Логотип игрового форума RF-Cheats.ru    
Новости онлайн игр Правила форума Чёрный рынок Реклама и привилегии Гаранты Арбитраж

Вернуться   Чит портал RF-Cheats.ru - форум читеров и ботоводов > > >

Взлом и программирование

: Аспекты программирования при реализации различных методик взлома.
Читы и обход фроста для RF Online без хайдаБоты и читы для Perfect World бесплатно без хайдаМоды и читы для World of Tanks (WoT) бесплатно без хайдаМоды и читы для Armored Warfare бесплатно без хайдаБоты и читы для DOTA 2 бесплатно без хайдаБоты и читы для Black Desert Online бесплатно без хайдаЧиты на ArcheAge бесплатно без хайдаЧиты для Warface бесплатно без хайдаВзлом ВКонтакте и ОдноклассниковСписок разделов со всеми играмиЧиты для онлайн игр



Ответ
 
Опции темы
Старый 18.10.2018, 19:10   #1
Влад Пен
Нуб
Аватар для Влад Пен
OFFLINE
Регистрация: 01.04.2017
Сообщений: 0
Благодарностей:
0 всего
Репутация: 1

ExitProcess в .exe игры


Здравствуйте, хотел попытаться обойти защиту от wpe pro в одной малоизвестной игре, но вот никак не получается, всё что удалось узнать,так это то, что игры закрывается после внедрения dll wpe pro путём события DLL_THREAD_ATTACH и команды ExitProcess, подскажите, в каком направлении мне идти,чтоб до конца вырезать эту команду?
При внедрении dll в Ollydbg процесс заканчивался надписью Terminated и ещё процесс заканчивался командой ExitProcess и я находил место, где она находится, а вот что с ней сделать и можно ли вообще что-то сделать,к сожалению не знаю
 
Ответить с цитированием


Старый 19.10.2018, 07:39   #2
dark
Владимир Владимирович
Аватар для dark
OFFLINE
Регистрация: 09.04.2007
Сообщений: 963
Благодарностей:
34,733 всего
Мнения: + 22994
Репутация: 110862
Отправить сообщение для dark с помощью ICQ Отправить сообщение для dark с помощью Skype™

Для начала попробуй заинжектить какую-нибудь безобидную длл с Hello world. Так ты определишь на что реагирует защита - на wpe pro или в целом на подгрузку длл. Вангую, что первый вариант. Если он, то либо в защите есть какой-то блэк лист, либо реакция на самом деле на действия wpe pro. Тут уж простыми танцами с бубном ничего не сделать, ну переименовать и упаковать длл можно, что опять же имхо не поможет.
Если же реакция в целом на подгрузку длл (что врядли), то самое простое, что можно сделать практически на коленке: попробовать инжект через реестр (при этом свою длл поместить куда-нибудь в системные папки)

Создание читов на заказ | Правила форума

Я не оказываю услуги гаранта!
База данных кидал: blacklist.rf-cheats.ru
Обязательно проверяйте человека через чёрный список прежде чем совершать с ним сделку.
 
Ответить с цитированием
Сказали спасибо:
Paladin (19.10.2018)
Старый 19.10.2018, 07:50   #3
Paladin
Супер-модератор
Аватар для Paladin
OFFLINE
Регистрация: 22.05.2008
Сообщений: 551
Благодарностей:
22,949 всего
Мнения: + 10914
Репутация: 99872

@Влад Пен, а что за игра-то? Может чего подскажу

Ну а так, если вся защита банально в вызове ExitProcess (что вряд ли) - хукни её или затри первые байты какими-нить xor eax,eax\ret

Цитата:
Никогда "ради мира и спокойствия" не отказывайтесь от собственного опыта и убеждений © Даг Хаммаршельд, политический деятель и лауреат Нобелевской премии мира
Цитата:
Никогда не спорьте с идиотами. Вы опуститесь до их уровня, где они вас задавят своим опытом © Марк Твен

База мошенников (обновляемая): blacklist.rf-cheats.ru
(Тема на кидалу есть, а в блэклист его не добавили? Скорее сюда)
 
Ответить с цитированием
Старый 19.10.2018, 08:11   #4
Тигрь
Крестный отец всех читеров
Аватар для Тигрь
OFFLINE
Регистрация: 02.04.2008
Сообщений: 3,981
Благодарностей:
35,829 всего
Мнения: + 18845
Репутация: 100877

Цитата:
Сообщение от Paladin Посмотреть сообщение
@Влад Пен, а что за игра-то?
ну так малоизвестная игра.

Вечность пахнет нефтью
 
Ответить с цитированием
Сказали спасибо:
Paladin (19.10.2018)
Старый 19.10.2018, 08:15   #5
dark
Владимир Владимирович
Аватар для dark
OFFLINE
Регистрация: 09.04.2007
Сообщений: 963
Благодарностей:
34,733 всего
Мнения: + 22994
Репутация: 110862
Отправить сообщение для dark с помощью ICQ Отправить сообщение для dark с помощью Skype™

Дока 2, не иначе

Создание читов на заказ | Правила форума

Я не оказываю услуги гаранта!
База данных кидал: blacklist.rf-cheats.ru
Обязательно проверяйте человека через чёрный список прежде чем совершать с ним сделку.
 
