ESEA, FaceIT, BattleEye i inne.

Hej, macie z tym jakieś doświadczenia? A konkretnie to nie mogę znaleźć potwierdzonego info, czy driver z dll'ką będzie nadal legitny. Nie wykminiłem jeszcze lepszej metody uruchamiania dll'ki z poziomu kernela. Chyba, że są jeszcze ciekawsze pomysły.

https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk

https://docs.microsoft.com/en-us/windows-hardware/drivers/gettingstarted/writing-a-very-small-kmdf--driver

Czy ktoś z magików C++ pomógłby w napisaniu prostego sterownika ładującego moją DLL'kę napisaną w C#?

13 godzin temu, wunderwafe napisał:

nie mogę znaleźć potwierdzonego info, czy driver z dll'ką będzie nadal legitny

13 godzin temu, wunderwafe napisał:

 Nie wykminiłem jeszcze lepszej metody uruchamiania dll'ki z poziomu kernela

Piszesz o czymś o czym nie masz pojęcia. Sam 'driver' nic Ci nie da ani nie zapewni, a injectować kod/dllkę można na miliony sposobów więc nie możesz uogólnić, że 'jest legitne'(ale tak, jest to do zrobienia).

10 godzin temu, wunderwafe napisał:

Czy ktoś z magików C++ pomógłby w napisaniu prostego sterownika ładującego moją DLL'kę

Znajomość c++ nie jest akurat tutaj kluczowa, ale to nie istotne.

Podpowiem Ci, że większość lepszych AC(EAC, BE) w bardzo intensywny sposób kontrolują api, dlatego wszystkie powszechne metody injectowania są wykrywane(jakie kolwiek spospby, które potrzebują utworzyć wątek w procesie docelowym, typowe metody thead hijackingu[korzystające z systemowego api] również). Można temu przeciwdziałać, ale najłatwiej jest chyba jednak po prostu unikać:

Mapujesz swój kod do pamięci.

Szukasz jakiegoś miejsca w kodzie programu docelowego, które jest często wykonywane. Dostosowujesz swój stub, żeby poprwanie wykonał dllkę a następnie powracał do wcześniej wykonywanego kodu.

Z poziomu loadera po zmapowaniu kodu hookujesz wcześniej zmapowany stub(moim zdaniem najłatwiej do tego będzie wykorzystać jakąś funkcję virtualną, wtedy sam proces hookowania to po prostu podmiana jednego adresu).

W taki oto sposób możesz wykonać kod w programie zabezpieczonym przez BE, EACa i zapewne również reszcie AC.

Niestety, oprócz samego wykonania kodu jest o wiele wiele więcej aspektów, które należy wziąć pod uwagę.

Znalazłem jeszcze trochę materiałów, aktualnie analizuję i zobacze co z tego wyjdzie :)

@mactec

Masz doświadczenie z asmmap64.sys? Nie mogę tego szajsu uruchomić. Instaluje się, ale podczas startowania mam Access Denied (błąd 5) i WIN_32_API_EXITCODE: 5.

Próbowałem już wszystkiego. Nawet tego :(. Duuuupa. 

Windows 10. Na Win 8.1 działa. Wydaje mi się, że to nie wina serwisów, tylko sterownik przy uruchamianiu próbuje wywołać coś, na co system mu nie pozwala i koniec końców to odpowiedź zwrotna z jego bebechów. Nie wiem już co robić, drugi dzień się męczę.

@wunderwafe

Nie korzystałem z niego, ale przed chwilą sprawdziłem i mogę go bez problemów załadować na win10

http://prntscr.com/lggpzy

Jak go ładujesz tak w ogóle? Tworzysz usługę czy manualnie ?

Hmm a nie ogarnia ktos czy nie można zrobic software który miałby odczytać z pamięci wyłącznie seed do dekodowania informacji z serwera a potem operując informacjami przechwytywanymi np. przez ARP Spoofing w sieci lokalnej, potem ewentualnie manipulował np jako hardware myszy (triggerbot, aimbot)? Jeśli AC analizują zachowanie w procesie to takie cos nie powinno wzbudzić podejrzeń, w końcu żaden hak z poziomu komputera nie będzie działac. Chociaz.. chyba gra niewarta świeczki. 

18 godzin temu, predator-rc napisał:

Hmm a nie ogarnia ktos czy nie można zrobic software który miałby odczytać z pamięci wyłącznie seed do dekodowania informacji z serwera a potem operując informacjami przechwytywanymi np. przez ARP Spoofing w sieci lokalnej, potem ewentualnie manipulował np jako hardware myszy (triggerbot, aimbot)? Jeśli AC analizują zachowanie w procesie to takie cos nie powinno wzbudzić podejrzeń, w końcu żaden hak z poziomu komputera nie będzie działac. Chociaz.. chyba gra niewarta świeczki. 

Wszystko zależy tylko i wyłącznie od tego jaki sposób zaprojektowana jest komunikacja sieciowa w danym tytule. W wielu przypadkach będziesz mógł dojść do klucza bez potrzeby odczytywania pamięci z gry(np. jeśli klucz jest stały/jest jakoś przesyłany). Czasem też będzie efektywnego zbruteforcowania klucza.

@mactec

instaluje przez SC. Mogę go stworzyć, usunąć, ale nie mogę uruchomić. Przegooglowałem co się dało i dupa. Najgorsze jest to, że ciężko dojść do przyczyny.

Wyślij pełny log z wiersza poleceń. Robisz to jako admin?

Sorry za tę śmieszną cenzurę, ale mam już nazwaną solucję i repozytorium, a nie chcę ujawniać przed ukończeniem 😉

To konsola to CmdEr, jakby co.

Próbowałem praktycznie wszystkiego - uprawnienia w folderach rejestru, uprawnienia użytkowników (serwis lokalny, serwis sieciowy itd) na folder ze sterownikiem. Nawet Win10 niedawno miał aktualizację, która trochę wpływała na uprawnienia przy uruchamianiu serwisów, ale przeczytałem ten artykuł na msdn i niestety do niczego mnie to nie zaprowadziło.

Jak wcześniej wspomniałem opcje są dwie (antywirusa odinstalowałem):

1) Jakieś jedno ustawienie systemowe.

2) Sam sterownik próbując wykonać jakąś operację otrzymuje odmowę dostępu i zwraca ją wyżej.

Albo coś z czego nie zdaję sobie jeszcze sprawy.

Działa mi na lapku z Win 8.1. Kolega odpalił u siebie na Win10, potem na służbowym Win10 i działało. Ale najśmiejszniejsze jest to, że następnego dnia przestało mu działać... i nie możemy potwierdzić, czy coś w tym czasie zmienił/zainstalował lub czy była aktualizacja systemu 😞