C++ перехват пакетов

[Zubastic]

Цитата:

Сообщение от Akumu

это я бот мейкерам подсказывал? фу-фу-фу

[flopix]

Кстати еще по поводу всеработающего адреналина. Немного поковырял процесс L2 под отладкой с запущенным адреналином. Использовал ломанную версию 1,99 из шары, клиент IL.

1. адрик использует апи функции клиента, напрямую пакеты не шлет, во всяком случае основные которые выборочно я проверил (mtl, action, ...)
2. код который вызывает апи функции расположен в секции данных (не кода) основного потока.
3. вызов происходит из главного потока.

Интересно как он только загружает себя в процесс.
Доступ к A.dll которая лежит в папке с ботом, не отслеживается монитором доступа к ресурсам, не от имени адрика не от имени клиента, но без этого файла перехват не работает, неужели все таки загрузка происходит на нулевом кольце?
Ведь никакого драйвера с ботом не идет. Да и как бы запускался неподписанный драйвер так просто.

[Zubastic]

А ты не думаешь, что процесс просто скрыт?

[flopix]

Цитата:

Сообщение от Zubastic

А ты не думаешь, что процесс просто скрыт?

Имеешь ввиду еще какой то сторонний процесс создается?

[Zubastic]

Во первых процесс может быть скрыт, во вторых аттач длл может быть из процесса систем.

[f1redark]

Цитата:

Сообщение от flopix

Это чисто торговый бот для офф серверов, не для фарма. Только для себя и не для распространения.

Меня давно интересует один вопрос.

Если несколько процессов загружают один и тот же модуль dll в память, эта dll в памяти располагается в единственном экземпляре или для каждого процесса свой экземпляр?
Я понимаю что у каждого процесса свое виртуальное адресное пространство, интересует реально как оно располагается в ОЗУ.

Цитата:

Сообщение от Akumu

У каждого своя копия

На самом деле не копия. Пока у проекции только R (read) права доступа, ты работаешь с оригиналом модуля. Но как только ты попробуешь туда что то записать, сработает #PF, и система создаст специально для тебя копию страницы, в которую ты внес изменения. Называется этот механизм COW.
Собственно, так работают все ОС, если бы каждому в АП процесса копировали отдельную копию каждой либы, никакой памяти бы не хватило.

На картинках ниже, думаю все понятно:

Цитата:

Сообщение от Akumu

это я бот мейкерам подсказывал? фу-фу-фу

Думаю, что бот мейкеры, которые задают такие вопросы, это не ЦА вашего продукта)

[flopix]

Основной процесс не скрыт. Для создания процесса нужен же какой то модуль на диске для запуска верно? Монитор не показывает что адрик запускает какие то процессы сторонние.
Зато в в момент запуска клиента л2 создается поток в своем же процессе.

[flopix]

Цитата:

Сообщение от f1redark

На самом деле не копия. Пока у проекции только R (read) права доступа,

Спасибо я примерно так себе это и представлял. Действительно было интересно что происходит если вносишь изменения в область кода загруженного модуля.

[f1redark]

Цитата:

Сообщение от flopix

На руофе с фростом на VirtualAllocEx - отказано в доступе.

Неужели они на уровне драйвера поставили заглушки?
И поулучается адреналин тоже работает с драйвером?

Думаю, что нет) Да и зачем тебе эта функция? У всяких фростов на х64 сейчас огромная проблема, и имя ей - PG. Если коротко, то любое изменение контролируемых PG страниц ведет к BSOD, так что, как раньше, весело похукать половину SDT/SSDT, уже не выйдет. Драйвер в ядре сейчас стал гораздо менее полезен, чем был раньше, + для него теперь нужна подпись. У фроста я вроде видел дравину, но что она делает, без понятия, в процесс пролезть она никак не мешает, по крайней мере. Остальные защиты, как и боты, которые я смотрел (SG, LG, Adrik, ZRanger, i.t.c), драйвера не используют.

[flopix]

Цитата:

Сообщение от f1redark

Да и зачем тебе эта функция?

Как тогда что то записать в область памяти процесса l2?

Пока в голову приходит только вписать через PE редактор свою dll в импорт какой нибудь системной dll которую использует l2, но даст ли это сделать ОС.