OldSchoolHack

Register / Login English
deutschDeutsch
englishEnglish
New Posts Advanced Search

EAC NtReadVirtualMemory hook


icon EAC NtReadVirtualMemory hook #1

Join Date: Jun 2011

Posts: 490

User-Rating:

12 positive
0 negative
 Hey Leute, ich wollte mal schauen, dass ich meine externen cheat unter EAC zum laufen bekomme. Allerdings läuft er halt nach kurzer Zeit nicht mehr, da EAC eine dll namens eac_exthooks.dll in jedes Programm injected und dann NtReadVirtualMemory hookt. Jetzt dachte ich, gut, dann blockst du eben, dass eac überhaupt in dein Programm injecten kann, indem ich LdrLoadDll in der NTDLL.dll blocke. Scheint eac nicht zu jucken -> geht wieder nicht. Dann dacht ich mir, versuch ich den Prozess "unsichtbar" zu machen, klappt auf win 7 64 bit nicht bzw. bringt nichts bzw. ich bekomms nicht ordentlich ihn Hat noch jemand ne Idee was ich machen kann?
Greetz Manta

__________________

http://www10.pic-upload.de/30.04.12/j9dbc34bxdg.jpg
Mantarochen is offline
icon #2

Join Date: Nov 2011

Posts: 14

 FreeLibrary() :'D :'D :'D
ExcidiumV2 is offline
icon #3

Join Date: Jun 2011

Posts: 490

User-Rating:

12 positive
0 negative
 Kann das sein, dass die eac_exthooks.dll direkt gecloaked oder manual mapped wird? ich kann die nicht im prozess finden.

__________________

http://www10.pic-upload.de/30.04.12/j9dbc34bxdg.jpg
Mantarochen is offline
icon #4

Join Date: Nov 2011

Posts: 14

 Schau halt wie EAC die DLL injected und wenns zu hart crypted ist, GET TO DA API MONITOR!
ExcidiumV2 is offline
icon #5

Join Date: Jun 2011

Posts: 490

User-Rating:

12 positive
0 negative
 EAC ist mit Themida geschützt, da komm ich nicht dran vorbei

__________________

http://www10.pic-upload.de/30.04.12/j9dbc34bxdg.jpg
Mantarochen is offline
icon #6

Join Date: Sep 2010

Posts: 136

 bei NT functions wie zB. auch memalloc usw. kannst du nicht davon ausgehen, dass die gecalled werden. kommt glaube ich drauf an, ob die system libs static linked oder dynamically loaded sind.
wie wärs mit nem hw bp on write irgendwo an der richtigen stelle im pe header (da wo die modul liste drin ist irgendwo, irgend einen count oder so)
das müsste doch theoretisch triggern, oder?

__________________

[21:43:44] <-> Reita heißt jetzt R|GW2
[21:44:08] <-> Igromanru heißt jetzt Reita
[21:44:20] <-> Cycode2 heißt jetzt Igromanru
[21:44:27] <-> R|GW2 heißt jetzt Cyode2
sMp is offline