Насколько уникаленым может быть HWID? - Страница 6

mira · 19.05.2011, 18:32

Цитата:

Сообщение от destructor

там все проще чем кажется, инфа 100%)

всеравно все самое вкусное похоже виртуализировано =(

Добавлено через 4 минуты

Цитата:

Сообщение от supernewbie

мб) че-нить с винтами поделать, мб поможет?)

возможно

Добавлено через 44 минуты
мудно пакет ggReply сначало както обрабатываетса потом идет на шифрацию, остальные сразу идут на шифровку.

supernewbie · 19.05.2011, 20:11

authLogin тожа туды идёт

mira · 19.05.2011, 20:34

Цитата:

Сообщение от supernewbie

authLogin тожа туды идёт

меняютса пакеты в шифровалке. я про то что перед тем как вызывать шифровалку только пакет CB (ggReply) вызывает некую рутину сначала.
пакет шлетса клиентом раз примерно в 30 сек.

и если у тебя в клиенте стоят перехваты ВМТ, или запущен какойнеть
l2radar после пакета гг-репли тебя разорвет) кароче пакет несет еще и смысловую нагрузку)

supernewbie · 19.05.2011, 22:34

Цитата:

Сообщение от mira

меняютса пакеты в шифровалке. я про то что перед тем как вызывать шифровалку только пакет CB (ggReply) вызывает некую рутину сначала.
пакет шлетса клиентом раз примерно в 30 сек.

и если у тебя в клиенте стоят перехваты ВМТ, или запущен какойнеть
l2radar после пакета гг-репли тебя разорвет) кароче пакет несет еще и смысловую нагрузку)

самый смак во всем этом это то, что можно хукнукть функцию отправки ggReply и не вызывать сенд пакет %)

mira · 20.05.2011, 00:16

Цитата:

Сообщение от supernewbie

самый смак во всем этом это то, что можно хукнукть функцию отправки ggReply и не вызывать сенд пакет %)

эммм, клиент его шлет раз в 30 сек примерно (толи сам толи на ggQuery). если его не слать мне кажетса серв заподозрит неладное

supernewbie · 20.05.2011, 07:48

да не, ему пох, но лучше конечно не рисковать
эт как вариант обхода, если они там нафигачат че-нибудь серьезное

mira · 20.05.2011, 12:18

Мне щас интересно 2 момента:
1)фиг с ней виртуальной машиной, она должна вызывать внешние апи стандартно (их она уж всяко незавиртуалит. Как узнать какие.
2)при создании процесса suspended до resume успивает ли выполнитса dllmain защиты?
Мне сдаетса что да

destructor · 20.05.2011, 16:30

Цитата:

Сообщение от mira

их она уж всяко незавиртуалит.

грубо говоря "копирует код функции себе" и уже его выполняет.
поэтому надо ставить хуки до выполнения dllmain

Цитата:

Сообщение от mira

2)при создании процесса suspended до resume успивает ли выполнитса dllmain защиты?

тут защита непричем. поведение будет одинакого для любой длл.
пиши тестовый helloworld и будет тебе инфа 100%

mira · 20.05.2011, 18:06

Я просто акцентировал то что мне важно выполнила ли защита инициализицию при создании суспендед процесса.
Инициализация там ясень пень в дллмайн.

Добавлено через 6 минут
Неужели фима настока крута чтоб импортировать из длл не точку входа а всю функцию с подфункциями) просто из протектора все что удалось выловить перехватом их хук frenderplayernode и пару рисовалок чтоб рисовать букавки. А должмы как минимум хукнуть еще какойнеть init

mira · 23.05.2011, 14:01

Дестр таки был прав. Защита отрабатывает до инжекта, фима сжигает мосты и ей уже просто пох на всякие там хуки)