Бесследное чтение памяти программы

Тема в разделе "WASM.ZEN", создана пользователем LastNoob, 28 дек 2019.

  1. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    И реализовывать ничего не надо: открываем и юзаем первый попавшийся загрузчик, попутно обмазываясь скрывалками самого себя: https://www.unknowncheats.me/forum/anti-cheat-bypass/
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    буткит?) биос-имплант?)
     
  3. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    Дядя Фёдор, неправильно ты ешь бутерброд :) вся проблема в том, что...

    1. защита гамиса может пытаться выпрыгнуть за пределы вирты и тута необходимо делать на вирту эмуль навески (то бишь хотя бы часть асм команд не должна иметь прямой доступ к железу из под вирты).
    2ой момент и того хужей == гамис тупо детектит наличие вирты и посылает на йУХЪ.
     
  4. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    Ну так разумеется виртуалка скрывает своё существование. Перехватывает cpuid/rdmsr/wrmsr/rdtsc, эмулирует поведение vmcall, как если бы он выполнялся без гипервизора, и т.д.

    А за пределы виртуалки выпрыгнуть нельзя - выход в VMM возможен только по заданным тобой событиям, которые ты хочешь отфильтровать. Да и выпрыгивать некуда, ведь игра и так работает на хосте, а VMM - маленький кусочек кода в твоём драйвере.
     
  5. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    Гипер-визор не встроишь локально в приложение. Эта технология имхо совершенно бесполезна для локальных задач, это используется для полной виртуализации ос, а не применятся к отдельно взятым апп.
     
  6. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    А что помешает?
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    Я давно уже понял что ты ничего не понимаешь, а тупо вбрасываешь какую то экзотику, интересно с какой целью.

    Для реализации технологии ivt нужен полный доступ. Это выше чем обычный ядерный мод, в ядро нт такое не встраивается. Есть системный HV-монитор, это лишь отладочный механизм. Либо виртуализируется вся система, либо никак иначе. Стрелять по мухам из пушки просто глупо. Ваша виртуализация не позволяет решить к примеру обычные задачи по защите, которые я давно решил без всякой экзотики, просто и эффективно, в том же режиме, в котором выполняется апп. Визор можно впрыснуть в любое апп, он начнёт его мониторить, найдёт все эти ваши rdtsc.
     
  8. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    Но... Гипервизоры в читах используют повсеместно. Это уже давно не экзотика. Я вчера ссылку кидал на раздел unknowncheats, на первой же странице несколько тем по гипервизорам.

    Да, именно так.

    Других способов не существует. Пример: нужно перехватить некоторую функцию в игре, чтобы античит этого не видел. Как решать такую задачу?
    Два пути - или отключать сами проверки в античите (а это такой рокетсаенс, что нет смысла даже начинать, т.к. через неделю выйдет обновление и всё реверсить заново), или в VMM фильтровать доступ к памяти, где стоит хук (отдавать на чтение одну страницу, где хука нет, а на исполнение - другую, где хук есть).

    Насчёт эффективности - вопрос открытый. Надо проверять на играх. Очень сомневаюсь, что с подключенным визором игра останется играбельной.

    А драйвер античита найдёт впрыснутый визор. Бесполезно мониторить юзермодный код, когда ядерный компонент всё это видит.
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    > Пример: нужно перехватить некоторую функцию в игре, чтобы античит этого не видел. Как решать такую задачу?

    Ты тут немного опоздал, эти темы поднимали когда были трудности с ав вирт машинами, эти проблемы были сняты, было найдено общее решение(а дальнейшие разработки и привели к с-а). Выше есть ссылка, я не удалил видео, даже термос удивился как такое возможно. А что есть от тебя, ну кроме каких то терминов с вирт-X.
     
  10. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    Общее решение при отсутствии ядерных компонентов - да. Но если юзермодную память просматривает драйвер, визор не спасёт. Драйвер найдёт тело визора и отправит его на анализ, и помешать этому ты не сможешь.
     
  11. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    Поэтому и драйвер не уместен - выборка из иного мода не существует, это и есть принцип скрытия памяти. А убирать сигнатуры из кода это вообще детская затея, бесконечные игры по криптованию.
     
  12. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    Ну а я о чём: у ТСа задача не спалиться. Когда оперируем в юзермоде, драйвер античита это видит. А значит, надо переходить на ещё более низкий уровень.
    Фактически, гипервизор - это реализация твоего же юзермодного визора, только для ядра и распространяющаяся на всю систему. Идеологически - то же самое. Вместо бинарной трансляции и анализа инструкций - VMEXIT.
     
  13. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    Может пример приведёте, такого сильного и ядерного античита. Интересно посмотреть. Уверен что это будет какая то школьная поделка, которую можно полистать за пару минут и найти дыры. А потом удивляться как оно работает.
     
  14. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    https://www.easy.ac/ru-ru/
    https://www.battleye.com/
    https://www.faceit.com/ru/anti-cheat
     
  15. hiddy

    hiddy Member

    Публикаций:
    0
    Регистрация:
    10 мар 2019
    Сообщения:
    82
    Вот и я об этом.. Мощный инструмент для обхода локальной юзермодной защиты, но с удаленной ничего сделать нельзя. Нужно спрятать сам визор от сканирования.

    Но ведь сам визор придется постоянно чистить от детектов, разве нет? Да и артефакты присутствуют... исполняемые буферы памяти, хуки в системных либах, что-то еще.
     
  16. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    HoShiMin,

    Может сразу модуль покажите, ну что бы не напрягаться. Я прошёл по вашей ссылке там что то загрузилось - консоль и какие то IP-адреса запрашивает, учитывая что семпл запущен на варе без сети хз что с этим делать.
     
  17. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.460
    Адрес:
    Россия, Нижний Новгород
    Здесь не покажу - надо качать любую из этих игр, а у меня ни одной игры не установлено...
    Возможно, есть у ТС'а
     
  18. LastNoob

    LastNoob Member

    Публикаций:
    0
    Регистрация:
    28 янв 2018
    Сообщения:
    80
    Думаю, это все влажные фантазии, к сожалению, пробовал запустить игру через RDP - комп стоял за стенкой, хотел поиграть с ноута, игра начала ворчать, сейчас, конечно, проверю этот вариант, но уверен, что не пройдет фокус)

    что же, вероятность явно стремится к 100%, раз мы все существуем и собрались на этой планете... ТС = топик стартер? (я?...) надеюсь, не стеб, ведь написать подобную вещь довольно круто,
    я не ожидаю высоких результатов, просто решать такой кубик-рубика довольно полезно порой)
     
  19. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    Ну не скажи: https://ru.m.wikipedia.org/wiki/Qubes_OS
     
  20. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    А причём тут какая то операционка, ты как всегда пишешь не в тему. Бестактный" человек.
    --- Сообщение объединено, 31 дек 2019 ---
    HoShiMin,

    > Здесь не покажу - надо качать любую из этих игр, а у меня ни одной игры не установлено...

    А для чего вы те три ссылки привели ?
    Пройдя по ним нельзя что то загрузить и вытянуть модуль на анализ, в частности драйвер. А хотелось бы взглянуть.