записывает?
.text:72753EFF                 jmp     ds:off_72754044[eax*4] ; switch jump <- прыгаем по индексу [eax*4] массива 72754044?

Если я правильно понял, то мне надо сделать eax равному 7 до проверки, либо сделать переход без условий?

[$._KING_.$]

.text:72753EF6 cmp eax, 7 ; switch 8 cases <-Сравниваем знчение eax и 7
я раньше этого менял!

[slava-zis]

Nickitee, эх в плохую игру ты полез...

хотя если для изучения фроста то все норм...

есть у этого метода одна беда -> для него нужно успешно заинжектить длл...

[erro1]

Работать с дампом сделанным PE tools эта та еще жопоболь. Вот если полностью восстановить таблицу импорта, а в ней уже искать LdrUnloadDll.

[Nickitee]

Цитата: Сообщение от erro1 Работать с дампом сделанным PE tools эта та еще жопоболь. Вот если полностью восстановить таблицу импорта, а в ней уже искать LdrUnloadDll.

Да я так и понял, что я уже только не делал, и менял eax на 7 до проверки, делал переходы со всех "локаций" на последнею, нопил проверку и делал переход без условий - всё время краш.
Есть ли инфа по "полностью восстановить таблицу импорта"? А ещё лучше информация с практикой.
Гугл не сильно разговорчив на эту тему.

[erro1]

Цитата: Сообщение от Nickitee Да я так и понял, что я уже только не делал, и менял eax на 7 до проверки, делал переходы со всех "локаций" на последнею, нопил проверку и делал переход без условий - всё время краш. Есть ли инфа по "полностью восстановить таблицу импорта"? А ещё лучше информация с практикой. Гугл не сильно разговорчив на эту тему.

Ну это конечный этап распаковки (1. поиск OEP 2. Снятие дампа. 3. Восстановление IAT(import address table)). Запакованы файлы фроста Themida\WinLicense. Есть скрипты для распаковки для ollydbg. Проблема в том что нужно обойти защиту пакера от анти дебаггера сперва, т.к. длл попросту не даст себя загрузить. Думаю в подполье эту тему уже подробно разжевали. Сомневаюсь что больше 5 человек на этом форуме самостоятельно распаковали dll-ки с фроста, ибо это не для новичков занятие.

P.S. Я бы подсказал больше, но сам я еще никогда не распаковывал Темиду. Только простые протекторы.

[slava-zis]

Цитата: Сообщение от erro1 нужно обойти защиту пакера от анти дебаггера сперва

логично предположить что у них лицензия на упаковщик куплена и они пакуют последней версией, так что особо полезных гайдов почти не будет...

[Nickitee]

Цитата: Сообщение от slava-zis логично предположить что у них лицензия на упаковщик куплена и они пакуют последней версией, так что особо полезных гайдов почти не будет...

Если есть приватная лицензия пакера, то должна быть приватная версия анпакера.
Вот, сколько интересно она стоит?

[iamzero]

Цитата: Сообщение от Nickitee Если есть приватная лицензия пакера, то должна быть приватная версия анпакера. Вот, сколько интересно она стоит?

найди разрабов и спроси
только думаю что после того как ты узнаешь - ты сразу забьешь на это дело