Foro de elhacker.net

En nuestra red jugamos el BF3 y tengo un injector que funciona quisiera poder modificar las direcciones de memorias del juego para que no funcione.

Probe con VMProtect y sigue funcionando el injector.

Salu2 y gracias desde ya

Hola!

Y que modifica el injector? Que es lo que hace?

Si sabes que es lo que hace, puedes hacer algo para evitar su funcionamiento...

Saludos!

Inyecta una DLL al juego, supongo que modifica la dirección de memoria de alguna función como casi todos.

No sabría decirte mas lo que busco es que virtualize o ofusque la memoria para que no encuentre ese punto de inyección.

Salu2

Si probaste con VMPortect, entonces quizas debe estar tocando algo de la sección .data (de datos).

Prueba cambiar la ImageBase del exe. Si el juego corre, puede que la DLL tenga hardcodeada la direccion a parchear y se rompa.

Con probar no pierdes nada.  :P

Saludos!

Supongo que es el PE.

Baje el Themida y entre las opciones tiene dice que protege el PE.

Alguna recomendacion.

Salu2

PD: Ya estoy buscando sobre modificar el PE

Para modificar la ImageBase puedes usar CFF Explorer (o hasta el mismo Olly).

Saludos!

Este es el bicho

http://www.unknowncheats.me/forum/battlefield-3/117868-extreme-injector-v3-3-master131.html

---

 Algun manual para aprender como hacer el trabajo !!

Pd: Estoy mirando pero no estoy seguro de que necesito hacer, según tu debe estar en la sección .data !!

Salu2


MOD EDIT: No hacer doble post.

Te refieres a modificar la ImageBase del ejecutable?

Con CFF Explorer (http://ntcore.com/exsuite.php (http://ntcore.com/exsuite.php)), por ejemplo, abres el ejecutable, vas a Optional Header, ubicas ImageBase (normalmente tiene el valor de 0x400000), lo cambias a otra cosa (por ej. 800000) y luego haces "File"-"Save As" para guardar el nuevo EXE.

Lo ejecutas y, si arranca el juego, tratas de usar el inyector. Si funciona, es porque no tiene valores hardcodeados en el código, o bien, está usando otro método para hacer trampas.

Si no funciona el inyector, lo haz logrado.  ;)

Saludos!

EDIT:


Lo que pones es el programa inyector. Lo que hace "trampa" en el juego no es el inyector, sinó la DLL que inyectas. Ese debería ser tu objetivo: vencer la DLL inyectada, no al inyector.

Por supuesto, podrías tratar de evitar que el inyector funcione, pero eso es un poco más complejo ya que, según dice el post de quien lo subió, tiene múltiple formas de inyectar una DLL en un proceso. Ahora, parece que es un .NET, por lo que podrías usar Reflector para ver qué es lo que hace para inyectar y, en base a eso, ver cómo hacer para evitar la inyección.

Pero, como te dije, creo que sería mejor enfocarse en la DLL inyectada...

Saludos!

Hola,

Use el Reflector pero no me reconoce el ensamblado para que esta con algun crypter u algo.

Referente a la DLL no entiendo si yo encrypto la aplicación en memoria y su EP, la virtualizo puedo entender que hasta cierto punto el inyector funcione pero que la DLL tambien  :o :o

Como examino la DLL, que debo buscar, dame algo para leer y asi informarme, disculpa la preguntadera es para no perder tiempo, es que estoy seguro de que si logro modificar el .EXe del juego a uno practicamente nuevo se las voy a poner dificil a esos inyectores que salen..

El juego se tiene que abrir desde mi aplicación eso es seguro asi que tengo la ventaja de poder verificar que la aplicación del juego que se abre es la mía modificada y no la estandar.

Salu2

Te repito, olvídate del inyector pues no es el responsable en este tema. Te será muy difícil tratar de evitar la inyección de la DLL.

Por otro lado, para revisar la DLL puedes usar IDA. Ahora, si tiene un packer, vas a tener que analizar que packer es y quitarlo (usando un tutorial sobre el packer que sea o "a mano") antes de poder analizar la librería.

No puedo aconsejarte nada para leer pues ésto (lo que quieres hacer) es algo que adquieres con la experiencia. Normalmente los tutoriales son sobre cómo romper cosas, no sobre cómo proteger. No encontrarás una guía definitiva sobre cómo proteger aplicaciones (de ahí tantos packers).

Además, las formas de hacer trampas en un juego son muchísimas. Depende del juego y de la forma en que esté programado. Quizás modificando valores en el cliente se pueda hacer trampas o modificando paquetes o como sea.

En fin, es lo que se me ocurre ahora.

Saludos!

hola,

dejame aprovechar para hacerte una pregunta yo tengo windows 8.1 64x antes cuando usaba el XP SP3 86x hacia los concursos de reversing con olly, mi pregunta cual me recomiendas y como es el tema de los 64x en comparacion con 86x...

Alguna manual o tutorial que se aplique a este sistema para actualizarme..

Salu y gracias toy bajando IDa y buscando un manual si sabes alguno de novato tira pa aca.

gracias de antemano

Tambien tengo Win 8.1 x64, pero uso maquinas virtuales para el cracking/etc (VMWare Workstation). Tengo una con Win XP SP3 y ahi hago las cosas que necesito (por supuesto, tambien puedes tener win 7,8,8.1,10, linux y hasta Mac; en 32 y 64 bits).

Ademas, las VMs te serviran para hacer todo tipo de pruebas, ejecutar cosas que no sabes si son del todo seguras o no, etc, etc.

Te recomiendo usar VMs.

Por otro lado, un integrante de CLS (Bingundill@) escribió un tutorial sobre IDA hace un tiempo. Dicho tutorial fue condensado por otro integrante de dicha lista y de este foro: http://ricardonarvaja.info/WEB/OTROS/IDA%20BIGUNDILLA/IDA%20de%20cabo%20a%20rabo%20por%20Bigundill%40%20recopilado%20por%20UND3R.rar (http://ricardonarvaja.info/WEB/OTROS/IDA%20BIGUNDILLA/IDA%20de%20cabo%20a%20rabo%20por%20Bigundill%40%20recopilado%20por%20UND3R.rar)

Saludos!

PD: Google ha tageado el sitio web de Ricardo Narvaja como malicioso. Por supuesto, esto es un falso positivo, asi que si el navegador te da problemas, usa otro para bajarte el curso.

Ok voy a meterle mano a ver que aprendo !!

Aclarame algo porque es que aun me sigue dando vueltas.

El que programo el inyector lo hizo para que funcionase con el bf3.exe standar, si los crypter's que yo use como el VirtualProtect y el Themida supuestamente modifican ese .EXE convirtiendolo en otro por decirlo de alguna manera y el inyector sigue funcionando entonces queda claro que independientemente del metodo que use el programa el lugar que el busca a inyectar ambos crypter los esta dejando intacto !!

Esto es correcto ?

Mi pregunta sería como se que no estan tocando los crypters, asumo que no sea algo sensible porque supongo que en esas zonas es donde ellos mas tocan, voy a mirar la DLL como dices a ver si descubro algo como por ejemplo ya se que llama a un DLL de DIRECTX la carga una vez que se inyecta.

Según entiendo, el inyector funcina con cualquier ejecutable. No es específico para el juego solamente.

Saludos!

Como es que el sabe a donde inyectar, porque por ejemplo para el MW3 (Call of Duty) no me funciona a la hora de inyectar una DLL que se funciona con otro inyector.

Sera quizas que la DLL hay que construirla con alguna caracteristica especial.

Salu2