Cheatengine mit Rootkit verstecken -Vista-

03/04/2010 23:46 luckoor#1
Hallo liebe community,

und zwar wollt ich mal meine cheatengine per rootkit verstecken. Das problem ist ich habe vista und bis jetzt nicht wirklich eins gefunden dem ich vertraue und das mit vista läuft.
Ich habe mir mal das rootkit FUTo_enhanced gedownloadet bei rootkit(dot)com. Ich fand das recht vertrauensvoll, da auch antirootkit developer dieses benutzen um ihre antirootkitprogramme zu testen.
Die exe muss man in der cmd starten, weil sich sonst das beim starten der exe geöffnete cmdfenster wieder schliest. Jedenfalls war ich so schlau und hab da gleich meinen prozess eingegeben den er verstecken sollte (optionen werden beim ausführen der exe in cmd angezeigt). Hatte gleich Bluescreen und hab danach erstmal was einfaches probiert und wollt mir den ersten process in der liste anzeigen lassen und da stand dann groß da das mein betriebssystem (ver 6.0) nicht unterstützt wird.

Nun frage ich euch kennt einer von ein rootkit mit dem man prozesse verstecken kann (ring 0 wer gut xD) und das unter Windows Vista läuft?

Warum ich cheatengine verstecken will brauch ich hier keinen zu erklären^^



Danke für eure Beiträge!

Mit freundlichen grüßen

luckoor :)
03/05/2010 07:59 flo8464#2
Wenn du 64bit hast, vergiss es ;)
Win7/Vista 64 sind ziemlich wasserfest gegen Rootkits.
Da müsstest du a.) erst eine Testlizenz registrieren/eine kaufen b.) dich mit dem Kernelpatchguard rumschlagen.

Vor was willst du CheatEingine verstecken? Es gibt so ein paar Usermode-Spielereien mit dem selben Ergebniss und das ohne die Systemstabilität zu gefährden ;)
03/05/2010 12:05 luckoor#3
Danke für deine kurze aufklärung flo :)

Ich benutze vista 32 bit. Ich will diesen process vor einem guard verstecken (nprotect anti hacking system), der die ganze zeit wahrscheinlich meine memory scannt. Bei jeder memory "hacking" software kickt er, mich wenn ich damit arbeiten will ;). Er wird bei einigen free mmorpg's verwendet. Früher konnte dieser guard das noch nicht ^^

Vielleicht kannst du mir ein paar nützliche tipps geben oder hilfreiche links zu usermod-spielereien geben. Ich werd auch gleich nochmal googeln gehen :D

Mit freundlichen grüßen

luckoor :)
03/05/2010 20:22 Shadow992#4
Quote:
Originally Posted by luckoor View Post
Danke für deine kurze aufklärung flo :)

Ich benutze vista 32 bit. Ich will diesen process vor einem guard verstecken (nprotect anti hacking system), der die ganze zeit wahrscheinlich meine memory scannt. Bei jeder memory "hacking" software kickt er, mich wenn ich damit arbeiten will ;). Er wird bei einigen free mmorpg's verwendet. Früher konnte dieser guard das noch nicht ^^

Vielleicht kannst du mir ein paar nützliche tipps geben oder hilfreiche links zu usermod-spielereien geben. Ich werd auch gleich nochmal googeln gehen :D

Mit freundlichen grüßen

luckoor :)
Es wäre wohl einfacher und sicherer das Ausführen des Hackshields zu unterbinden , als nach rootkits zu suchen /rootkits anzuwenden .
Wenn du auch nur ein bisschen Ahnung von ASM hast , dann sollte das kein großes Problem sein .
Da du das Hackshield für deine Hacks sowieso nicht gebrauchen kannst und für Bots erst recht nicht , würde ich eher schauen , dass du das Hackshield aus kriegst bzw. dass du es schaffst das ausführen des hackshields zu unterbinden (vllt findest du auch schon vorgefertigte Codes , die genau das machen ) .
03/05/2010 21:51 luckoor#5
Hi shadow,

