Бесследное чтение памяти программы

И реализовывать ничего не надо: открываем и юзаем первый попавшийся загрузчик, попутно обмазываясь скрывалками самого себя: https://www.unknowncheats.me/forum/anti-cheat-bypass/

 

буткит?) биос-имплант?)

 

Дядя Фёдор, неправильно ты ешь бутерброд вся проблема в том, что...

1. защита гамиса может пытаться выпрыгнуть за пределы вирты и тута необходимо делать на вирту эмуль навески (то бишь хотя бы часть асм команд не должна иметь прямой доступ к железу из под вирты).
2ой момент и того хужей == гамис тупо детектит наличие вирты и посылает на йУХЪ.

 

Ну так разумеется виртуалка скрывает своё существование. Перехватывает cpuid/rdmsr/wrmsr/rdtsc, эмулирует поведение vmcall, как если бы он выполнялся без гипервизора, и т.д.

А за пределы виртуалки выпрыгнуть нельзя - выход в VMM возможен только по заданным тобой событиям, которые ты хочешь отфильтровать. Да и выпрыгивать некуда, ведь игра и так работает на хосте, а VMM - маленький кусочек кода в твоём драйвере.

 

HoShiMin,

Гипер-визор не встроишь локально в приложение. Эта технология имхо совершенно бесполезна для локальных задач, это используется для полной виртуализации ос, а не применятся к отдельно взятым апп.

 

А что помешает?

 

HoShiMin,

Я давно уже понял что ты ничего не понимаешь, а тупо вбрасываешь какую то экзотику, интересно с какой целью.

Для реализации технологии ivt нужен полный доступ. Это выше чем обычный ядерный мод, в ядро нт такое не встраивается. Есть системный HV-монитор, это лишь отладочный механизм. Либо виртуализируется вся система, либо никак иначе. Стрелять по мухам из пушки просто глупо. Ваша виртуализация не позволяет решить к примеру обычные задачи по защите, которые я давно решил без всякой экзотики, просто и эффективно, в том же режиме, в котором выполняется апп. Визор можно впрыснуть в любое апп, он начнёт его мониторить, найдёт все эти ваши rdtsc.

 

Но... Гипервизоры в читах используют повсеместно. Это уже давно не экзотика. Я вчера ссылку кидал на раздел unknowncheats, на первой же странице несколько тем по гипервизорам.

Да, именно так.

Других способов не существует. Пример: нужно перехватить некоторую функцию в игре, чтобы античит этого не видел. Как решать такую задачу?
Два пути - или отключать сами проверки в античите (а это такой рокетсаенс, что нет смысла даже начинать, т.к. через неделю выйдет обновление и всё реверсить заново), или в VMM фильтровать доступ к памяти, где стоит хук (отдавать на чтение одну страницу, где хука нет, а на исполнение - другую, где хук есть).

Насчёт эффективности - вопрос открытый. Надо проверять на играх. Очень сомневаюсь, что с подключенным визором игра останется играбельной.

А драйвер античита найдёт впрыснутый визор. Бесполезно мониторить юзермодный код, когда ядерный компонент всё это видит.

 

HoShiMin,

> Пример: нужно перехватить некоторую функцию в игре, чтобы античит этого не видел. Как решать такую задачу?

Ты тут немного опоздал, эти темы поднимали когда были трудности с ав вирт машинами, эти проблемы были сняты, было найдено общее решение(а дальнейшие разработки и привели к с-а). Выше есть ссылка, я не удалил видео, даже термос удивился как такое возможно. А что есть от тебя, ну кроме каких то терминов с вирт-X.

 

Общее решение при отсутствии ядерных компонентов - да. Но если юзермодную память просматривает драйвер, визор не спасёт. Драйвер найдёт тело визора и отправит его на анализ, и помешать этому ты не сможешь.

 

HoShiMin,

Поэтому и драйвер не уместен - выборка из иного мода не существует, это и есть принцип скрытия памяти. А убирать сигнатуры из кода это вообще детская затея, бесконечные игры по криптованию.

 

Ну а я о чём: у ТСа задача не спалиться. Когда оперируем в юзермоде, драйвер античита это видит. А значит, надо переходить на ещё более низкий уровень.
Фактически, гипервизор - это реализация твоего же юзермодного визора, только для ядра и распространяющаяся на всю систему. Идеологически - то же самое. Вместо бинарной трансляции и анализа инструкций - VMEXIT.

 

HoShiMin,

Может пример приведёте, такого сильного и ядерного античита. Интересно посмотреть. Уверен что это будет какая то школьная поделка, которую можно полистать за пару минут и найти дыры. А потом удивляться как оно работает.

 

https://www.easy.ac/ru-ru/
https://www.battleye.com/
https://www.faceit.com/ru/anti-cheat

 

Вот и я об этом.. Мощный инструмент для обхода локальной юзермодной защиты, но с удаленной ничего сделать нельзя. Нужно спрятать сам визор от сканирования.

Но ведь сам визор придется постоянно чистить от детектов, разве нет? Да и артефакты присутствуют... исполняемые буферы памяти, хуки в системных либах, что-то еще.

 

HoShiMin,

Может сразу модуль покажите, ну что бы не напрягаться. Я прошёл по вашей ссылке там что то загрузилось - консоль и какие то IP-адреса запрашивает, учитывая что семпл запущен на варе без сети хз что с этим делать.

 

Здесь не покажу - надо качать любую из этих игр, а у меня ни одной игры не установлено...
Возможно, есть у ТС'а

 

Думаю, это все влажные фантазии, к сожалению, пробовал запустить игру через RDP - комп стоял за стенкой, хотел поиграть с ноута, игра начала ворчать, сейчас, конечно, проверю этот вариант, но уверен, что не пройдет фокус)

что же, вероятность явно стремится к 100%, раз мы все существуем и собрались на этой планете... ТС = топик стартер? (я?...) надеюсь, не стеб, ведь написать подобную вещь довольно круто,
я не ожидаю высоких результатов, просто решать такой кубик-рубика довольно полезно порой)

 

Ну не скажи: https://ru.m.wikipedia.org/wiki/Qubes_OS

 

Rel,

А причём тут какая то операционка, ты как всегда пишешь не в тему. Бестактный" человек.

--- Сообщение объединено, 31 дек 2019 ---

HoShiMin,

> Здесь не покажу - надо качать любую из этих игр, а у меня ни одной игры не установлено...

А для чего вы те три ссылки привели ?
Пройдя по ним нельзя что то загрузить и вытянуть модуль на анализ, в частности драйвер. А хотелось бы взглянуть.