Напишите за меня )

valterg
Кто сказал что я не знаком с Олли? ну в студию так в студи, просто это бот для wow и как бы мне во-первых неудобно было говорить, во вторых для отладки понадобиться сам вов в третьих еще разработчики все запалят и я не успею урвать адресса www.mmoglider.ru. Вот копайте на здоровье...


PS только без флуда читы зло и т.п.

PSS мне интересно хоть один из тех кто тут "выешивался" хотябы глянуть, посмотрим, посмотрим, а то на словах (я не исключение) все герои.

 

SPA
Ну так и почему же не посмотреть чем защищено инструментами : peid и т.д. Кстати какой-то бот для wow вроде анализировал недавно ... А раз знаком с Олли, так и надо было протектор определить. Я например тоже фемиду не мог никак через Олли посмотреть, но почитал на краклабе и сделал то, что мне нужно было - легко и непринужденно. Просить же написать патч чтения памяти процесса для неизвестной защиты - это... Ну ты сам уже понял.
Кстати, никто вроде и не отказывался написать такой патч. Может ты в личку напишешь тем, кто тебе серьезные советы давал? Может линки на исходники дадут или сами исходники. В паблик никто такое не положит. Не потому, что секрет, а потому что развелось горе-хакеров тьма...

 

А геде серьезные советы? Вроде как тут флуд один, короче все ясно посмотри, попробуй... Ты САМ посмотри прежде чем говорить а для начало скажи как и в каком отладчике ЭТО открыть...

Насчет PEID самый умный да? Nothing found *. Ты так просил в студию, а сам даже не соизволил посмотреть...

 

SPA
Сходил я по ссылке.
Флуд развел ты, т.к. не написал ничего конкретного. Бот написан на C# - значит можно расковырять. Сообщения там в открытую лежат, может и код не защищен.
А уж потом надо думать про патчи. Кроме PEiD есть еще тулзы и кстати он показыет С#. RDG, например, показывает наличие сигнатур Xtreme-Protector 1.08 и фемиды. Работа с памятью явно прописана в C#, судя по сообщениям(если это не маскировка) именно ReadProcessMemory. Судя по описанию на сайте бот только читает память и на основе полученных данных просто нечестно играет... Как найду декомпилятор C# напишу подробнее - где-то он установлен, но не найду никак.
++++++++++++++++++++++
Поторопился я. Просто я не имею привычки качать экзешки через другие экзешки и скачал GliderDeploy по ссылке зашитой в лаунчер. Нашел я в нем полный состав модулей, наверно в них и порылись защиты.
Если хочешь убыстрить исследование : запакуй бота и выложи где-нибудь. Ссылки и пароли через личку. Думаю в самом боте C# не используется, т.ч. если в экзе нет защиты - ищи в DLL.
////////////////////////////////
Распаковал на соседнем компе. Все-таки там есть и C# Обфускатор там есть, но должен быть способ разобраться. ReadProcessMemory из C# вызывают, думаю в открытую. Скрывает все действительно драйвер - не буду пока имя писать. ИДА драйвер вроде нормально потрошит, по крайней мере имена экзешек за которыми следят там прописаны. Есть и защищенный экзешник(сигнатуры именно в нем).
Т.ч. все правильно писал - надо следить за ReadProcessMemory. Отладчик ничего не даст, т.к. подвесишь бота , но можно брейк с логом сделать - может прокатит. WOW у меня нет, т.ч УВЫ.
Критоалго там нехилое есть, но может это для WOW.

 

valterg
Вот мы и вернулись к патчу kernel32.dll ну правда самый лучший вариант просто времени нет.. А крипто алгосы там для обмена с сервером я думаю. Я бы и поставил лог-бряк только как процес увидеть для этого надо патч драйвера чего я не могу сделать (

PS вот почемубы сразу так не начать а то стыдно читать что выше написанно как незнаю кто )))

 

SPA

Так ты прочти свое первое сообщение. Правда ты извинился, но нормально писать начал только сейчас.
Ссылку тоже не сразу дал. К делу : по имени драйвера я нашел на англицком языке работу китайца одного. Похоже он учится и в т.ч. по вопросам античитинга. Там он достаточно подробно пишет про устройство этого бота. Правда про ReadProcessMemory стоит ??? Версию он правда 1.4.4 разбирает, но там написано, что launchpad какой-то(может он сам написал) позволяет менять настройки защиты, в т.ч. выключить скрытие процессов. Также у него написано, как отключить контроль патча драйвера.
Кстати, если сразу отладку запустить, то Олли нормально пашет. Как определить PID процессов у китайца тоже написано, т.ч. можно по PID приаттачить. И есть еще SoftICE, им и в драйвер можно залезть.
++++++++++++++++++
Да, придется тебе отладчик для ринг-0 искать. Вот здесь http://cracklab.ru/f/index.php?action=vthread&forum=5&topic=10199, написано про Xtreme-protector он же themida В конце топика есть ссылки на статьи. Правда ReadProcessMemory погребен в глубине С#