OldSchoolHack

Registrieren /

Neue Beiträge Erweiterte Suche

Eigenen Prozess vor R/W operationen schützen

Fr 10. Mai 2013, 14:42	Eigenen Prozess vor R/W operationen schützen	#1
Mr6 Anmeldungsdatum: Jan 2012 Beiträge: 14	Ich bin gerade dabei einen Anticheat für Arme zu schreiben. Folgendes hab ich bereits implementiert: Erkennung von Breakpoints Erkennung von Debuggern LdrLoadDll hook um nur das Laden von registrierten Dlls zu erlauben Blockierung einiger Prozesse via Dateinamen Nun hab ich aber keine Ahnung wie ich externe Zugriffe wie Read/WriteProcessMemory bzw. OpenProcess blockieren oder registrieren kann OHNE mich mittels Treiber auf Ring0 zu begeben. Hat vielleicht jemand einen Rat?
Mr6 ist offline

Fr 10. Mai 2013, 15:02		#2
SilverFire $ Spender $ Anmeldungsdatum: Mär 2011 Beiträge: 978 Benutzer-Bewertung: 89 positiv 6 negativ	in jeden prozess ne dll injecten, die die entsprechenden funktionen hookt. generell solltest du noch .rdata und .text checksummen, evtl. vtables überprüfen, boundary checks bei funktionscalls machen, etc. __________________ Spoiler Vids: Spoiler Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Zitate: Spoiler Zitat von xst Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit. Zitat von f4gsh0t_h4x VAC ist an,immer,überall Zitat von gibson.w Ich mag braune Würstchen Zitat von irc <SilverDeath> KN4CK3R bistn nub <~KN4CK3R> kk Zitat von irc <OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ... <OrkSchamane> da habe ich's ja doppelt schwer <~KN4CK3R> falsch <~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können Zitat von irc <SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann! <Dr_Pepper> danke. <SilverDeath> bitte Zitat von irc <~KN4CK3R> dann liegts wenigstens an mir <~KN4CK3R> nur noch rausfinden warum -.- <SilverDeath> ja sicher <SilverDeath> an wem sonst? * You were kicked by KN4CK3R (kick) Zitat von Dr_Pepper ihr seit beide dumm Tutorials: Spoiler [TUT] CSS Extern Radar + bunnyhop - Tutorials - OldSchoolHack HookingTutorial Theorie & Anwendung - Tutorials - OldSchoolHack [Tutorial] Chams - Tutorials - OldSchoolHack [Tutorial] Pointer und Casting - Tutorials - OldSchoolHack [Tutorial] VTables - Tutorials - OldSchoolHack Releases: Spoiler [CS:S] AryanRadar 1.0.1 Beta - Counter-Strike: Source - OldSchoolHack [COD:MW3] Brummbär - Call of Duty: Modern Warfare 3 - OldSchoolHack Tettenhook 1.0.2 Public - Releases - OldSchoolHack Gifs: Spoiler Zuletzt geändert von SilverFire (Fr 10. Mai 2013, 15:04) Grund: kein Grund angegeben
SilverFire ist offline

Fr 10. Mai 2013, 16:27		#3
Mr6 Anmeldungsdatum: Jan 2012 Beiträge: 14	Danke, dein Vorschlag mit den Dlls in jedem Prozess gefällt mir recht gut, auch wenn es nicht unbedingt resourcenschonend ist. Im Moment hook ich OpenProcess, ReadProcessMemory, WriteProcessMemory, VirtualAllocEx & CreateRemoteThread , da die APIs natürlich nur geblockt werden sollen wenn mein Prozess das Ziel ist, übergebe ich den Handle an eine exportierte funktion. CRC check hab ich jetzt auch eingebaut, von VTables erstelle ich bei Bedarf eine Schattenkopie. Was meinst du mit boundary checks? Prüfen ob die funktion in ein fremdes Modul spring?
Mr6 ist offline

Fr 10. Mai 2013, 17:07		#4
SilverFire $ Spender $ Anmeldungsdatum: Mär 2011 Beiträge: 978 Benutzer-Bewertung: 89 positiv 6 negativ	prüfen ob bestimmte funktionen mit einer rücksprungadresse außerhalb erlaubter module aufgerufen wurde. EDIT: btw. wenn du schon so weit bist, solltest du dir langsam gedanken machen, deinen anticheat z.b. durch codestreaming zu schützen. Wenn der anticheat so viele checks macht, wird ein hacker eher versuchen den anticheat auszuschalten, anstatt zu versuchen sich i-wie vorbeizumogeln. __________________ Spoiler Vids: Spoiler Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Um Links zu sehen, musst du dich registrieren Zitate: Spoiler Zitat von xst Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit. Zitat von f4gsh0t_h4x VAC ist an,immer,überall Zitat von gibson.w Ich mag braune Würstchen Zitat von irc <SilverDeath> KN4CK3R bistn nub <~KN4CK3R> kk Zitat von irc <OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ... <OrkSchamane> da habe ich's ja doppelt schwer <~KN4CK3R> falsch <~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können Zitat von irc <SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann! <Dr_Pepper> danke. <SilverDeath> bitte Zitat von irc <~KN4CK3R> dann liegts wenigstens an mir <~KN4CK3R> nur noch rausfinden warum -.- <SilverDeath> ja sicher <SilverDeath> an wem sonst? * You were kicked by KN4CK3R (kick) Zitat von Dr_Pepper ihr seit beide dumm Tutorials: Spoiler [TUT] CSS Extern Radar + bunnyhop - Tutorials - OldSchoolHack HookingTutorial Theorie & Anwendung - Tutorials - OldSchoolHack [Tutorial] Chams - Tutorials - OldSchoolHack [Tutorial] Pointer und Casting - Tutorials - OldSchoolHack [Tutorial] VTables - Tutorials - OldSchoolHack Releases: Spoiler [CS:S] AryanRadar 1.0.1 Beta - Counter-Strike: Source - OldSchoolHack [COD:MW3] Brummbär - Call of Duty: Modern Warfare 3 - OldSchoolHack Tettenhook 1.0.2 Public - Releases - OldSchoolHack Gifs: Spoiler Zuletzt geändert von SilverFire (Fr 10. Mai 2013, 17:09) Grund: kein Grund angegeben
SilverFire ist offline

Sa 11. Mai 2013, 13:01		#5
Mantarochen Anmeldungsdatum: Jun 2011 Beiträge: 490 Benutzer-Bewertung: 12 positiv 0 negativ	Zitat von SilverFire in jeden prozess ne dll injecten, die die entsprechenden funktionen hookt. EAC? Kennt man ja irgendwo her __________________
Mantarochen ist offline