Добрый вечер.
У меня такая проблема: есть dll'ка c хуком на одну функцию в la2, есть ГеймГвард который палит эту dll'ку если она подключена.
Если прицепить хук к ла2, гг посылает на сервер пакет и меня выбивает.
ГГ не простой, а запакованный WinLicense + в нем шифрация находиться и убить его заменой нельзя.
Вопрос таков: можно ли скрыть как то dll из поля зрения GG или кто может помочь анпакнуть GG, я со скриптом LCF-AT дохожу до момента где вручную нужно исправить antidump и застреваю, IAT нашел.

Ап люди. Поковырялся в ГГ и нашел единственную экспортируемую функцию - Start.
Что за функция, кто ее импортирует?
откуда идет подключение ГГ?

а что мешает заблочить пакет который гг посылает?

а что мешает заблочить пакет который гг посылает?
Потому пакет - ProtocolVersion
Он во первых дальше запакован (каждый раз разные байты )
Во вторых, не прокатывает если скопировать "хороший" ProtocolVersion и потом, когда присоеденил дллку с хуком вместо "плохого" отправить "хороший"

Добавлено через 7 часов 34 минуты
Вот нарыл кое-что в ГГ:
список подключаемых процедур
Engine.dll
??0AAirShip@@QAE@ABV0@@Z
Core.dll
?GIsNative@@3HA
?GLanguageType@@3HA
?GCountryCode@@3PA_WA
?GCountryName@@3PA_WA
?GL2UseGameGuard@@3HA
?GIsGuarded@@3HA
?GL2UseKeyCrypt@@3HA
?GConfig@@3PAVFConfigCache@@A
?GL2ReplayMode@@3HA
?GMalloc@@3PAVFMalloc@@A
?appExit@@YAXXZ

Но половины из них нету в указанных dll.
Видимо это убитый гг.
при трасировке некоторых из них пишет процедуры не найдены, но гг все равно работает
_________________
хорошо, тогда такой вопрос:
можно ли присоединить dll к уже исполняемому процессу? Если да, то скажите какой программой.

Никто так и не помог, но все равно напишу тут, мало ли кому понадобится.
Вот нашел хорошую по внедрению кода в запущенный процесс ---------> Статья (www.codeproject.com/Articles/4610/Three-Ways-to-Inject-Your-Code-into-Another-Proces)
Если вы хотите приатачить код к Ла2 то 2 и 3 способ не работает, т.к. после создания треада, либо коре либо энгайн конфликтуют и критуют, а треад не знаю как защитить.
Ну возможно это у меня руки кривые.
1 способ работает на ура) все спокойно пишется на Fasm

Ап люди. Поковырялся в ГГ и нашел единственную экспортируемую функцию - Start.
Что за функция, кто ее импортирует?
откуда идет подключение ГГ?
вероятно это функция инициализации защиты. при вызове она наставляет свои хуки, меняет шифрацию итд. код наверное завиртуален :)

Добавлено через 5 минут
Потому пакет - ProtocolVersion
Он во первых дальше запакован (каждый раз разные байты )
Во вторых, не прокатывает если скопировать "хороший" ProtocolVersion и потом, когда присоеденил дллку с хуком вместо "плохого" отправить "хороший"

Добавлено через 7 часов 34 минуты
Вот нарыл кое-что в ГГ:
список подключаемых процедур
Engine.dll
??0AAirShip@@QAE@ABV0@@Z
Core.dll
?GIsNative@@3HA
?GLanguageType@@3HA
?GCountryCode@@3PA_WA
?GCountryName@@3PA_WA
?GL2UseGameGuard@@3HA
?GIsGuarded@@3HA
?GL2UseKeyCrypt@@3HA
?GConfig@@3PAVFConfigCache@@A
?GL2ReplayMode@@3HA
?GMalloc@@3PAVFMalloc@@A
?appExit@@YAXXZ

Но половины из них нету в указанных dll.
Видимо это убитый гг.
при трасировке некоторых из них пишет процедуры не найдены, но гг все равно работает

некоторые из них - стандартные для KillGG патча, чтоб отключить подгрузку стандартного геймгварда. непонятно только зачем тут экспорт аиршипа ))))))

Добавлено через 9 минут
Никто так и не помог, но все равно напишу тут, мало ли кому понадобится.
Вот нашел хорошую по внедрению кода в запущенный процесс ---------> Статья (www.codeproject.com/Articles/4610/Three-Ways-to-Inject-Your-Code-into-Another-Proces)
Если вы хотите приатачить код к Ла2 то 2 и 3 способ не работает, т.к. после создания треада, либо коре либо энгайн конфликтуют и критуют, а треад не знаю как защитить.
Ну возможно это у меня руки кривые.
1 способ работает на ура) все спокойно пишется на Fasm

работают все, на наиболее распространенных ГГ, фрост понятно не считаем.
примеры кода не вникал, может там че нетак)
впрочем это не все способы, а только самые древние и всем известные.

На чем писал ДЛЛ?

FASM

Добавлено через 5 минут
http://coderx.ru/showpost.php?p=193086&postcount=20
вот код но он не дописан, а точнее процедура фильтра
также можно заменить ручной поиск треада на машинальный с помощью пару функций