Программинг Форум для тем связанных с программированием
19.04.2012, 08:10
#11
Пользователь
Регистрация: 27.10.2009
Сообщений: 63
Сказал Спасибо: 6
Имеет 21 спасибок в 19 сообщенях
Не буду спорить, ибо руофом сейчас не занимаюсь и даже клиента нет. Но, если не изменяет память - там Запускатор запускает LineageII.exe, которая уже запускает L2.bin. Кроме того LineageII.exe внедряет библиотеку во все процессы. Перехватывая WriteProcessMemory мы обламываем ей (LineageII.exe) внедрение.
---
Если у тебя есть клиент, проверь сам. А потом отпишешься о результатах. Может я не прав.
За это сообщение Demion нажился спасибкой от:
19.04.2012, 09:40
#12
Местный
Регистрация: 05.04.2009
Сообщений: 1,436
Сказал Спасибо: 306
Имеет 122 спасибок в 98 сообщенях
Demion , а тогда понятно. Но может быть както можно обламать внедрение только в своей программе? Ведь после записи в наш процесс кода и запуска его на исполние процессом LineageII.exe этот код каким то образом вызывает подгрузку dll протектора, только вот какой именно.
__________________
Продажа чистых аккаунтов 4G, L2 EU, AARu, AA EU, Aion EU, Tera RU, Tera EU (ICQ 594297609)
Продажа VK авторег аккаунтов (ICQ 594297609)
За это сообщение Yegor нажился спасибкой от:
19.04.2012, 10:01
#13
Местный
Регистрация: 23.09.2009
Сообщений: 1,232
Сказал Спасибо: 119
Имеет 172 спасибок в 134 сообщенях
Цитата:
Сообщение от
Denever
Можно пример?
delphi Код:
var
OldLoadLibraryW:function ( lpLibFileName: PWideChar ) : HMODULE; stdcall;
function MyLoadLibraryW( lpLibFileName: PWideChar ) : HMODULE; stdcall;
begin
if ExtractFileName ( lpLibFileName) ='frostProtector.dll' then
result:=0
else
result:=OldLoadLibraryW( lpLibFileName) ;
end ;
procedure AntiFrost;
begin
HookProc( 'kernel32.dll' ,'LoadLibraryW' ,@MyLoadLibraryW,@OldLoadLibraryW) ;
end ;
Добавлено через 1 минуту
раньше работало, щас хрен знает
Добавлено через 18 минут
щас проверил - работает
__________________
Н а ч а л о .
Последний раз редактировалось supernewbie, 19.04.2012 в 10:01 .
Причина: Добавлено сообщение
За это сообщение supernewbie нажился 2 спасибками от:
19.04.2012, 10:15
#14
Пользователь
Регистрация: 27.10.2009
Сообщений: 63
Сказал Спасибо: 6
Имеет 21 спасибок в 19 сообщенях
Цитата:
Сообщение от
Yegor
Но может быть както можно обламать внедрение только в своей программе?
Ну скорее всего только через перехват LoadLibraryA / LoadLibraryW. Больше ничего на ум не приходит.
За это сообщение Demion нажился спасибкой от:
20.04.2012, 03:33
#15
Пользователь
Регистрация: 22.03.2012
Сообщений: 54
Сказал Спасибо: 5
Имеет 5 спасибок в 5 сообщенях
ребята, вы реально сами понимаете что несёте ?
__________________
человек глагол
20.04.2012, 04:01
#16
Пользователь
Регистрация: 14.01.2011
Сообщений: 48
Сказал Спасибо: 19
Имеет 4 спасибок в 3 сообщенях
Конечно спасибо но всеравно как-то..
Помогите пож припоять
http://coderx.ru/showthread.php?t=50 к l2.ru
Примерно:
Код:
program Project1;
{$APPTYPE CONSOLE}
uses
Windows;
var lib_NWindow:THandle;
lib:integer;
p:pointer;
OldPageProtection: Cardinal;
begin
lib_NWindow := LoadLibrary('nWindow.dll');
lib := lib_NWindow + $563D0; // ïîìåíÿòü íàäî
if VirtualProtect(pointer(lib), 6, PAGE_EXECUTE_READWRITE, OldPageProtection) then begin
writeLn('change old-new attributes.');
p := pointer(lib);
byte(p^) := $e9; writeLn('#1.');
byte(pointer(dword(p) + 1)^) := $eb; writeLn('#2.');
byte(pointer(dword(p) + 2)^) := $00; writeLn('#3.');
byte(pointer(dword(p) + 3)^) := $00; writeLn('#4.');
byte(pointer(dword(p) + 4)^) := $00; writeLn('#5.');
byte(pointer(dword(p) + 5)^) := $90; writeLn('#6.');
end;
if VirtualProtect(pointer(lib), 6, OldPageProtection, OldPageProtection) then begin
writeLn('change new-old attributes.');
end;
Readln;
end.
Последний раз редактировалось Denever, 20.04.2012 в 05:00 .
Причина: add code.
20.04.2012, 10:07
#17
Местный
Регистрация: 19.01.2011
Сообщений: 241
Сказал Спасибо: 7
Имеет 26 спасибок в 22 сообщенях
На L2.ru скорее всего бан чата контролируется не только клиентом, но и сервером.
20.04.2012, 10:58
#18
Пользователь
Регистрация: 14.01.2011
Сообщений: 48
Сказал Спасибо: 19
Имеет 4 спасибок в 3 сообщенях
Цитата:
Сообщение от
Aries
На L2.ru скорее всего бан чата контролируется не только клиентом, но и сервером.
Это заметно по спам ботам
20.04.2012, 11:12
#19
Местный
Регистрация: 19.01.2011
Сообщений: 241
Сказал Спасибо: 7
Имеет 26 спасибок в 22 сообщенях
Я хз, я их давно не видел))
Правда и давно в ла2 не был))
28.04.2012, 15:06
#20
Местный
Регистрация: 05.04.2009
Сообщений: 1,436
Сказал Спасибо: 306
Имеет 122 спасибок в 98 сообщенях
Да работает. Я оказывается через LoadLibraryA перехватывал.
__________________
Продажа чистых аккаунтов 4G, L2 EU, AARu, AA EU, Aion EU, Tera RU, Tera EU (ICQ 594297609)
Продажа VK авторег аккаунтов (ICQ 594297609)
Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения
HTML код Выкл.
Часовой пояс GMT +4, время: 10:14 .
vBulletin style designed by
MSC Team .
Powered by vBulletin® Version 3.6.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод:
zCarot
Вы хотите чувствовать себя в безопасности? чоп Белган обеспечит её!