Поясните о входе в ring0

[pinoharu]

Не проходите мимо, уделите внимания, если форум еще жив.

Предыстория вопроса: Был некий античит, который прятал процесс игры для взаимодествия с ним со стороны. Я использовал PCHunter для снятия хука с игры (думаю правильно выразился) и так сказать освобождал его от оков античита. Но недавно этот метод вылился в паблик и теперь PCHunter закрывается при запуске игры и никак этого не предотвратить. Собственно раньше делал как на скрине, до запуска игры запускал PCHunter и потом переходил в ring0 Hooks => Object Type и находил нужный дравер, он подсвечивался красным и жал Restore.

HIDE

---

Знания программирования у меня гроши на уровне курсов Delphi и одной книжки по С++. Хочу спросить с какой литературы начать писать мною задуманную идею: Программа постоянно сканирует этот список Object Type и смотрит пути, если в пути встречается ключевое слово, допустим ProcGame.sys, то он делает Restore. И так мы запустили нашу программу, запустили игру, программа увидела игру и "освободила" ее. На этом все.

Поставил студию 13тую и DDK 8.1. Что дальше делать, без понятия, везде литература 2003-2006 года и там в основном XP встречается. Нужно хотя бы с 7ки начать.

[JKornev]

Я хз как там работает ваш античит, но для снятия хуков с ядра нужно писать модуль ядра или зареверсить IO котролы драйвера PCHunter и юзать уже готовый драйвер, + это не единственная программа такого плана. С другой стороны детект античита можно обойти, что может быть гораздо проще, в зависимости от того как АЧ находит процесс PCHunter и как его убивает. Надо эксперементировать

[Darwin]

С такими знаниями и в такие дебри? Я тебя огорчу. С твоим багажом это нереализуемо. Поэтому отдышись, успокойся и жди обходов на свою игру.

Насчет идеи.
1. Документированного списка Object Type нету.
2. Список который есть, никакие пути не хранит. Там только адреса функций. И он не один. Под каждый тип объекта свой список.

Что надо сделать.
1. Используя IDA Pro или WinDbg отреверсить интересующие тебя колбеки. То что ты скорее всего снимал были PsSetCreateProcessNotifyRoutine/PsSetCreateThreadNotifyRoutine (создание процесса/потока).
2. Получить адреса всех функций для каждого списка.
3. Определить по ним образ интересующего драйвера и удалить те что принадлежат анти-читу.

[pinoharu]

Darwin, благодарю за внятный ответ и да, дебри это для меня. Но с чего то начать стоит. По гайдам работать умеем. Только вот литературы бы актуальной, а доступном языке и без навязывания лишнего.

В сам АЧ лезть не вариант, он проверяет, как я понял, себя на целостность. Только если написать своё подобие PCHunter, утрирую конечно, но с минимальным функционалом.

[Darwin]

Начинать надо со старой литературы и до новой, с водой и без. Чем больше повторений тем лучше запоминается. Гайд по снятию этих хуков полуприват, я бы его если и писал, то только для нашего подполья.

[pinoharu]

Но я могу тут по ходу изучения вопросы задавать и спрашивать мне непонятные вещи? Думаю с Руссиновича начать

[Darwin]

Это же форум, кто тебе запрещает?

[500mhz]

На 7 венде просто так хуки в ядре не ставятся

[DarthTon0]

А что похукано конкретно то было когда ещё PCHunter работал? Судя по скрину система х64 и врядли там есть что-то кроме ObCallback для контроля за целевым процессом.

[pinoharu]

Больше, как я понял, ничего похукано не было. Но в системе висел драйвер его, если выгрузить, о BSOD ловился. А так только Object Type снималось и все. Мышь и клаву не перехватывал, как это делает обычно фрост.

[DarthTon0]

Тогда читать ObRegisterCallbacks and countermeasures до просветления.

[pinoharu]

Пока читаю в свободное время от работы "М. Руссинович, Д. Соломон - Внутреннее устройство Microsoft Windows 6-е издание (2013)" вполне интересно. хотя местами и не понятно, думаю пробежаться по ней бегло, а потом еще раз перечитать с чувством и расстановкой. В драйвера так подумал, мне еще рано лезть.

Назрел вопрос, есть ли у вас открытая конференция или чат, где можно посидеть в "ридонли" и послушать вас для доп. образования?

[ximera]

Есть jabber конференция, r0@jaba.reverse4you.org Pass: t00r

[dukeBarman]

где можно посидеть в "ридонли" и послушать вас для доп. образования?

можно и не только "ридонли". Мы не кусаемся и не баним. Максимум волшебного пенделя выдаем отдельным личностям, которым надо работать

[pinoharu]

Честно, никогда не сидел в джабре. Разобраться бы еще, как у вам подрубиться.



пробовал вместо r0 свой ник/логин вписать и свой пасс - пишет Unknown host, порт по умолчанию 5222? ссори на нубство, но лучше спросить, чем молча сидеть

[dukeBarman]

pinoharu, это страница для ваших учетных данных :) А не конференции/комнаты. http://habrahabr.ru/post/18690/ если этой статьи не хватит, то уж погуглите соответствующий запрос

P.S. Ваши вопросы уже немного отстали от старта темы... Может прийти злой модератор

[Slade]

знаю что топик старый, но в данный момент тоже интересует это же вопрос, программы всего две для x64 систем такого плана.
пытаюсь найти человека кто может сделать программу такого плана, но мне кажется это безуспешно.

[ARCHANGEL]

Какого плана? Для хука или анхука? С каким софтом нужно бороться? Что пытаетесь сделать? пишите внятно, что вам надо.