Радар своими руками - Страница 14

Morfik · 30.07.2010, 02:58

Цитата:

Сообщение от xkor

Morfik, сплайсинг по моему не обязательно через джамп делается, можно и через кал (но тогда потребуется дополнительный код в начале нашей функции) и через пуч + рет (но этот вариант занимает 6 байт а не 5 в начале перехватываемой функции)

В любом случае норм функции с E9 (джамп) и 15FF(колл) не начинаються

вообщем спалить сам факт хука несложно.

xkor · 30.07.2010, 04:24

Morfik, с джампа возможно, а вот калом и уж тем более пучем спокойно, хотя да, спалить не сложно если знать где искать, а вот если не знать хер спалишь
я например одну функцию хукаю не в начале а посередине ибо там данные в более удобной форме, и вот посмотрел бы я как фрост это палить будет не зная конекретно где я хук поставил

Yegor · 30.07.2010, 10:48

xkor, при желании думаю не сложно спалить. Почему бы фросту не проверять все тело критических функций на предмет совпадения с оригиналом, ну так чек сумму какую нибудь сверял бы куска кода.

Добавлено через 6 минут
Morfik, ты не хотел бы еще немного поработать над стабильностью работы своей программы, а то я и много знакомых ее недавно купили в панике обновления 20.07 но теперь ей не пользуемся. С ней ну слишком часто клиент л2 падает с критом (субьективно с аси критует гораздо реже). Видимо в длл ты что то не предусмотрел.

Morfik · 30.07.2010, 13:38

Цитата:

Сообщение от Yegor

Добавлено через 6 минут
Morfik, ты не хотел бы еще немного поработать над стабильностью работы своей программы, а то я и много знакомых ее недавно купили в панике обновления 20.07 но теперь ей не пользуемся. С ней ну слишком часто клиент л2 падает с критом (субьективно с аси критует гораздо реже). Видимо в длл ты что то не предусмотрел.

Пока не напишут больше конкретики с какими опциями и с каким текстом крита летают - помоч наврятли смогу.

И вообще это не место для ее обсуждения так что сори за оффтоп

Zul · 31.07.2010, 23:43

Цитата:

Сообщение от xkor

Morfik, с джампа возможно, а вот калом и уж тем более пучем спокойно, хотя да, спалить не сложно если знать где искать, а вот если не знать хер спалишь
я например одну функцию хукаю не в начале а посередине ибо там данные в более удобной форме, и вот посмотрел бы я как фрост это палить будет не зная конекретно где я хук поставил

А ты когда хук делаешь VirtualProtect и т.п. зовешь?
Если да, то могут легко спалить захучив его. Более того тестить то они могут на любой ОС, в часности на x32, где хук можно и в драйвер засунуть.

Цитата:

xkor, при желании думаю не сложно спалить. Почему бы фросту не проверять все тело критических функций на предмет совпадения с оригиналом, ну так чек сумму какую нибудь сверял бы куска кода.

Не знаю как в самом фросте, но вот код линеечных функций немного динамический. Т.е. там суются nop'ы в случайные места, каждый раз в разные.

mira · 13.08.2010, 14:19

вы методы нетворкхандлера чтоли сплайсите перед каждым вызовом? Сплайсинг вообще не нужен или нужен 1 раз чтоб получить указатель на сам обьект

Эдвадко · 14.08.2010, 09:50

У меня другая проблема - После последнего обновления на руоффе не могу найти процесс куда внедряться.
Такое ощущение, что процесс LineageII.exe запускает l2.bin как один из своих потоков да еще и прячет его. Пытаюсь поймать его тестовыми прогами типа этой -

Код:

{$APPTYPE CONSOLE}
uses Windows, NativeAPI;

var
 ProcInfo, ProcIter : PSYSTEM_PROCESSES;

var i : Integer = 1;

{
Системный вызов ZwQuerySystemInformation для Windows XP.
}
Function XpZwQuerySystemInfoCall(ASystemInformationClass: dword;
  ASystemInformation: Pointer;
  ASystemInformationLength: dword;
  AReturnLength: pdword): dword; stdcall;
asm
pop ebp
mov eax, $AD
call @SystemCall
ret $10
@SystemCall:
mov edx, esp
sysenter
end;


procedure GetSyscallProcessList();
var
Info: PSYSTEM_PROCESSES;
mPtr: pointer;
mSize: dword;
St: NTStatus;
begin
mSize := $4000; 
repeat
GetMem(mPtr, mSize);
St := XpZwQuerySystemInfoCall(SystemProcessesAndThreadsInformation, mPtr, mSize, nil);
if St = STATUS_INFO_LENGTH_MISMATCH then
begin 
FreeMem(mPtr);
mSize := mSize * 2;
end;
until St <> STATUS_INFO_LENGTH_MISMATCH;
if St = STATUS_SUCCESS then
begin
Info := mPtr;
repeat
  Writeln(i:3,' ',WideCharToString(Info^.ProcessName.Buffer)) ;
//NewItem^.ProcessId := Info^.ProcessId;
//NewItem^.ParrentPID := Info^.InheritedFromProcessId;
  Info := pointer(dword(info) + info^.NextEntryDelta);
  Inc(i);
until Info^.NextEntryDelta = 0;
end;
FreeMem(mPtr);
end;



begin
  GetSyscallProcessList();
end.

Но не вижу нужного процесса.

Morfik · 14.08.2010, 12:07

Цитата:

Сообщение от mira

вы методы нетворкхандлера чтоли сплайсите перед каждым вызовом? Сплайсинг вообще не нужен или нужен 1 раз чтоб получить указатель на сам обьект

эм мы как бы сплайсим для отлова результатов работы функции)

а хукать ради получения указателя на нетворк хендл ниче не надо

по мне так легче его кое откуда прочитать.

htozdes · 14.08.2010, 12:25

Цитата:

Сообщение от Эдвадко

Но не вижу нужного процесса.

Вообще такая проблема наблюдается только на x86 на x64 процессы видно..
ну а проблему решить можно так:
поставь SetWindowsHookEx на свою длл либо на пустую дллку-загрузчик:

Код:

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
	switch(fdwReason)
	{
            ...
	      case DLL_PROCESS_ATTACH:
		if (0!=GetModuleHandle("l2.bin")) LoadLibrary("robat.dll");
            ...
	}
	return true;
}

но мне кажется это маразм =)
проще поставить ХП64 т.к. там всегда было меньше проблем с фростом и ГГ

mira · 15.08.2010, 17:10

Цитата:

Сообщение от Morfik

эм мы как бы сплайсим для отлова результатов работы функции)

а хукать ради получения указателя на нетворк хендл ниче не надо

по мне так легче его кое откуда прочитать.

зачем ее сплайсить если можно подменить в VMT и обрабатывать входные данные и результат

прочитать по фиксированному адресу это плохая манера если уж иначе нельзя ))