Ответить с цитированием
Сказали спасибо:
Тигрь (19.10.2018), Paladin (19.10.2018)
Старый 19.10.2018, 12:41   #6
Влад Пен
Нуб
Аватар для Влад Пен
OFFLINE
Регистрация: 01.04.2017
Сообщений: 0
Благодарностей:
0 всего
Репутация: 1

Попробовал заинжектить рандомную длл, прошло успешно, как Вы сказали, защита ругается именно на длл wpe pro

Добавлено через 2 минуты
игра Tales of Pirates, я пытался забить команды посредством nop, но после каждой попытки olly перекидывает на новые команды и так до бесконечности

Последний раз редактировалось Влад Пен; 19.10.2018 в 12:44. Причина: Добавлено сообщение
 
Ответить с цитированием
Старый 19.10.2018, 13:41   #7
dark
Владимир Владимирович
Аватар для dark
OFFLINE
Регистрация: 09.04.2007
Сообщений: 963
Благодарностей:
34,733 всего
Мнения: + 22994
Репутация: 110862
Отправить сообщение для dark с помощью ICQ Отправить сообщение для dark с помощью Skype™

Цитата:
Сообщение от Влад Пен Посмотреть сообщение
Попробовал заинжектить рандомную длл, прошло успешно, как Вы сказали, защита ругается именно на длл wpe pro

Добавлено через 2 минуты
игра Tales of Pirates, я пытался забить команды посредством nop, но после каждой попытки olly перекидывает на новые команды и так до бесконечности
разумеется, после nop выполняется следующая инструкция и так до бесконечности. Выше Паладин написал про возврат из функции, а не про "nop".
Теперь нужно понять, на что конкретно ругается защита. Либо на конкретно dll'ку, либо на её действия. Для этого попробуйте её за-upx-ить, зашифровать, обфуцировать и тд. Но это врядли конечно поможет.

Создание читов на заказ | Правила форума

Я не оказываю услуги гаранта!
База данных кидал: blacklist.rf-cheats.ru
Обязательно проверяйте человека через чёрный список прежде чем совершать с ним сделку.
 
Ответить с цитированием
Старый 19.10.2018, 13:59   #8
Влад Пен
Нуб
Аватар для Влад Пен
OFFLINE
Регистрация: 01.04.2017
Сообщений: 0
Благодарностей:
0 всего
Репутация: 1

Не получается:(
Пробовал запаковать программой upx, переименовал wpespy.dll в рандомные другие названия и всё бесполезно...можно ли как-то узнать,какая команда срабатывает при инжекте, чтоб как-то избавиться от неё? брейкпоинтом в olly не получается, exe сразу врубается
 
Ответить с цитированием
Старый 19.10.2018, 14:07   #9
Paladin
Супер-модератор
Аватар для Paladin
OFFLINE
Регистрация: 22.05.2008
Сообщений: 551
Благодарностей:
22,949 всего
Мнения: + 10914
Репутация: 99872

Цитата:
Сообщение от Влад Пен Посмотреть сообщение
Не получается:(
Пробовал запаковать программой upx, переименовал wpespy.dll в рандомные другие названия и всё бесполезно...
Мне кажется оно просто детектит хуки на winsock функциях и если находит - грохает процесс
Попробуй для теста заинжектить свою либу, в которой хукаешь, к примеру, send

Цитата:
Сообщение от Влад Пен Посмотреть сообщение
можно ли как-то узнать,какая команда срабатывает при инжекте, чтоб как-то избавиться от неё? брейкпоинтом в olly не получается, exe сразу врубается
А это уже зависит от того, через что ВПЕ делает инжект. Если через создание удаленного потока - то в нём будет вызываться LoadLibrary-A\W\ExA\ExW и тд (любая из этой серии)

Цитата:
Никогда "ради мира и спокойствия" не отказывайтесь от собственного опыта и убеждений © Даг Хаммаршельд, политический деятель и лауреат Нобелевской премии мира
Цитата:
Никогда не спорьте с идиотами. Вы опуститесь до их уровня, где они вас задавят своим опытом © Марк Твен

База мошенников (обновляемая): blacklist.rf-cheats.ru
(Тема на кидалу есть, а в блэклист его не добавили? Скорее сюда)
 
Ответить с цитированием
Старый 19.10.2018, 14:08   #10
Тигрь
Крестный отец всех читеров
Аватар для Тигрь
OFFLINE
Регистрация: 02.04.2008
Сообщений: 3,981
Благодарностей:
35,829 всего
Мнения: + 18845
Репутация: 100877

Цитата:
Сообщение от Влад Пен Посмотреть сообщение
Не получается:(
Пробовал запаковать программой upx, переименовал wpespy.dll в рандомные другие названия и всё бесполезно...можно ли как-то узнать,какая команда срабатывает при инжекте, чтоб как-то избавиться от неё? брейкпоинтом в olly не получается, exe сразу врубается
если ты избавишься от той команды на которую срабатывает то у тебя впе не будет работать.

Вечность пахнет нефтью
 
Ответить с цитированием
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
игры ios Whiskers Общение читеров 1 14.02.2017 02:27
Ускоряем загрузку игры и карт [все версии игры] tolsn Статьи, гайды по WoT 13 03.05.2016 13:13
Игры для PSP 520602 Общение читеров 13 24.03.2013 18:15
Игры для 2+ тел Xmin Общение читеров 6 11.03.2013 17:03
Игры!18+ Sitanom Читы для игр ВКонтакте и в Одноклассниках 3 16.02.2013 13:00

Мир танков | Проект "Армата" | ArcheAge | Black Desert | РФ Онлайн | Айон | Майнкрафт | Браузерные игры
Элдер скролс | Р2 Онлайн | Реквием Онлайн | ПУБГ | Роял Квест | ГТА Санадреас | Контра | Дота 2
Мир кораблей | Лост Арк | Arma2 DayZ mod | The War Z | Карос: Начало | Tera Online
Читы для всех Онлайн-игр