Вернуться   CoderX :: Forums > Основные форумы > Курилка
Перезагрузить страницу Нужна помощь
Войти через OpenID

Курилка Флудим и шутим тут!

Чат (Новых сообщений с момента вашего последнего визита нет)
Загрузка...
Задавайте ваши вопросы на форуме. Чат предназначен для небольших разговоров.
 
Ответ
 
Опции темы Опции просмотра
Старый 04.01.2013, 20:12   #1
Местный
 
Аватар для St1mul
 
Регистрация: 03.12.2011
Сообщений: 133
Сказал Спасибо: 63
Имеет 19 спасибок в 16 сообщенях
St1mul пока неопределено
По умолчанию Нужна помощь
Добрый вечер.
У меня такая проблема: есть dll'ка c хуком на одну функцию в la2, есть ГеймГвард который палит эту dll'ку если она подключена.
Если прицепить хук к ла2, гг посылает на сервер пакет и меня выбивает.
ГГ не простой, а запакованный WinLicense + в нем шифрация находиться и убить его заменой нельзя.
Вопрос таков: можно ли скрыть как то dll из поля зрения GG или кто может помочь анпакнуть GG, я со скриптом LCF-AT дохожу до момента где вручную нужно исправить antidump и застреваю, IAT нашел.
St1mul вне форума   Ответить с цитированием
За это сообщение St1mul нажился спасибкой от:
Старый 06.01.2013, 23:37   #2
Местный
 
Аватар для St1mul
 
Регистрация: 03.12.2011
Сообщений: 133
Сказал Спасибо: 63
Имеет 19 спасибок в 16 сообщенях
St1mul пока неопределено
По умолчанию
Ап люди. Поковырялся в ГГ и нашел единственную экспортируемую функцию - Start.
Что за функция, кто ее импортирует?
откуда идет подключение ГГ?
St1mul вне форума   Ответить с цитированием
За это сообщение St1mul нажился спасибкой от:
Старый 07.01.2013, 09:06   #3
Местный
 
Регистрация: 04.11.2009
Адрес: Где-то в жопе европы
Сообщений: 316
Сказал Спасибо: 32
Имеет 42 спасибок в 39 сообщенях
wimax пока неопределено
По умолчанию
а что мешает заблочить пакет который гг посылает?
wimax вне форума   Ответить с цитированием
За это сообщение wimax нажился спасибкой от:
Старый 07.01.2013, 17:21   #4
Местный
 
Аватар для St1mul
 
Регистрация: 03.12.2011
Сообщений: 133
Сказал Спасибо: 63
Имеет 19 спасибок в 16 сообщенях
St1mul пока неопределено
По умолчанию
Цитата:
а что мешает заблочить пакет который гг посылает?
Потому пакет - ProtocolVersion
Он во первых дальше запакован (каждый раз разные байты )
Во вторых, не прокатывает если скопировать "хороший" ProtocolVersion и потом, когда присоеденил дллку с хуком вместо "плохого" отправить "хороший"

Добавлено через 7 часов 34 минуты
Вот нарыл кое-что в ГГ:
список подключаемых процедур
Engine.dll
??0AAirShip@@QAE@ABV0@@Z
Core.dll
?GIsNative@@3HA
?GLanguageType@@3HA
?GCountryCode@@3PA_WA
?GCountryName@@3PA_WA
?GL2UseGameGuard@@3HA
?GIsGuarded@@3HA
?GL2UseKeyCrypt@@3HA
?GConfig@@3PAVFConfigCache@@A
?GL2ReplayMode@@3HA
?GMalloc@@3PAVFMalloc@@A
?appExit@@YAXXZ

Но половины из них нету в указанных dll.
Видимо это убитый гг.
при трасировке некоторых из них пишет процедуры не найдены, но гг все равно работает
_________________
хорошо, тогда такой вопрос:
можно ли присоединить dll к уже исполняемому процессу? Если да, то скажите какой программой.
Последний раз редактировалось St1mul, 07.01.2013 в 19:03. Причина: Добавлено сообщение
St1mul вне форума   Ответить с цитированием
За это сообщение St1mul нажился спасибкой от:
Старый 09.01.2013, 18:00   #5
Местный
 
Аватар для St1mul
 
Регистрация: 03.12.2011
Сообщений: 133
Сказал Спасибо: 63
Имеет 19 спасибок в 16 сообщенях
St1mul пока неопределено
По умолчанию
Никто так и не помог, но все равно напишу тут, мало ли кому понадобится.
Вот нашел хорошую по внедрению кода в запущенный процесс ---------> Статья
Если вы хотите приатачить код к Ла2 то 2 и 3 способ не работает, т.к. после создания треада, либо коре либо энгайн конфликтуют и критуют, а треад не знаю как защитить.
Ну возможно это у меня руки кривые.
1 способ работает на ура) все спокойно пишется на Fasm
St1mul вне форума   Ответить с цитированием
За это сообщение St1mul нажился спасибкой от:
Старый 16.01.2013, 03:14   #6
Местный
 