ah ok du meinst also einen weg finden den guard zwar laufen zu lassen aber seine funktion/algorithmus zu blocken. Naja ob das einfacher ist als mal schnell nen prozess in ring 0 zu verschieben weis ich nicht. Sicherer ist deine Methode da gebe ich dir recht. Jedenfalls hab ich noch keine rchtige Vorstellung wie ich dein vorhaben realisieren kann.
Ja ich werde mal bisschen googel wie ich so einen guard bzw seinen algorithmus nach den start blocken kann. Aufjedenfall muss der Guard laufen bzw der prozess, da sonst der client flöten geht. Ich werde mich noch ein bisschen genauer informieren. Habe kurz wikipedia gelesen was du mit ASM meintest. Für hilfreiche links wäre ich euch dankbar.
Ich geh mal weiter googeln danke für den Tipp mit ASM ;)

Mit freundlichen Grüßen

luckoor :)
03/06/2010 02:12 flo8464#6
Quote:
Originally Posted by Shadow992 View Post
Es wäre wohl einfacher und sicherer das Ausführen des Hackshields zu unterbinden , als nach rootkits zu suchen /rootkits anzuwenden .
Wenn du auch nur ein bisschen Ahnung von ASM hast , dann sollte das kein großes Problem sein .
Du hast wohl keine Ahnung wie bissig eine gute GameGuard-Einbindung sein kann.
03/06/2010 03:32 luckoor#7
@ flo

ich hab nochmal bei cheatengine nach geschaut und da gabs bei settings sone option stealth in usermode. Nach dem ich das aktiviert hatte, hat mich der guard ohne das ich cheatengine laufen hatte automatisch sofort rausgekickt und einen gamehack detected :D
03/06/2010 08:56 Shadow992#8
Quote:
Originally Posted by luckoor View Post
Hi shadow,

ah ok du meinst also einen weg finden den guard zwar laufen zu lassen aber seine funktion/algorithmus zu blocken. Naja ob das einfacher ist als mal schnell nen prozess in ring 0 zu verschieben weis ich nicht. Sicherer ist deine Methode da gebe ich dir recht. Jedenfalls hab ich noch keine rchtige Vorstellung wie ich dein vorhaben realisieren kann.
Ja ich werde mal bisschen googel wie ich so einen guard bzw seinen algorithmus nach den start blocken kann. Aufjedenfall muss der Guard laufen bzw der prozess, da sonst der client flöten geht. Ich werde mich noch ein bisschen genauer informieren. Habe kurz wikipedia gelesen was du mit ASM meintest. Für hilfreiche links wäre ich euch dankbar.
Ich geh mal weiter googeln danke für den Tipp mit ASM ;)

Mit freundlichen Grüßen

luckoor :)
Ich habe eher davon geredet ,
dass man das Starten unterbinden sollte.
Das Hackshield muss ja irgendwo gestartet werden und du machst eben das raus ...

Quote:
Originally Posted by flo8464 View Post
Du hast wohl keine Ahnung wie bissig eine gute GameGuard-Einbindung sein kann.
Keine Ahnung ich habe noch nicht soviele kennen gelernt , aber die die ich bisher kannte waren recht einfach auszuschalten :D
03/06/2010 17:38 luckoor#9
soso das hackshield unterbinden, ehm denkst du das geht so einfach wenn ich das unterbinde? Oh man.... Wenn das so einfach wäre, würden die leute in diesem forum nicht so viel posten...

und falls du mit hackshield unterbinden meinst den prozess einfach nur zu killen, dann gute nacht!
03/06/2010 18:32 P-a-i-n#10
Quote:
Originally Posted by luckoor View Post
soso das hackshield unterbinden, ehm denkst du das geht so einfach wenn ich das unterbinde? Oh man.... Wenn das so einfach wäre, würden die leute in diesem forum nicht so viel posten...

und falls du mit hackshield unterbinden meinst den prozess einfach nur zu killen, dann gute nacht!
2 breakpoints und eine callback funktion reichen um hackshield nicht zu starten
aber
i-wo ist noch eine sicherheitsfunktion die hs ingame startet da bin ich aber noch auf der suche wo der punkt ist