Foro de elhacker.net

Tengo un juego que cuando hay ciertas aplicaciones abiertas no se deja ejecuta, o si abro el juego y ejecuto ese proceso se me cierra, he intentado renombrando el .exe y sigue dándome problemas, ¿Hay alguna forma de engañarlo camuflando ese proceso?

Hola!


Depende de cómo esté detectando el proceso que quieres correr. Qué juego es y qué es lo que te está detectando (osea, qué programa intentas correr)?

Saludos!

El juego es un servidor privado de Conquer, al parecer hicieron su propia versión del ejecutable de modo que chequee los procesos activos antes de abrir el juego, o durante la ejecución del juego. Quería correr un autoclic, un programa que no pesa ni 100kb, y me lo cierra, y no solo ese programa el emulador de Android, Ares, y otros programas al tenerlo abierto me sale que xxx proceso debo cerrarlo para poder ejecutar el juego, y si ejecuto el juego y luego ejecuto el proceso se congela el juego y debo cerrarlo.

Intenté esto que conseguí en el foro:


y no me funcionó, me sigue detectando el proceso.

Bueno, siendo así vas a tener que analizar el ejecutable del juego.

Si detecta otros procesos que no tienen nada que ver, puede que sean mil cosas: un packer que detecta algo en especial, una rutina custom que busca (mal) ventanas o bien busca hooks de teclado, etc.

Hay millones de opciones. La única forma es analizando el ejecutable.

Ahora, éste no es el subforo adecuado, sinó el de Ingeniría Inversa.
En ese subforo, puedes plantear tu pregunta, y deberías postear un link para descargar el servidor, así otros lo pueden analizar y ayudarte.

Ahora, ten en cuenta que sólo te responderán/emos si demuestras que quieres aprender sobre el tema. Si sólo te interesa hacer que el autoclicker corra y nada más, olvídalo...  :P

Saludos!

Lo comprendo, he estado analizando el juego y definitivamente el que chequea el juego es el ejecutable, intenté abrir el juego usando otra versión del client y no abre, pero al agregar el ejecutable automaticamente funciona. Ahora puedo descartar que sea el nombre del proceso el que ve, lo que me parece raro es que detecte un simple archivo basicamente artesanal y no me deje ejecutarlo.

Acá el enlace del ejecutable
http://www.mediafire.com/download/r6z6257acf9n1rb/Conquer.exe (http://www.mediafire.com/download/r6z6257acf9n1rb/Conquer.exe)

Intenté chequearlo con ResHack y no vi nada fuera de lo común.

Así me sale al intentar abrir el proceso:

(http://i.imgur.com/hrKECJd.jpg)

Pues es cosa de lógica, no necesitas hackear nada, solo utiliza los recursos que Windos te da, si la aplicación está detectando el proceso es porque de alguna manera está leyendo la memoria de tu pc al igual que lo hacen algunos antivirus y esto se hace porque tu le diste permiso de administración a la aplicación.

Lo mas probable es que estés ejecutando ambos archivos con un mismo usuario de administración, lo que deberías hacer es tener un usuario no administrador y ese usarlo para tu uso cotidiano. En ese caso deberías ejecutar el juego como un usuario sin permisos de administración y el otro programa darle click derecho y ponerle en ejecutar como administrador, entonces tu programa podrá hacer todo y tener acceso al juego pero el juego no podrá tener acceso al proceso que corre como administrador.

Saludos.

Intenté de todo, creé una cuenta de usuario como "no administradora", en propiedades cambié los permisos a solo lectura y ejecución y nada, el bendito programa sigue espiando mis procesos abiertos, ya no encuentro que hacer TT_TT

Será que está buscando el título de la ventana? es lo mas común, abre el cheat con el resource hacker y cambiale el título por cualquier otra cosa y lo compilas y lo pruebas :), si no te resulta entonces debe ser un sistema de protección mas complejo donde incluye la lectura de la memoria.

Nada, sigue sin funcionar, probé un script hecho con AutoIt, que es una especie de detector de pixeles para hacerle clic y nada que funciona.

El sistema debe de instalar un driver.
De modo que monitorea todos los hooks del mismo.
A menos que instales otro driver que se inicialize antes (o despues?) no creo que puedas hacer un buen bypass.
Y si lo abris con API monitor y te fijas que esta haciendo? O a que llama?

Lo extraño es que el juego ni siquiera se instala, se descarga una carpeta con los distintos archivos del juego y se abre desde el ejecutable.

Interesante lo del API Monitor, no sabía de su existencia, lo revisé veo que llama a .dll extrañas que no son precisamente partes del juego, pero aún así no entiendo que hicieron...

Se supone que es un servidor privado de un juego de TQ Digital, y el client no podía ser modificado porque no es de código abierto, según he leído a duras penas lograban hacer algunas cosas con OllyObdg con el ejecutable, y de eso pasar a agregarle todo un sistema complejo de monitoreo de los procesos ejecutados en la computadora?

Me ha dejado sorprendido este man, hizo lo que ni la compañía TQ Digital pudo lograr.


(http://oi61.tinypic.com/2pu048h.jpg)

TqPackage.dll
DEVOBJ.dll
bcrypt.dll
bcryotPrimitives.dll
d3d8thk.dll

Hay mucho para revisar..
Sobre todo se ve que el binario esta cifrado en ciertas partes por el algoritmo de bcrypt...
Cosa que es malo, porque valla dios a saber el factor de trabajo entre otras cosas..

Hola!

Por la primer imagen que pusiste, parece que estás tratando de inyectarle la DLL sv.dll. Si es éso, entonces lo más probable es que el programa esté detectando la inyección.

Nuevamente: Vas a tener que analizar el ejecutable. Con IDA lo puedes analizar si es de 32 o 64, tanto estática como dinámicamente (si no tiene un packer jodido). Con Olly sólo si es de 32 bits (los packers no importan pues tienes plugines que los evaden). Con windbg y x64dbg (parecido a Olly), debugueas tanto 32 como 64.

Saludos!

He descubierto algo más... al parecer el ejecutable lee el contenido de cada proceso, ni idea como hace eso y no pone la PC a consumir un montón de recursos... por ejemplo si el juego está abierto en chrome escribo en el buscador "Cheat Engine", inmediatamente se detiene el proceso del juego y se cierra, imagino que el otro programa por llevar en su contenido la palabra Miner (posiblemente agregada en el diccionario de palabras prohibidas porque posiblemente tenga que ver con el juego), se cierra y me dice que cierre el proceso chrome.exe porque está siendo usado...  Intentaré probar editando el .exe cambiando las palabras (si es que se deja).