grundsätzlich wäre das natürlich möglich, allerdings haben die einen signierten treiber, damit würde maximal der treiber garnicht erst geladen werden was zu falschen heartbeat packets führen würde...Quote:
Du könntest versuchen ein x64er System zu spoofen, damit HS denkt, dass es den ring0 Treiber nicht laden kann.
[Only registered and activated users can see links. Click Here To Register...]
Das ist die offizielle API zum Abfragen, ob es sich um einen Wow64 Prozess handelt. Soweit ich das recht in Erinnerung habe, ruft diese dann intern NtQueryInformationProcess auf, um an die entsprechenden Informationen zu gelangen. An deiner Stelle würde ich also mal dort ansetzen. :)
PS:
Das ist, insofern es funktioniert, vermutlich keine permanente Lösung, da es zur Unterscheidung der 32 und 64 Bit-Version von Windows Möglichkeiten wie Sand am Meer gibt. Man sollte aber ja annehmen, dass die Leute bei AhnLab erstmal auf die offizielle Variante zurückgreifen .. bis sie dann merken, dass das ein Punkt für mögliche Angriffe ist .. :p
verstehe grad nicht worauf du mit der dauerschleife hinaus willstQuote:
etc.
sicher, dass die ganze funktion gecheckt wird, und net nur der anfang auf nen e9?
Quote:
exception handler werden von den hackshield funktionen überschrieben und damit wären access violations auch nicht zu nutzen!
Nein, tut es nicht, da es legitim ist, dass er nicht geladen wird.Quote:
treiber garnicht erst geladen werden was zu falschen heartbeat packets führen würde...
Ist es eine Windows API oder eine Spielfunktion?Quote:
checksum der gesamten wichtigen funktionen, da ist dann egal was ich da rein schreibe
access violations wären bei checks für alle 30secs noch akzeptabel :)Quote:
HWBPs werden entfernt, ja? Versuch doch einen HWBP auf SetThreadContext und einen auf GetThreadContext bzw. auf die internen Funktionen zu setzen, um zu verhindern, dass jemand deine HWBPs sieht bzw. sie überschreiben kann.
Werden alle HWBPs entfernt oder nur die on execute? Du könntest auch einen on read machen und dann immer das originale Byte stattdessen zurückgeben bzw. dadurch die Funktion finden, die den Memory checkt und diese patchen.
Access Violations wären ohnehin arsch lahm geworden.
Werden alle Exception Handler überschrieben, also auch die Vectored oder nur die Unhandled Variante?
Ansonsten könntest du ja auch da nen HWBP platzieren, hast ja 4 Stück.
Nein, tut es nicht, da es legitim ist, dass er nicht geladen wird.
Ich musste damals lediglich die Hack Detection abschalten und die Sache war gegessen. Das ging in S4 sogar ohne den Callback zu finden, weil man einfach den Part noppen/überspringen konnte, der die "Hack Detected" Message angezeigt und dann ExitProcess aufgerufen hat.
Ist es eine Windows API oder eine Spielfunktion?
Bei APIs kann es auch manchmal helfen, die interne Variante zu hooken, weil nur die Win32 Version gecheckt wird.
Aber du bist sicher, dass die ganze Funktion mithilfe einer Checksum (die sich übrigens sogar leicht modifizieren ließe) bzw. eines Hashes geprüft wird und nicht nur die ersten Bytes?
add al, [ebx] pop ebx ; <-- hier
Das mag sein, er kann aber keine effektiven Veränderungen am Kernel vornehmen.Quote:
sobald der treiber nicht geladen wurde und/oder nicht darauf zugegriffen werden kann gibts da auch nen fail!
den treiber habe ich so modifiziert, dass ich auf den prozess auch vollen zugriff habe! zu debug zwecken definitiv sehr nützlich.