[Piercing Blow] PointBlank\PiercingBlow. CreateMutex

[Awiion]

Всем привет,
Хочу показать, как избавиться от проверки PointBlank\PiercingBlow (CreateMutex)


________________________________

1. Понадобится PETools.
2. Понадобится Ida Pro\Free.
3. Понадобится Клиент игры.
_________________________

Инструкция:

Свернуть ↑ 1. PETools Делаем дамп, почти все клиенты под Themida.

Клац:

Свернуть ↑

Свернуть ↑Развернуть ↓

2. Ida Открываем дамп, сделанный PETools.

Клац:

Свернуть ↑

Свернуть ↑Развернуть ↓

3.Ищем проверку CreateMutex, для этого водим is running already (Alt+T)

Клац:

Свернуть ↑

Свернуть ↑Развернуть ↓

4. Поднимаемся выше, пока не уведем Check multiple running >>>

Клац:

Свернуть ↑

Свернуть ↑Развернуть ↓

5. Вот и изучили, jnz условие [75 4A] Занимает 2 байта.

Клац:

Свернуть ↑

Свернуть ↑Развернуть ↓

Свернуть ↑Развернуть ↓

____________________________________
Теперь нужно написать, инжект кода.
Пример приведу на с#, дальше сами хоть с++.

Клац:

Свернуть ↑ 1.

Код:

  const int PROCESS_VM_WRITE = 0x0020;
        const int PROCESS_VM_OPERATION = 0x0008;
 
        [DllImport("kernel32.dll")]
        public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);
 
        [DllImport("kernel32.dll", SetLastError = true)]
        static extern bool WriteProcessMemory(int hProcess, int lpBaseAddress,
          byte[] lpBuffer, int dwSize, ref int lpNumberOfBytesWritten);
Code: C#

2.

Код:

 
            Process process = new Process();
 
            string Login = "Tester"; 
            string Password = "1234";
            string Patch = "D:/Games/PointBlank/";
            int Addr = 0x408B1D; // Адрес функции jnz
 
            process.StartInfo = new ProcessStartInfo
            {
                FileName = Patch + "PointBlank.exe",
                Arguments = Login + " " + Password,
            };
 
            process.StartInfo.WorkingDirectory = Patch;
            process.Start();
 
            IntPtr processHandle = OpenProcess(0x1F0FFF, false, process.Id);
            int bytesWritten = 0;
            WriteProcessMemory((int)processHandle, Addr, new byte[] { 0x90, 0x90 }, 2, ref bytesWritten); //Nop (90)
Code: C#

Свернуть ↑Развернуть ↓

PointBlank:

Свернуть ↑

Свернуть ↑Развернуть ↓

PiercingBlow:

Свернуть ↑

Свернуть ↑Развернуть ↓

Ну вот и все, теперь сколько душе угодно запустится клиентов.
Кому не нужен логин и пароль, Arguments за комментировать.

[bola]

first of all thank you so much for spreading this knowledge.
for a moment i still have a issue with piercing blow, with dumped code or original .exe file
i cannot find the call for a mutex or a jnz instruction, in dump even i can find access to string


again, tyvm for this thread

obs: xigncode already bypassed

[n3k0nation]

Можно во много раз проще, без проблем с патчингом под изменение кода в клиенте. Достаточно убить глобальные мьютексы во всем клиенте, ибо они используются только для контроля запуска вторичных инстансов. Это можно сделать, например, так:

Код:

DWORD WINAPI SetupKernel(PVOID) {
	PVOID lib;
	while((lib = GetModuleHandleW(L"kernel32.dll")) == nullptr) {
		Sleep(10);
	}

	pHookCreateMutex = new Hook(wstring(L"kernel32.dll"), string("CreateMutexA"), &hCreateMutex);
	pHookCreateMutex->SetFlushCache(true);
	adrCreateMutex = reinterpret_cast<DWORD>(pHookCreateMutex->GetFunctionAddress());
	pHookCreateMutex->Apply();
	return 0;
}

Код:

HANDLE WINAPI hCreateMutex(LPSECURITY_ATTRIBUTES lpMutexAttributes, BOOL bInitialOwner, LPCSTR lpName) {
	const char* filter = "Global";
	if(strncmp(lpName, filter, strlen(filter)) != 0) {
		//try call original kernel function from virtual dll stub (minwin kernel)
		typedef HANDLE (*TCreateMutexA)(LPSECURITY_ATTRIBUTES, BOOL, LPCSTR);
		TCreateMutexA oCreateMutex = (TCreateMutexA)GetProcAddress(GetModuleHandleA("api-ms-win-core-synch-l1-1-0.dll"), "CreateMutexA");
		return oCreateMutex;
	}

	return nullptr;
}

[bola]

