Warrock - Code Snippets

~~.BlackHat~~ · 06/15/2013, 11:49

Quote:

Originally Posted by Raz9r

Du müsstest die SSDT Hooks entfernen, also einen Treiber schreiben.

Und um den auf Windows 7+ zu laden brauchst du den Testmode (gibt da so n schönes Programm für) um unsignierte Treiber zu laden oder signierst ihn dir (kostet ne menge Kohle).

Raz9r · 06/15/2013, 12:11

Quote:

Originally Posted by .BlackHat

Und um den auf Windows 7+ zu laden brauchst du den Testmode (gibt da so n schönes Programm für) um unsignierte Treiber zu laden oder signierst ihn dir (kostet ne menge Kohle).

Das stimmt so nicht ganz. Seit Windows Version 6.0 (Vista, Windows 7 ist 6.1, Windows 8 ist 6.2) müssen Treiber signiert sein, wenn man sie in einer 64-Bit-Umgebung starten möchte, die nicht im Testmodus läuft.

Darüber zu diskutieren, die SSDT-Hooks des ehsvc-Moduls entfernen zu wollen, ist eh sinnlos: Direkter Speicherzugriff von innerhalb des Prozesses via DLL-Injektion ist eh schneller und effektiver als prozessübergreifende Funktionen wie WriteProcessMemory.

Dazu kommt dann, was NikM gepostet hat: WriteProcessMemory setzt die Page-Protection auf PAGE_EXECUTE_READWRITE; das ist häufig mehr, als man haben möchte.

McSalz · 06/20/2013, 19:09

Can someone help me? I'll crash if I start my no menu xD

Code:

if(dwPlayerPointer != NULL)
{
	*(float*)(dwPlayerPointer + OFS_NORECOIL1) = 0;
	*(float*)(dwPlayerPointer + OFS_NORECOIL2) = 0;
	*(float*)(dwPlayerPointer + OFS_NORECOIL3) = 0;
}

_Marekiarox_ · 06/21/2013, 01:04

Coordinate Outpost...

MEDIC

X: 1639.358032
Y: 1762.244751
Z: -2.245653

AMMO

X: 1723.149658
Y: 1555.292358
Z: -1.994215

~ExoduS~* · 06/21/2013, 09:10

Quote:
Originally Posted by McSalz
Can someone help me? I'll crash if I start my no menu xD
Code:
if(dwPlayerPointer != NULL)
{
	*(float*)(dwPlayerPointer + OFS_NORECOIL1) = 0;
	*(float*)(dwPlayerPointer + OFS_NORECOIL2) = 0;
	*(float*)(dwPlayerPointer + OFS_NORECOIL3) = 0;
}

Code:

WarRock Check dll Injektion.
Use Bypass to make the Hack Undetected

Void PlayerHacks()
{
DWORD PlayerCheck = *reinterpret_cast<DWORD*>(ADR_PlayerPointer);
if (PlayerCheck!=0)
{
if ( NoRecoil )
{
*(float*) (PlayerCheck+Offset_NoRecoil1) = 0;
*(float*) (PlayerCheck+Offset_NoRecoil2) = 0;
*(float*) (PlayerCheck+Offset_NoRecoil3) = 0;
}}}

Kyru' · 06/21/2013, 14:58

Quote:

Originally Posted by Zyzz__

Undetected hook geht auch

Hast du'n funktionierenden bypass?

Kazbah__ · 06/21/2013, 19:18

Quote:

BRAUCHE BYPASSS

wieso sind die anderen hacks ud?

weil sie ihn updated haben

Kyru' · 06/21/2013, 19:22

Quote:

Originally Posted by Zyzz__

weil sie ihn updated haben

Aber wie findet man die bytes für einen bypass?

EDIT:

Also in IDA oder Olly

nicki240 · 06/22/2013, 09:00

Kann mir mal jemand ganz kurz den unterschied zwischen ASM addys und den ganzen anderen addy klar machen ?

~~.BlackHat~~ · 06/22/2013, 10:51

Quote:

Originally Posted by nicki240

Kann mir mal jemand ganz kurz den unterschied zwischen ASM addys und den ganzen anderen addy klar machen ?

ASM Addys befinden sich in der Code sektion, d.h. du musst direkt den Code ändern um ein bestimmtes Resultat zu kriegen. Eine "normale" kannst du jederzeit bearbeiten, wenn dus grade brauchst. Aber bei code addys kannst du direkt steuern, wie das Resultat von anfang an ist^^

*KingDevil* · 06/22/2013, 17:00

Quote:

Originally Posted by nicki240

Kann mir mal jemand ganz kurz den unterschied zwischen ASM addys und den ganzen anderen addy klar machen ?

Asm= Assembler.
Bei Assembler änderst du direkt die Bytes der Funktion. Bei normalen Addys veränderst du die Bytes nicht auf direktem Wege. Du überbrückst quasi die Funktion. Bei ASM-Funktionen brauchst du einen Bypass, da Hackshield eine direkte Byte Modifikation erkennt.

Quote:

Originally Posted by .BlackHat

ASM Addys befinden sich in der Code sektion, d.h. du musst direkt den Code ändern um ein bestimmtes Resultat zu kriegen. Eine "normale" kannst du jederzeit bearbeiten, wenn dus grade brauchst. Aber bei code addys kannst du direkt steuern, wie das Resultat von anfang an ist^^

Völliger Schwachsinn.

NikM · 06/22/2013, 17:43

Quote:

Originally Posted by *KingDevil*

Asm= Assembler.
Bei Assembler änderst du direkt die Bytes der Funktion. Bei normalen Addys veränderst du die Bytes nicht auf direktem Wege. Du überbrückst quasi die Funktion. Bei ASM-Funktionen brauchst du einen Bypass, da Hackshield eine direkte Byte Modifikation erkennt.

Völliger Schwachsinn.

Da spricht der Profi ...
Wie BlackHat richtig gesagt hat liegen die "ASM Addys" in der .code Segment.
Indem man die Werte an diesen Adressen ändert verändert man den Programcode.
Die "Mem Adressen" sind meist Konstanten die im .data Segment liegen.
Und Pointer sind halt Pointer ... (Captain Obvious :O)
Sie zeigen auf Instanzen von Klassen aus dem Spiel.
Hinter den Offsets verbergen sich Variablen aus den Strukturen auf die die Pointer zeigen.

3dVision · 06/27/2013, 16:15

Source code of:
ADR_Nickname
ADR_Username

?

Pharagonz · 06/27/2013, 20:53

Quote:

Originally Posted by 3dVision

Source code of:
ADR_Nickname
ADR_Username

?

How u use it without bypass? :P

cheatslaw · 06/27/2013, 21:23

Quote:

Originally Posted by 3dVision

Source code of:
ADR_Nickname
ADR_Username

?

just use sprintf_s