Algun crypter que modifique las direcciones de memoria ?

Iniciado por TrashAmbishion, 12 Julio 2016, 21:42 PM

0 Miembros y 2 Visitantes están viendo este tema.

TrashAmbishion

En nuestra red jugamos el BF3 y tengo un injector que funciona quisiera poder modificar las direcciones de memorias del juego para que no funcione.

Probe con VMProtect y sigue funcionando el injector.

Salu2 y gracias desde ya

MCKSys Argentina

Hola!

Y que modifica el injector? Que es lo que hace?

Si sabes que es lo que hace, puedes hacer algo para evitar su funcionamiento...

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


TrashAmbishion

Inyecta una DLL al juego, supongo que modifica la dirección de memoria de alguna función como casi todos.

No sabría decirte mas lo que busco es que virtualize o ofusque la memoria para que no encuentre ese punto de inyección.

Salu2

MCKSys Argentina

Si probaste con VMPortect, entonces quizas debe estar tocando algo de la sección .data (de datos).

Prueba cambiar la ImageBase del exe. Si el juego corre, puede que la DLL tenga hardcodeada la direccion a parchear y se rompa.

Con probar no pierdes nada.  :P

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


TrashAmbishion

Supongo que es el PE.

Baje el Themida y entre las opciones tiene dice que protege el PE.

Alguna recomendacion.

Salu2

PD: Ya estoy buscando sobre modificar el PE

MCKSys Argentina

Para modificar la ImageBase puedes usar CFF Explorer (o hasta el mismo Olly).

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


TrashAmbishion

#6
Este es el bicho

http://www.unknowncheats.me/forum/battlefield-3/117868-extreme-injector-v3-3-master131.html




Algun manual para aprender como hacer el trabajo !!

Pd: Estoy mirando pero no estoy seguro de que necesito hacer, según tu debe estar en la sección .data !!

Salu2


MOD EDIT: No hacer doble post.

MCKSys Argentina

#7
Cita de: TrashAmbishion en 12 Julio 2016, 23:34 PM
Algun manual para aprender como hacer el trabajo !!

Te refieres a modificar la ImageBase del ejecutable?

Con CFF Explorer (http://ntcore.com/exsuite.php), por ejemplo, abres el ejecutable, vas a Optional Header, ubicas ImageBase (normalmente tiene el valor de 0x400000), lo cambias a otra cosa (por ej. 800000) y luego haces "File"-"Save As" para guardar el nuevo EXE.

Lo ejecutas y, si arranca el juego, tratas de usar el inyector. Si funciona, es porque no tiene valores hardcodeados en el código, o bien, está usando otro método para hacer trampas.

Si no funciona el inyector, lo haz logrado.  ;)

Saludos!

EDIT:

Cita de: TrashAmbishion en 12 Julio 2016, 23:34 PM
Este es el bicho

http://www.unknowncheats.me/forum/battlefield-3/117868-extreme-injector-v3-3-master131.html

Lo que pones es el programa inyector. Lo que hace "trampa" en el juego no es el inyector, sinó la DLL que inyectas. Ese debería ser tu objetivo: vencer la DLL inyectada, no al inyector.

Por supuesto, podrías tratar de evitar que el inyector funcione, pero eso es un poco más complejo ya que, según dice el post de quien lo subió, tiene múltiple formas de inyectar una DLL en un proceso. Ahora, parece que es un .NET, por lo que podrías usar Reflector para ver qué es lo que hace para inyectar y, en base a eso, ver cómo hacer para evitar la inyección.

Pero, como te dije, creo que sería mejor enfocarse en la DLL inyectada...

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


TrashAmbishion

Hola,

Use el Reflector pero no me reconoce el ensamblado para que esta con algun crypter u algo.

Referente a la DLL no entiendo si yo encrypto la aplicación en memoria y su EP, la virtualizo puedo entender que hasta cierto punto el inyector funcione pero que la DLL tambien  :o :o

Como examino la DLL, que debo buscar, dame algo para leer y asi informarme, disculpa la preguntadera es para no perder tiempo, es que estoy seguro de que si logro modificar el .EXe del juego a uno practicamente nuevo se las voy a poner dificil a esos inyectores que salen..

El juego se tiene que abrir desde mi aplicación eso es seguro asi que tengo la ventaja de poder verificar que la aplicación del juego que se abre es la mía modificada y no la estandar.

Salu2

MCKSys Argentina

Cita de: TrashAmbishion en 13 Julio 2016, 15:49 PM
Como examino la DLL, que debo buscar, dame algo para leer y asi informarme, disculpa la preguntadera es para no perder tiempo, es que estoy seguro de que si logro modificar el .EXe del juego a uno practicamente nuevo se las voy a poner dificil a esos inyectores que salen..

Te repito, olvídate del inyector pues no es el responsable en este tema. Te será muy difícil tratar de evitar la inyección de la DLL.

Por otro lado, para revisar la DLL puedes usar IDA. Ahora, si tiene un packer, vas a tener que analizar que packer es y quitarlo (usando un tutorial sobre el packer que sea o "a mano") antes de poder analizar la librería.

No puedo aconsejarte nada para leer pues ésto (lo que quieres hacer) es algo que adquieres con la experiencia. Normalmente los tutoriales son sobre cómo romper cosas, no sobre cómo proteger. No encontrarás una guía definitiva sobre cómo proteger aplicaciones (de ahí tantos packers).

Además, las formas de hacer trampas en un juego son muchísimas. Depende del juego y de la forma en que esté programado. Quizás modificando valores en el cliente se pueda hacer trampas o modificando paquetes o como sea.

En fin, es lo que se me ocurre ahora.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."