Bypass detector de procesos

Iniciado por BALTA00, 2 Septiembre 2015, 08:47 AM

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2
Acciones del Usuario

BALTA00

#10
8 Septiembre 2015, 03:58 AM Ultima modificación: 8 Septiembre 2015, 04:11 AM por BALTA00
Lo extraño es que el juego ni siquiera se instala, se descarga una carpeta con los distintos archivos del juego y se abre desde el ejecutable.

Interesante lo del API Monitor, no sabía de su existencia, lo revisé veo que llama a .dll extrañas que no son precisamente partes del juego, pero aún así no entiendo que hicieron...

Se supone que es un servidor privado de un juego de TQ Digital, y el client no podía ser modificado porque no es de código abierto, según he leído a duras penas lograban hacer algunas cosas con OllyObdg con el ejecutable, y de eso pasar a agregarle todo un sistema complejo de monitoreo de los procesos ejecutados en la computadora?

Me ha dejado sorprendido este man, hizo lo que ni la compañía TQ Digital pudo lograr.


someRandomCode

#11
8 Septiembre 2015, 14:25 PM
TqPackage.dll
DEVOBJ.dll
bcrypt.dll
bcryotPrimitives.dll
d3d8thk.dll

Hay mucho para revisar..
Sobre todo se ve que el binario esta cifrado en ciertas partes por el algoritmo de bcrypt...
Cosa que es malo, porque valla dios a saber el factor de trabajo entre otras cosas..

MCKSys Argentina

#12
8 Septiembre 2015, 18:33 PM
Hola!

Por la primer imagen que pusiste, parece que estás tratando de inyectarle la DLL sv.dll. Si es éso, entonces lo más probable es que el programa esté detectando la inyección.

Nuevamente: Vas a tener que analizar el ejecutable. Con IDA lo puedes analizar si es de 32 o 64, tanto estática como dinámicamente (si no tiene un packer jodido). Con Olly sólo si es de 32 bits (los packers no importan pues tienes plugines que los evaden). Con windbg y x64dbg (parecido a Olly), debugueas tanto 32 como 64.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

BALTA00

#13
9 Septiembre 2015, 01:03 AM
He descubierto algo más... al parecer el ejecutable lee el contenido de cada proceso, ni idea como hace eso y no pone la PC a consumir un montón de recursos... por ejemplo si el juego está abierto en chrome escribo en el buscador "Cheat Engine", inmediatamente se detiene el proceso del juego y se cierra, imagino que el otro programa por llevar en su contenido la palabra Miner (posiblemente agregada en el diccionario de palabras prohibidas porque posiblemente tenga que ver con el juego), se cierra y me dice que cierre el proceso chrome.exe porque está siendo usado...  Intentaré probar editando el .exe cambiando las palabras (si es que se deja).
Imprimir
Ir Arriba Páginas 1 2
Acciones del Usuario