Цитата:

Сообщение от n3k0nation

Можно во много раз проще, без проблем с патчингом под изменение кода в клиенте. Достаточно убить глобальные мьютексы во всем клиенте, ибо они используются только для контроля запуска вторичных инстансов. Это можно сделать, например, так:

Код:

DWORD WINAPI SetupKernel(PVOID) {
	PVOID lib;
	while((lib = GetModuleHandleW(L"kernel32.dll")) == nullptr) {
		Sleep(10);
	}

	pHookCreateMutex = new Hook(wstring(L"kernel32.dll"), string("CreateMutexA"), &hCreateMutex);
	pHookCreateMutex->SetFlushCache(true);
	adrCreateMutex = reinterpret_cast<DWORD>(pHookCreateMutex->GetFunctionAddress());
	pHookCreateMutex->Apply();
	return 0;
}

Код:

HANDLE WINAPI hCreateMutex(LPSECURITY_ATTRIBUTES lpMutexAttributes, BOOL bInitialOwner, LPCSTR lpName) {
	const char* filter = "Global";
	if(strncmp(lpName, filter, strlen(filter)) != 0) {
		//try call original kernel function from virtual dll stub (minwin kernel)
		typedef HANDLE (*TCreateMutexA)(LPSECURITY_ATTRIBUTES, BOOL, LPCSTR);
		TCreateMutexA oCreateMutex = (TCreateMutexA)GetProcAddress(GetModuleHandleA("api-ms-win-core-synch-l1-1-0.dll"), "CreateMutexA");
		return oCreateMutex;
	}

	return nullptr;
}

can i have a better explanation about this code usage, sorry i'm not a c++ Expert, even a c++ coder, i'm just a Java coder and know a bit of c#

[Awiion]

bola,
Create a DLL, then inject into the process
(ddraw) startup.

[bola]

Цитата:

Сообщение от bola

can i have a better explanation about this code usage, sorry i'm not a c++ Expert, even a c++ coder, i'm just a Java coder and know a bit of c#

Awiion i have created a DLL already, but as example, pHookCreateMutex is undefined,

new Hook ???

many things are unknown for me

and here comes the song...
Hello Darkness my Old friend

[Anykia]

Цитата:

Сообщение от n3k0nation

Можно во много раз проще, без проблем с патчингом под изменение кода в клиенте. Достаточно убить глобальные мьютексы во всем клиенте, ибо они используются только для контроля запуска вторичных инстансов. Это можно сделать, например, так:

Код:

DWORD WINAPI SetupKernel(PVOID) {
	PVOID lib;
	while((lib = GetModuleHandleW(L"kernel32.dll")) == nullptr) {
		Sleep(10);
	}

	pHookCreateMutex = new Hook(wstring(L"kernel32.dll"), string("CreateMutexA"), &hCreateMutex);
	pHookCreateMutex->SetFlushCache(true);
	adrCreateMutex = reinterpret_cast<DWORD>(pHookCreateMutex->GetFunctionAddress());
	pHookCreateMutex->Apply();
	return 0;
}

Код:

HANDLE WINAPI hCreateMutex(LPSECURITY_ATTRIBUTES lpMutexAttributes, BOOL bInitialOwner, LPCSTR lpName) {
	const char* filter = "Global";
	if(strncmp(lpName, filter, strlen(filter)) != 0) {
		//try call original kernel function from virtual dll stub (minwin kernel)
		typedef HANDLE (*TCreateMutexA)(LPSECURITY_ATTRIBUTES, BOOL, LPCSTR);
		TCreateMutexA oCreateMutex = (TCreateMutexA)GetProcAddress(GetModuleHandleA("api-ms-win-core-synch-l1-1-0.dll"), "CreateMutexA");
		return oCreateMutex;
	}

	return nullptr;
}

Thank you!

(XignCode && CreateMutexA Patched)

[bola]

Цитата:

Сообщение от Anykia

Thank you!

(XignCode && CreateMutexA Patched)

How the hell have you done this

[n3k0nation]

bola, i share only code snippet. Your can use any code with splice hook implement.
I compile my dll for point blank (wo host/port change and etc, only mutex processing), take it and dont worry My dll have public export function: EmptyExport, u can add it into game PE as imported dll.

P.S: my dll needs minwin windows update (started from Windows Vista) and of course ms redistributable.

[bola]

Цитата:

Сообщение от n3k0nation

bola, i share only code snippet. Your can use any code with splice hook implement.
I compile my dll for point blank (wo host/port change and etc, only mutex processing), take it and dont worry My dll have public export function: EmptyExport, u can add it into game PE as imported dll.

P.S: my dll needs minwin windows update (started from Windows Vista) and of course ms redistributable.

Please God bless you, tyvm