OldSchoolHack

Register /

New Posts Advanced Search

Eigenen Prozess vor R/W operationen schützen

Fri 10. May 2013, 14:42	Eigenen Prozess vor R/W operationen schützen	#1
Mr6 Join Date: Jan 2012 Posts: 14	Ich bin gerade dabei einen Anticheat für Arme zu schreiben. Folgendes hab ich bereits implementiert: Erkennung von Breakpoints Erkennung von Debuggern LdrLoadDll hook um nur das Laden von registrierten Dlls zu erlauben Blockierung einiger Prozesse via Dateinamen Nun hab ich aber keine Ahnung wie ich externe Zugriffe wie Read/WriteProcessMemory bzw. OpenProcess blockieren oder registrieren kann OHNE mich mittels Treiber auf Ring0 zu begeben. Hat vielleicht jemand einen Rat?
Mr6 is offline

Fri 10. May 2013, 15:02		#2
SilverFire $ Spender $ Join Date: Mar 2011 Posts: 978 User-Rating: 89 positive 6 negative	in jeden prozess ne dll injecten, die die entsprechenden funktionen hookt. generell solltest du noch .rdata und .text checksummen, evtl. vtables überprüfen, boundary checks bei funktionscalls machen, etc. __________________ Spoiler Vids: Spoiler Only registered and activated users can see links. Only registered and activated users can see links. Only registered and activated users can see links. Only registered and activated users can see links. Only registered and activated users can see links. Only registered and activated users can see links. Only registered and activated users can see links. Zitate: Spoiler Quote from xst Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit. Quote from f4gsh0t_h4x VAC ist an,immer,überall Quote from gibson.w Ich mag braune Würstchen Quote from irc <SilverDeath> KN4CK3R bistn nub <~KN4CK3R> kk Quote from irc <OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ... <OrkSchamane> da habe ich's ja doppelt schwer <~KN4CK3R> falsch <~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können Quote from irc <SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann! <Dr_Pepper> danke. <SilverDeath> bitte Quote from irc <~KN4CK3R> dann liegts wenigstens an mir <~KN4CK3R> nur noch rausfinden warum -.- <SilverDeath> ja sicher <SilverDeath> an wem sonst? * You were kicked by KN4CK3R (kick) Quote from Dr_Pepper ihr seit beide dumm Tutorials: Spoiler [TUT] CSS Extern Radar + bunnyhop - Tutorials - OldSchoolHack HookingTutorial Theorie & Anwendung - Tutorials - OldSchoolHack [Tutorial] Chams - Tutorials - OldSchoolHack [Tutorial] Pointer und Casting - Tutorials - OldSchoolHack [Tutorial] VTables - Tutorials - OldSchoolHack Releases: Spoiler [CS:S] AryanRadar 1.0.1 Beta - Counter-Strike: Source - OldSchoolHack [COD:MW3] Brummbär - Call of Duty: Modern Warfare 3 - OldSchoolHack Tettenhook 1.0.2 Public - Releases - OldSchoolHack Gifs: Spoiler Last edited by SilverFire (Fri 10. May 2013, 15:04) Reason: no reason given
SilverFire is offline

Fri 10. May 2013, 16:27		#3
Mr6 Join Date: Jan 2012 Posts: 14	Danke, dein Vorschlag mit den Dlls in jedem Prozess gefällt mir recht gut, auch wenn es nicht unbedingt resourcenschonend ist. Im Moment hook ich OpenProcess, ReadProcessMemory, WriteProcessMemory, VirtualAllocEx & CreateRemoteThread , da die APIs natürlich nur geblockt werden sollen wenn mein Prozess das Ziel ist, übergebe ich den Handle an eine exportierte funktion. CRC check hab ich jetzt auch eingebaut, von VTables erstelle ich bei Bedarf eine Schattenkopie. Was meinst du mit boundary checks? Prüfen ob die funktion in ein fremdes Modul spring?
Mr6 is offline

Fri 10. May 2013, 17:07		#4
SilverFire $ Spender $ Join Date: Mar 2011 Posts: 978 User-Rating: 89 positive 6 negative	prüfen ob bestimmte funktionen mit einer rücksprungadresse außerhalb erlaubter module aufgerufen wurde. EDIT: btw. wenn du schon so weit bist, solltest du dir langsam gedanken machen, deinen anticheat z.b. durch codestreaming zu schützen. Wenn der anticheat so viele checks macht, wird ein hacker eher versuchen den anticheat auszuschalten, anstatt zu versuchen sich i-wie vorbeizumogeln. __________________ Spoiler Vids: Spoiler Only registered and activated users can see links. Only registered and activated users can see links. Only registered and activated users can see links. Only registered and activated users can see links. Only registered and activated users can see links. Only registered and activated users can see links. Only registered and activated users can see links. Zitate: Spoiler Quote from xst Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit. Quote from f4gsh0t_h4x VAC ist an,immer,überall Quote from gibson.w Ich mag braune Würstchen Quote from irc <SilverDeath> KN4CK3R bistn nub <~KN4CK3R> kk Quote from irc <OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ... <OrkSchamane> da habe ich's ja doppelt schwer <~KN4CK3R> falsch <~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können Quote from irc <SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann! <Dr_Pepper> danke. <SilverDeath> bitte Quote from irc <~KN4CK3R> dann liegts wenigstens an mir <~KN4CK3R> nur noch rausfinden warum -.- <SilverDeath> ja sicher <SilverDeath> an wem sonst? * You were kicked by KN4CK3R (kick) Quote from Dr_Pepper ihr seit beide dumm Tutorials: Spoiler [TUT] CSS Extern Radar + bunnyhop - Tutorials - OldSchoolHack HookingTutorial Theorie & Anwendung - Tutorials - OldSchoolHack [Tutorial] Chams - Tutorials - OldSchoolHack [Tutorial] Pointer und Casting - Tutorials - OldSchoolHack [Tutorial] VTables - Tutorials - OldSchoolHack Releases: Spoiler [CS:S] AryanRadar 1.0.1 Beta - Counter-Strike: Source - OldSchoolHack [COD:MW3] Brummbär - Call of Duty: Modern Warfare 3 - OldSchoolHack Tettenhook 1.0.2 Public - Releases - OldSchoolHack Gifs: Spoiler Last edited by SilverFire (Fri 10. May 2013, 17:09) Reason: no reason given
SilverFire is offline

Sat 11. May 2013, 13:01		#5
Mantarochen Join Date: Jun 2011 Posts: 490 User-Rating: 12 positive 0 negative	Quote from SilverFire in jeden prozess ne dll injecten, die die entsprechenden funktionen hookt. EAC? Kennt man ja irgendwo her __________________
Mantarochen is offline