Need Help! как обойти хук через ядро?

Недавно столкнулся с проблемкой
В онлайновой игрухе в которую я иногда катаю выпустили патч безопастности с которым нельзя запускать ботов
Типа защита

Как я понял в патче в одном из файлов dll инжект, он делает следующее:
1) Пробивает загруженые процессы на наличие бот программ (не по имени)
2) Ставит хук который отслеживает попытки внешнего доступа к адресному пространству клиента игры
если чтолибо находит из этих двух пунктов выгружает клиент и сообщает серверу о попытке взлома в противном случае посылает какойто ключ серверу и он пускает в игру

Почитав немного док я склонился к мысли что самое простое что можно сделать это попытатся обойти этот хук через нулевое кольцо и спрятать процесс с бота.

Програмлю давно но с win32 никогда не сталкивался
Вопрос к гуру
Верный ли я сделал вывод и может кто подкинет ссылки на статейки как это сделать?
Если неправильный, то очень бы хотелось услышать ваше мнение по поводу решения этой задачи.

Заранее спасибо

 

--

 

scriptbots
Первым делом вооружись Rootkit Unhooker'ом и глянь, есть ли где перехваты. Если есть, можно снять этой же тулзой, либо написать что-то самому.

 

пасип... попробую

 

в общем все оказалось запутано немного
пробил я хуки которые ставит игрулина, подозрительными являются только на сокет send и connect
они походу стоят локальные чтобы в протокол обмена между клиентом и сервером вставлять какойто пакет для аутентификации что клиент пропатченый

отсюда вывод что проверку клиент совершает только во время запуска
он чтото пробивает и если ему это чтото не нравится он вываливается

Вопрос!
Как можно оттрейсить что делается с момента запуска клиента до его вываливания чтоб узнать что происходит?
Мне надо знать куда он лезет и что пробивает на компе...

Поделитесь советом плиз кто знает!

Заранее благодарен.

 

Что значит "Как можно оттрейсить?"

Берешь и трейсишь. Знания асма и САЙС в помощь. Или Олька, если проверка идет в юзермоде.

 

в первом посте написал же что нуп

САЙС - это не SoftICE случайно?
И что такое Олька? Потому как проверка в юзермоде полюбому проходит

Еще одно спасибо великим гуру сука нах

 

Он самый

OllyDebugger. Есть в инструментах на сайте.

 

немного поприличней...

Если нуп, то никак ты хук через ядро не обойдешь. Может стоит начать с того, что узнать ,что делает изменят патч? Какие файлы трогает и как.

 

извиняюсь просто горячей воды нет дома уже месяц, а сегодня с утра встал так еще и холодную отключили удоды (
вот и нервный был

Как обойти я уже нашел
А патч изменяет всеголишь две длл-ины
На одну из них ставит два хука из приложения ws2_32.dll->send и ws2_32.dll->recv
передачу по сокетам короче

 

Ни чего толком не понял из фразы.
Что будет если снять хуки?

 

как я понял хуки снимать уже не надо. Вряд ли хуки на ws2_32.dll->send и ws2_32.dll->recv ловят ботов.

 

именно... они просто енкриптят дополнительно при логоне на сервак только и всего... до захода в игру если снимешь то не пускает... после если снимешь никак не влияет... а вот если уже зашел даже и пытаешся запустить бота, клиент сразу вываливается... времени пока нет поковырятся юзая проги что вы посоветовали... мот на выходных успею )

 

скорее всего оно что-то меняет в пакетах протокола игры(LA2?). сними дамп с трафа с хуками и без, сравни. дальше смотри в dll, что делает фильтр-функция. боюсь тут придется разбираться в протоколе клиент-сервера игры.

 

ага LA2 )

да мне как я понял не страшны эти хуки я пытаюсь ингейм запустить который клиентом управляет...
следовательно пусть себе клиент и дальше эти хуки юзает главное чтоб не вываливался )

клиент вываливается видимо при попытке вмешатся ингеймом в его память или чтот тип того

 

уж тогда и dll(которая хучит) выложи куда-нибудь ингейм в виде чего?

 

в общем вот патч который можно поставить на любой клиент линейки
он позволяет играть на моем серваке и защищает от ботов
http://dump.ru/files/h/h80170449/
зааплоадил его весь чтоб ничего не упустить

ставит хуки на сокеты Fire.dll
также подозрительным является l2mGuard.dll

ингейм из себя представляет el2Walker 1.46
Это прога при запуске которой параллельно с клиентом, в клиенте при нажатии на клавишу Home появляется меню со всевозможными настройками для автоматизации игры

так вот теперь после этого патча как только ингейм запускаешь клиент падает независимо от того снял я хуки или нет на сокетах

отсюда я сделал вывод что они стоят чисто чтоб усложнить и зашифровать авторизацию (это защита от OOG - оут оф гейм бота... тоесть программы которая клиент не используют и пытается напрямую войти на сервер)

но решения я все еще не вижу пока... потому как никаких других хуков клиент не ставить подозрительных... в нулевое кольцо тоже не лезет вроде... и тем не менее вылетает при загрузке ингейма паралельно с клиентом

 

scriptbots
какой принцип работы бота?

 

100% уверености нет, но ингейм, как мне представляется, работает по принцыпу вызова родных функций клиента внутри запущеного клиента

 

То есть инжектиться в клиента? Тогда хук на инжект может стоять. Тебе надо узнать на каком этапе работы бота падает клиент. То есть как клиент засекает бота.