Autor
|
Tema: Algun crypter que modifique las direcciones de memoria ? (Leído 9,259 veces)
|
TrashAmbishion
Desconectado
Mensajes: 756
|
En nuestra red jugamos el BF3 y tengo un injector que funciona quisiera poder modificar las direcciones de memorias del juego para que no funcione.
Probe con VMProtect y sigue funcionando el injector.
Salu2 y gracias desde ya
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
Hola!
Y que modifica el injector? Que es lo que hace?
Si sabes que es lo que hace, puedes hacer algo para evitar su funcionamiento...
Saludos!
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
TrashAmbishion
Desconectado
Mensajes: 756
|
Inyecta una DLL al juego, supongo que modifica la dirección de memoria de alguna función como casi todos.
No sabría decirte mas lo que busco es que virtualize o ofusque la memoria para que no encuentre ese punto de inyección.
Salu2
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
Si probaste con VMPortect, entonces quizas debe estar tocando algo de la sección .data (de datos). Prueba cambiar la ImageBase del exe. Si el juego corre, puede que la DLL tenga hardcodeada la direccion a parchear y se rompa. Con probar no pierdes nada. Saludos!
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
TrashAmbishion
Desconectado
Mensajes: 756
|
Supongo que es el PE.
Baje el Themida y entre las opciones tiene dice que protege el PE.
Alguna recomendacion.
Salu2
PD: Ya estoy buscando sobre modificar el PE
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
Para modificar la ImageBase puedes usar CFF Explorer (o hasta el mismo Olly).
Saludos!
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
|
MCKSys Argentina
|
Algun manual para aprender como hacer el trabajo !!
Te refieres a modificar la ImageBase del ejecutable? Con CFF Explorer ( http://ntcore.com/exsuite.php), por ejemplo, abres el ejecutable, vas a Optional Header, ubicas ImageBase (normalmente tiene el valor de 0x400000), lo cambias a otra cosa (por ej. 800000) y luego haces "File"-"Save As" para guardar el nuevo EXE. Lo ejecutas y, si arranca el juego, tratas de usar el inyector. Si funciona, es porque no tiene valores hardcodeados en el código, o bien, está usando otro método para hacer trampas. Si no funciona el inyector, lo haz logrado. Saludos! EDIT:Lo que pones es el programa inyector. Lo que hace "trampa" en el juego no es el inyector, sinó la DLL que inyectas. Ese debería ser tu objetivo: vencer la DLL inyectada, no al inyector. Por supuesto, podrías tratar de evitar que el inyector funcione, pero eso es un poco más complejo ya que, según dice el post de quien lo subió, tiene múltiple formas de inyectar una DLL en un proceso. Ahora, parece que es un .NET, por lo que podrías usar Reflector para ver qué es lo que hace para inyectar y, en base a eso, ver cómo hacer para evitar la inyección. Pero, como te dije, creo que sería mejor enfocarse en la DLL inyectada... Saludos!
|
|
« Última modificación: 13 Julio 2016, 02:30 am por MCKSys Argentina »
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
TrashAmbishion
Desconectado
Mensajes: 756
|
Hola, Use el Reflector pero no me reconoce el ensamblado para que esta con algun crypter u algo. Referente a la DLL no entiendo si yo encrypto la aplicación en memoria y su EP, la virtualizo puedo entender que hasta cierto punto el inyector funcione pero que la DLL tambien Como examino la DLL, que debo buscar, dame algo para leer y asi informarme, disculpa la preguntadera es para no perder tiempo, es que estoy seguro de que si logro modificar el .EXe del juego a uno practicamente nuevo se las voy a poner dificil a esos inyectores que salen.. El juego se tiene que abrir desde mi aplicación eso es seguro asi que tengo la ventaja de poder verificar que la aplicación del juego que se abre es la mía modificada y no la estandar. Salu2
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
Como examino la DLL, que debo buscar, dame algo para leer y asi informarme, disculpa la preguntadera es para no perder tiempo, es que estoy seguro de que si logro modificar el .EXe del juego a uno practicamente nuevo se las voy a poner dificil a esos inyectores que salen..
Te repito, olvídate del inyector pues no es el responsable en este tema. Te será muy difícil tratar de evitar la inyección de la DLL. Por otro lado, para revisar la DLL puedes usar IDA. Ahora, si tiene un packer, vas a tener que analizar que packer es y quitarlo (usando un tutorial sobre el packer que sea o "a mano") antes de poder analizar la librería. No puedo aconsejarte nada para leer pues ésto (lo que quieres hacer) es algo que adquieres con la experiencia. Normalmente los tutoriales son sobre cómo romper cosas, no sobre cómo proteger. No encontrarás una guía definitiva sobre cómo proteger aplicaciones (de ahí tantos packers). Además, las formas de hacer trampas en un juego son muchísimas. Depende del juego y de la forma en que esté programado. Quizás modificando valores en el cliente se pueda hacer trampas o modificando paquetes o como sea. En fin, es lo que se me ocurre ahora. Saludos!
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Calculo direcciones de Memoria, Paginacion
Programación General
|
Darksythe
|
1
|
4,664
|
5 Enero 2012, 21:41 pm
por modo_senin
|
|
|
[duda] Struc en C/C++, direcciones en memoria
Programación C/C++
|
CSQCasimiro
|
4
|
2,848
|
6 Septiembre 2012, 22:26 pm
por CSQCasimiro
|
|
|
Direcciones de memoria
Programación C/C++
|
Maik33
|
4
|
2,846
|
17 Octubre 2012, 14:48 pm
por Maik33
|
|
|
Duda direcciones de memoria C
« 1 2 3 »
Programación C/C++
|
dRak0
|
23
|
10,035
|
19 Julio 2013, 16:38 pm
por rir3760
|
|
|
Algun crypter runtime para .Net
Análisis y Diseño de Malware
|
Borito30
|
1
|
2,791
|
14 Noviembre 2016, 22:48 pm
por Flamer
|
|