Радар своими руками - Страница 13

Morfik · 30.07.2010, 02:18

Цитата:

Сообщение от Yegor

htozdes, какие функции у тебя перехвачены? Нам то нужны самые заветные, AddNetworkQue и т.д. недумаю что фрост проверяет хут какой нибудь там прорисовки чего то.

Да и вообще нафиг хватать более 100 функций если все основное управление клиентом можно производить пакетами?

И еще, когда юзал сплайсинг - длл у меня была сделана на делфи.

Когда перешел на VisualStudio и заюзал другой метод, баны сразу прекратились. Возможно библиотека AdvApiHook мистера покойного Rema слишком общеизвестная и фрост выкупал просто по наличию определенной последовательности машинного кода загруженного в память процесса Л2.

блин а какая разница делфи/си? ) сплайсинг он и в африке сплайсинг - Е9 и 4 байта адреса куда прыгать в начале функции - явный признак поставленого на нее хука

пока нашел другой метод хука,работает, осталось потестить на предмет банов)

Добавлено через 6 минут

Цитата:

Сообщение от Эдвадко

И последнее. Может откроете тайну рисования непосредственно в окне клиента. А то в отдельном окошечке приходится карту рисовать.

Когда ставишь хук на UObject_ProcessEvent выдается вот что :
....
[3396] Process_Tick ecx=A93E880 ret=20045B4A
[3396] Process_Tick ecx=A93E880 ret=20045B4A
[3396] Reset ecx=A372940 ret=200626DC
[3396] Process_PreRender ecx=A93E880 ret=20045C89
[3396] Process_PreRender ecx=A93E880 ret=20045C89
[3396] Process_PostRender ecx=A93E880 ret=20045BE9
[3396] Process_PostRender ecx=A93E880 ret=20045BE9
[3396] OnTimer ecx=F91E380 ret=A99503E
...

Пре и пострендер вызываются два раза. В котором из них рисовать ?

http://coderx.ru/showthread.php?t=948&page=2

htozdes · 29.07.2010, 03:11

у меня перехвачено больше 100 функций (все через сплайсинг) и никиких банов нет...
так что вы палитесь на чем то другом, либо дело в конкретных реализациях

htozdes · 30.07.2010, 00:48

ну да у меня радар цветочки на экране рисует!
зато банов нет...

mira · 13.08.2010, 14:19

вы методы нетворкхандлера чтоли сплайсите перед каждым вызовом? Сплайсинг вообще не нужен или нужен 1 раз чтоб получить указатель на сам обьект

Morfik · 14.08.2010, 12:07

Цитата:

Сообщение от mira

вы методы нетворкхандлера чтоли сплайсите перед каждым вызовом? Сплайсинг вообще не нужен или нужен 1 раз чтоб получить указатель на сам обьект

эм мы как бы сплайсим для отлова результатов работы функции)

а хукать ради получения указателя на нетворк хендл ниче не надо

по мне так легче его кое откуда прочитать.

mira · 15.08.2010, 17:10

Цитата:

Сообщение от Morfik

эм мы как бы сплайсим для отлова результатов работы функции)

а хукать ради получения указателя на нетворк хендл ниче не надо

по мне так легче его кое откуда прочитать.

зачем ее сплайсить если можно подменить в VMT и обрабатывать входные данные и результат

прочитать по фиксированному адресу это плохая манера если уж иначе нельзя ))

xkor · 16.08.2010, 00:30

mira, а если надо не в начало функции вклиниться?)
и вообще чего пристал, как хотим так и хукаем, наши хуки)

mira · 16.08.2010, 09:55

сами же грите сплайсинг палитса
я и спросил зачем он нужен если надежней заменить 1 указатель и смареть(править) входные данные и результат.
Ну ваши хуки так ваши не буду отвлекать

Эдвадко · 14.08.2010, 09:50

У меня другая проблема - После последнего обновления на руоффе не могу найти процесс куда внедряться.
Такое ощущение, что процесс LineageII.exe запускает l2.bin как один из своих потоков да еще и прячет его. Пытаюсь поймать его тестовыми прогами типа этой -

Код:

{$APPTYPE CONSOLE}
uses Windows, NativeAPI;

var
 ProcInfo, ProcIter : PSYSTEM_PROCESSES;

var i : Integer = 1;

{
Системный вызов ZwQuerySystemInformation для Windows XP.
}
Function XpZwQuerySystemInfoCall(ASystemInformationClass: dword;
  ASystemInformation: Pointer;
  ASystemInformationLength: dword;
  AReturnLength: pdword): dword; stdcall;
asm
pop ebp
mov eax, $AD
call @SystemCall
ret $10
@SystemCall:
mov edx, esp
sysenter
end;


procedure GetSyscallProcessList();
var
Info: PSYSTEM_PROCESSES;
mPtr: pointer;
mSize: dword;
St: NTStatus;
begin
mSize := $4000; 
repeat
GetMem(mPtr, mSize);
St := XpZwQuerySystemInfoCall(SystemProcessesAndThreadsInformation, mPtr, mSize, nil);
if St = STATUS_INFO_LENGTH_MISMATCH then
begin 
FreeMem(mPtr);
mSize := mSize * 2;
end;
until St <> STATUS_INFO_LENGTH_MISMATCH;
if St = STATUS_SUCCESS then
begin
Info := mPtr;
repeat
  Writeln(i:3,' ',WideCharToString(Info^.ProcessName.Buffer)) ;
//NewItem^.ProcessId := Info^.ProcessId;
//NewItem^.ParrentPID := Info^.InheritedFromProcessId;
  Info := pointer(dword(info) + info^.NextEntryDelta);
  Inc(i);
until Info^.NextEntryDelta = 0;
end;
FreeMem(mPtr);
end;



begin
  GetSyscallProcessList();
end.

Но не вижу нужного процесса.

htozdes · 14.08.2010, 12:25

Цитата:

Сообщение от Эдвадко

Но не вижу нужного процесса.

Вообще такая проблема наблюдается только на x86 на x64 процессы видно..
ну а проблему решить можно так:
поставь SetWindowsHookEx на свою длл либо на пустую дллку-загрузчик:

Код:

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
	switch(fdwReason)
	{
            ...
	      case DLL_PROCESS_ATTACH:
		if (0!=GetModuleHandle("l2.bin")) LoadLibrary("robat.dll");
            ...
	}
	return true;
}

но мне кажется это маразм =)
проще поставить ХП64 т.к. там всегда было меньше проблем с фростом и ГГ