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
mira пока неопределено
По умолчанию
Цитата:
Сообщение от St1mul Посмотреть сообщение
Ап люди. Поковырялся в ГГ и нашел единственную экспортируемую функцию - Start.
Что за функция, кто ее импортирует?
откуда идет подключение ГГ?
вероятно это функция инициализации защиты. при вызове она наставляет свои хуки, меняет шифрацию итд. код наверное завиртуален

Добавлено через 5 минут
Цитата:
Сообщение от St1mul Посмотреть сообщение
Потому пакет - ProtocolVersion
Он во первых дальше запакован (каждый раз разные байты )
Во вторых, не прокатывает если скопировать "хороший" ProtocolVersion и потом, когда присоеденил дллку с хуком вместо "плохого" отправить "хороший"

Добавлено через 7 часов 34 минуты
Вот нарыл кое-что в ГГ:
список подключаемых процедур
Engine.dll
??0AAirShip@@QAE@ABV0@@Z
Core.dll
?GIsNative@@3HA
?GLanguageType@@3HA
?GCountryCode@@3PA_WA
?GCountryName@@3PA_WA
?GL2UseGameGuard@@3HA
?GIsGuarded@@3HA
?GL2UseKeyCrypt@@3HA
?GConfig@@3PAVFConfigCache@@A
?GL2ReplayMode@@3HA
?GMalloc@@3PAVFMalloc@@A
?appExit@@YAXXZ

Но половины из них нету в указанных dll.
Видимо это убитый гг.
при трасировке некоторых из них пишет процедуры не найдены, но гг все равно работает
некоторые из них - стандартные для KillGG патча, чтоб отключить подгрузку стандартного геймгварда. непонятно только зачем тут экспорт аиршипа ))))))

Добавлено через 9 минут
Цитата:
Сообщение от St1mul Посмотреть сообщение
Никто так и не помог, но все равно напишу тут, мало ли кому понадобится.
Вот нашел хорошую по внедрению кода в запущенный процесс ---------> Статья
Если вы хотите приатачить код к Ла2 то 2 и 3 способ не работает, т.к. после создания треада, либо коре либо энгайн конфликтуют и критуют, а треад не знаю как защитить.
Ну возможно это у меня руки кривые.
1 способ работает на ура) все спокойно пишется на Fasm
работают все, на наиболее распространенных ГГ, фрост понятно не считаем.
примеры кода не вникал, может там че нетак)
впрочем это не все способы, а только самые древние и всем известные.
__________________
читернуть бы ништяг
Последний раз редактировалось mira, 16.01.2013 в 03:14. Причина: Добавлено сообщение
mira вне форума   Ответить с цитированием
За это сообщение mira нажился 2 спасибками от:
Старый 16.01.2013, 22:19   #7
Местный
 
Аватар для goodvin1709
 
Регистрация: 13.02.2011
Сообщений: 506
Сказал Спасибо: 121
Имеет 100 спасибок в 83 сообщенях
goodvin1709 пока неопределено
По умолчанию
На чем писал ДЛЛ?
__________________
---------------------------__--------__-----
---____- ___--____--- ___/'- /__ ___-(__)-____
--/-___-/-__-\/-__--\ /-__--'/--|-/--//---//--__--\
-/-/_/ -/-/_/--/-/_/--/-/_/--/|--|/--'//---//--/-/--/
-\___-/\____/\____/\____/-|____//__'//_'/-/__/
/_-__/
goodvin1709 вне форума   Ответить с цитированием
За это сообщение goodvin1709 нажился спасибкой от:
Старый 17.01.2013, 14:22   #8
Местный
 
Аватар для St1mul
 
Регистрация: 03.12.2011
Сообщений: 133
Сказал Спасибо: 63
Имеет 19 спасибок в 16 сообщенях
St1mul пока неопределено
По умолчанию
FASM

Добавлено через 5 минут
http://coderx.ru/showpost.php?p=193086&postcount=20
вот код но он не дописан, а точнее процедура фильтра
также можно заменить ручной поиск треада на машинальный с помощью пару функций
Последний раз редактировалось St1mul, 17.01.2013 в 14:22. Причина: Добавлено сообщение
St1mul вне форума   Ответить с цитированием
Ответ

  CoderX :: Forums > Основные форумы > Курилка

« Предыдущая тема | Следующая тема »


Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения
BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Часовой пояс GMT +4, время: 13:43.

CoderX - Архив - Вверх
vBulletin style designed by MSC Team.
Powered by vBulletin® Version 3.6.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Locations of visitors to this page
Rambler's Top100

Вы хотите чувствовать себя в безопасности? чоп Белган обеспечит её!