Der ultimative Off-Topic Thread

Page 6 of 10

06/01/2010 15:54 buFFy!#76

das dient dazu die injektion zu "verstecken"

06/01/2010 16:20 Deset#77

und die dll, verstecke ich dann wie?
muss ich da etwas in der dll ver�ndern oder nachdem ich sie ver�ndert habe iwas machen?

06/01/2010 18:48 Valvepro#78

Quote:

Originally Posted by Deset

und die dll, verstecke ich dann wie?
muss ich da etwas in der dll ver�ndern oder nachdem ich sie ver�ndert habe iwas machen?

Immer noch den peb zerst�ren....

Quote:

Originally Posted by phrenesis

NtSuspendProcess, NtResumeProcess? :/

Ne meinte ich eig. nicht:)

06/01/2010 18:57 Deset#79

Quote:

Originally Posted by Valvepro

Immer noch den peb zerst�ren....

ja klar, aber wie mache ich das, des ist mein prob :D

06/01/2010 20:52 Valvepro#80

Naja.. das anhalten des Processes ist sowieso nicht so wichtig von daher...
Es wird NICHT geschaut ob irgendetwas im Process eindringt.

Der Kernel macht lediglich eine Liste von jeder geladenen DLL!

06/02/2010 15:38 PenGuin :O#81

Code:

$PID = ProcessExists($Process)
$hHandle = DllCall("kernel32.dll", 'int', 'OpenProcess', 'int', 0x1f0fff, 'int', False, 'int', $PID)
DllCall("ntdll.dll","int","NtSuspendProcess","int",$hHandle[0])
DllCall('kernel32.dll', 'ptr', 'CloseHandle', 'ptr', $hHandle)

und

Code:

$PID = ProcessExists($Process)
$hHandle = DllCall("kernel32.dll", 'int', 'OpenProcess', 'int', 0x1f0fff, 'int', False, 'int', $PID)
DllCall("ntdll.dll","int","NtResumeProcess","int",$hHandle[0])
DllCall('kernel32.dll', 'ptr', 'CloseHandle', 'ptr', $hHandle)

Einfach in den Injektionscode einf�gen?^^

EDIT: Also doch die .dll von der Liste l�schen?

06/03/2010 07:12 buFFy!#82

Probiers aus

06/03/2010 13:54 PenGuin :O#83

Geht schlecht ohne Gw Account^^

06/03/2010 14:49 buFFy!#84

Wozu brauchst du daf�r einen GW Account?

06/03/2010 14:51 Killerzwerg829#85

Injecten kannst du auch ohne.

06/03/2010 19:31 Harko#86

Quote:

Originally Posted by u-coRe

Kann man wohl. PE Header t�ten und von der Modulliste exkludieren.

�ber VirtualQuery den Status jeder einzelnen Memory Page abfragen und wenn sie als lesbar definiert ist, �ber ein Hashwert von ein paar einzelnen Bytes den Inhalt �berpr�fen.

Warden von WoW funktioniert auf diese Weise und deswegen w�re dort dein Vorschlag absolut nutzlos.

Dies nur mal so als Anmerkung weil ich gerade zuf�llig durch das Forum surfe.

06/03/2010 20:03 PenGuin :O#87

Ja aber das funktioniert doch wenn ich das davor setze, ich bin scho ngebannt, da geht nicht noch mehr gebannt. Der sinn der sache ist doch zu schauen ob man gebannt wird oO

06/03/2010 20:04 buFFy!#88

Jo. Das hier ist btw. GW. Und bisher haben sie mich so nicht gebannt.

06/03/2010 20:15 Harko#89

Quote:

Originally Posted by u-coRe

Jo. Das hier ist btw. GW. Und bisher haben sie mich so nicht gebannt.

und

"Ich hoffe dir ist bekannt, dass man eine dll nicht einfach so verstecken kann."

"Kann man wohl. PE Header t�ten und von der Modulliste exkludieren."

ist eine allgemeing�ltige Aussage die sich nicht auf einen konkreten Fall bezieht.

"Und bisher haben sie mich so nicht gebannt."

Debugger und schauen wie die Detection funktioniert und nicht nach dem Prinzip "Try and Error" raten.

06/04/2010 06:51 buFFy!#90

Quote:

Originally Posted by Harko

Debugger und schauen wie die Detection funktioniert ...

Ich hab alles was ich brauche :rolleyes:

War auch allgemeing�ltig gemeint. Das das trotzdem nicht �berall funktioniert ist mir klar, aber PB z.B. sagt dazu nichts.

Page 6 of 10

« First

Last »