Рейтинг темы:
  • 0 Голос(ов) - 0 в среднем
  • 1
  • 2
  • 3
  • 4
  • 5
C++ перехват пакетов
flopix Написал:Кстати еще по поводу всеработающего адреналина. Немного поковырял процесс L2 под отладкой с запущенным адреналином. Использовал ломанную версию 1,99 из шары, клиент IL.

1. адрик использует апи функции клиента, напрямую пакеты не шлет, во всяком случае основные которые выборочно я проверил (mtl, action, ...)
2. код который вызывает апи функции расположен в секции данных (не кода) основного потока.
3. вызов происходит из главного потока.

Интересно как он только загружает себя в процесс.
Доступ к A.dll которая лежит в папке с ботом, не отслеживается монитором доступа к ресурсам, не от имени адрика не от имени клиента, но без этого файла перехват не работает, неужели все таки загрузка происходит на нулевом кольце? :eek:
Ведь никакого драйвера с ботом не идет. Да и как бы запускался неподписанный драйвер так просто.

В адрике все сделано по умному, даже LG уже не давал нормально слать пакеты, тем более не из основного потока. Гораздо проще дергать API клиента, которые, тем более, обычно не меняются, чем каждый раз допиливать пакеты под новые хроники.

На счет монитора доступа к ресурсом, не факт, что он проверяет абсолютно все функции, кроме банальных CreateFileA / ReadFile.
Ответ
Кстати все таки показало что дергает этот файл a.dll, который совсем не dll на самом деле.

Процесс 1.exe который как я думал есть элементом взлома бота.
Возможно это патченая замена модулю loader.exe который идет с обычной версией адрика.


Файлы вложений
.jpg   a_dll.JPG (Размер: 38.19 KB / Загрузок: 33)
Ответ
flopix Написал:Как тогда что то записать в область памяти процесса l2?

Пока в голову приходит только вписать через PE редактор свою dll в импорт какой нибудь системной dll которую использует l2, но даст ли это сделать ОС.
[Изображение: Hydra-Cap-Captain-America-Marvel-%D1%84%...295755.png]

Добавлено через 1 минуту
flopix Написал:Кстати все таки показало что дергает этот файл a.dll, которая совсем не dll на самом деле.

Процесс 1.exe который как я думал есть элементом взлома бота.
Возможно это патченая замена модулю loader.exe который идет с обычной версией адрика.
Дык посмотри идой, что там внутри творится то.
Дарк глянь скайп, я уже неделю жду :redlol:
[Изображение: 4e38c909fcd08c5fcdf363b54a62.png]
Ответ
f1redark, мой ответ был в упрощенной форме

Добавлено через 5 минут
flopix Написал:Кстати все таки показало что дергает этот файл a.dll, который совсем не dll на самом деле.

Процесс 1.exe который как я думал есть элементом взлома бота.
Возможно это патченая замена модулю loader.exe который идет с обычной версией адрика.

Откройте процесс loader.exe в ольге, поставьте бряки на writeprocessmemory и createremotethread
Ответ
Akumu Написал:f1redark, мой ответ был в упрощенной форме

Добавлено через 5 минут


Откройте процесс loader.exe в ольге, поставьте бряки на writeprocessmemory и createremotethread

Так я в курсе, что вы в курсе) Подумал, может человеку интересно будет.
Ответ
Akumu;418033 Написал:Откройте процесс loader.exe в ольге, поставьте бряки на writeprocessmemory и createremotethread
Да вызывает.
Ответ
flopix Написал:Да вызывает.


Осталось глянуть, как определяется наличие процесса l2.{bin,exe}, ибо в юзермоде нормальных способов определить запуск процесса нету, к сожалению)

Добавлено через 40 секунд
flopix Написал:Как тогда что то записать в область памяти процесса l2?

Пока в голову приходит только вписать через PE редактор свою dll в импорт какой нибудь системной dll которую использует l2, но даст ли это сделать ОС.

Ну адрик же пашет с фростом, и выделяет память, делай выводы) А вообще, инжект это самое простое, потому, что в винде в принципе нереально не дать залезть в свой процесс)

Добавлено через 2 минуты
Zubastic Написал:Добавлено через 1 минуту

Дарк глянь скайп, я уже неделю жду :redlol:

Дома буду, гляну)
Ответ
f1redark;418039 Написал:Осталось глянуть, как определяется наличие процесса l2.{bin,exe}, ибо в юзермоде нормальных способов определить запуск процесса нету, к сожалению)
Не знаю. Я получаю список процессов. Нахожу тот имя модуля которого l2.exe. На руофе пашет. Да именно само окно не видно, а вот процесс есть.
Ответ
flopix Написал:Не знаю. Я получаю список процессов. Нахожу тот имя модуля которого l2.exe. На руофе пашет. Да именно само окно не видно, а вот процесс есть.

Это кривой способ) А если там 10 процессов l2.exe? Ты в каждый будешь писать? Прийдется хранить список PID уже прохаченных процессов.

+ код кривой, нужно каждые n секунд получать список процессов, т.е. просто так крутить цикл, аля

[SRC="c++"]
while( true )
{
auto list = myMegaGetProcessList();
}
[/SRC]

Но самое грустное, что ты не знаешь, в какой момент ты обнаружишь процесс, может так случиться, что защита уже будет проиниализированна, или функции, которые ты хукаешь, аля Init и т п, уже к этому времени будут вызваны. В общем, не стабильно это все.

По нормальному, нужно получить управление ровно в точке окончания системной инициализации, но до вызова любых DllMain, в которых защита уже перехерачит пол клиента.
Ответ
f1redark;418044 Написал:Но самое грустное, что ты не знаешь, в какой момент ты обнаружишь процесс, может так случиться, что защита уже будет проиниализированна

Да я храню пропатченные PID.
Мне в принципе и нужно перехватить процесс уже после инициализации, чтобы все объекты были уже созданы.
Вроде бы фрост и так управляет загрузкой модуля l2.exe врятли там можно успеть что то сделать до ининциализации защиты.


f1redark;418039 Написал:Ну адрик же пашет с фростом, и выделяет память, делай выводы
К сожалению версия из шары не пашет с настоящим фростом.
Выполняет VirtualAllocEX и получает lastWinError с кодом 5 - отказано в доступе.
До вызова WriteProcessMemory даже не доходит.
Как происходт запись в память в новой версии адрика хз.
Ответ


Возможно похожие темы ...
Тема Автор Ответы Просмотры Последний пост
  Свой сниффер и редактор пакетов SiriusED 0 462 03-22-2024, 03:28 AM
Последний пост: SiriusED
  Реконструкция пакетов из WSARecv\WSASend ANZO 3 2,492 04-17-2016, 08:34 PM
Последний пост: Necroz-Team
  Подмен пакетов katanasmil 4 3,090 06-16-2014, 07:24 PM
Последний пост: PROGRAMMATOR
  Опкоды пакетов при хуке Mifesto 3 2,435 07-09-2013, 04:18 PM
Последний пост: Mifesto

Перейти к форуму:


Пользователи, просматривающие эту тему: 11 Гость(ей)