Hi,
man findet leider immer nur Bruchstücke in tuts/solves/vids wie unterschiedlich kreativ die Leute ein Problem lösen: finden von Structs/Funktionen/Serials/OEP/IAT etc.
Wer Links dazu hat oder eigene Wege preisgeben will möge hier posten ;]
Was ich bisher angetroffen habe/nutze:
Code finden der Userinput behandelt: API-Hooks/Breakpoints,
Memory map -> search "registration success bla" -> auf hit: find references/hardware breakpoint,
module search for -> all referenced text strings -> "wrong password/serial bla",
Olly Plugin, Memory Watch: Single stepping mit auto-check register/memory vs string/hexBlob,
Olly Plugin, Hits Snake: subtrahiert 2 hit traces um den unterschiedlichen code zu identifizieren: hit trace1(gehe spieler), hit trace2(hit trace1 + shoot head), trace2 - trace1 = code der shoot head behandelt,
Olly Plugin, Olly Flow: IDA Function Graph,
Basic Idea: Memory als Bitmap darstellen um Maps/Mini-Maps visuell im speicher zu erkennen
Bot/Hack hiding methods:
DMA: vmware snapshots, run+load snap+address hardware_break_on_write
OK, das wars erstmal. Die Methoden sollten nicht zu spezifisch sein, sondern möglichst breites Spektrum abdecken. Hoffe die Infos sind hier nicht obsolet.
Zim
man findet leider immer nur Bruchstücke in tuts/solves/vids wie unterschiedlich kreativ die Leute ein Problem lösen: finden von Structs/Funktionen/Serials/OEP/IAT etc.
Wer Links dazu hat oder eigene Wege preisgeben will möge hier posten ;]
Was ich bisher angetroffen habe/nutze:
Code finden der Userinput behandelt: API-Hooks/Breakpoints,
Memory map -> search "registration success bla" -> auf hit: find references/hardware breakpoint,
module search for -> all referenced text strings -> "wrong password/serial bla",
Olly Plugin, Memory Watch: Single stepping mit auto-check register/memory vs string/hexBlob,
Olly Plugin, Hits Snake: subtrahiert 2 hit traces um den unterschiedlichen code zu identifizieren: hit trace1(gehe spieler), hit trace2(hit trace1 + shoot head), trace2 - trace1 = code der shoot head behandelt,
Olly Plugin, Olly Flow: IDA Function Graph,
Basic Idea: Memory als Bitmap darstellen um Maps/Mini-Maps visuell im speicher zu erkennen
|
|
|
|
OK, das wars erstmal. Die Methoden sollten nicht zu spezifisch sein, sondern möglichst breites Spektrum abdecken. Hoffe die Infos sind hier nicht obsolet.
Zim