R0 CREW

Поясните о входе в ring0

Не проходите мимо, уделите внимания, если форум еще жив. :wink:

Предыстория вопроса: Был некий античит, который прятал процесс игры для взаимодествия с ним со стороны. Я использовал PCHunter для снятия хука с игры (думаю правильно выразился) и так сказать освобождал его от оков античита. Но недавно этот метод вылился в паблик и теперь PCHunter закрывается при запуске игры и никак этого не предотвратить. Собственно раньше делал как на скрине, до запуска игры запускал PCHunter и потом переходил в ring0 Hooks => Object Type и находил нужный дравер, он подсвечивался красным и жал Restore.

Hide

Знания программирования у меня гроши на уровне курсов Delphi и одной книжки по С++. Хочу спросить с какой литературы начать писать мною задуманную идею: Программа постоянно сканирует этот список Object Type и смотрит пути, если в пути встречается ключевое слово, допустим ProcGame.sys, то он делает Restore. И так мы запустили нашу программу, запустили игру, программа увидела игру и “освободила” ее. На этом все.

Поставил студию 13тую и DDK 8.1. Что дальше делать, без понятия, везде литература 2003-2006 года и там в основном XP встречается. Нужно хотя бы с 7ки начать.

Я хз как там работает ваш античит, но для снятия хуков с ядра нужно писать модуль ядра или зареверсить IO котролы драйвера PCHunter и юзать уже готовый драйвер, + это не единственная программа такого плана. С другой стороны детект античита можно обойти, что может быть гораздо проще, в зависимости от того как АЧ находит процесс PCHunter и как его убивает. Надо эксперементировать

С такими знаниями и в такие дебри? Я тебя огорчу. С твоим багажом это нереализуемо. Поэтому отдышись, успокойся и жди обходов на свою игру.

Насчет идеи.

  1. Документированного списка Object Type нету.
  2. Список который есть, никакие пути не хранит. Там только адреса функций. И он не один. Под каждый тип объекта свой список.

Что надо сделать.

  1. Используя IDA Pro или WinDbg отреверсить интересующие тебя колбеки. То что ты скорее всего снимал были PsSetCreateProcessNotifyRoutine/PsSetCreateThreadNotifyRoutine (создание процесса/потока).
  2. Получить адреса всех функций для каждого списка.
  3. Определить по ним образ интересующего драйвера и удалить те что принадлежат анти-читу.

Darwin, благодарю за внятный ответ и да, дебри это для меня. Но с чего то начать стоит. По гайдам работать умеем. Только вот литературы бы актуальной, а доступном языке и без навязывания лишнего.

В сам АЧ лезть не вариант, он проверяет, как я понял, себя на целостность. Только если написать своё подобие PCHunter, утрирую конечно, но с минимальным функционалом.

Начинать надо со старой литературы и до новой, с водой и без. Чем больше повторений тем лучше запоминается. Гайд по снятию этих хуков полуприват, я бы его если и писал, то только для нашего подполья.

Но я могу тут по ходу изучения вопросы задавать и спрашивать мне непонятные вещи? Думаю с Руссиновича начать

Это же форум, кто тебе запрещает?

На 7 венде просто так хуки в ядре не ставятся

А что похукано конкретно то было когда ещё PCHunter работал? Судя по скрину система х64 и врядли там есть что-то кроме ObCallback для контроля за целевым процессом.

Больше, как я понял, ничего похукано не было. Но в системе висел драйвер его, если выгрузить, о BSOD ловился. А так только Object Type снималось и все. Мышь и клаву не перехватывал, как это делает обычно фрост.

Тогда читать ObRegisterCallbacks and countermeasures до просветления.

Пока читаю в свободное время от работы “М. Руссинович, Д. Соломон - Внутреннее устройство Microsoft Windows 6-е издание (2013)” вполне интересно. хотя местами и не понятно, думаю пробежаться по ней бегло, а потом еще раз перечитать с чувством и расстановкой. В драйвера так подумал, мне еще рано лезть.

Назрел вопрос, есть ли у вас открытая конференция или чат, где можно посидеть в “ридонли” и послушать вас для доп. образования?

Есть jabber конференция, r0@jaba.reverse4you.org Pass: t00r

можно и не только “ридонли”. Мы не кусаемся и не баним. Максимум волшебного пенделя выдаем отдельным личностям, которым надо работать :wink:

Честно, никогда не сидел в джабре. Разобраться бы еще, как у вам подрубиться.

пробовал вместо r0 свой ник/логин вписать и свой пасс - пишет Unknown host, порт по умолчанию 5222? ссори на нубство, но лучше спросить, чем молча сидеть

pinoharu, это страница для ваших учетных данных :slight_smile: А не конференции/комнаты. http://habrahabr.ru/post/18690/ если этой статьи не хватит, то уж погуглите соответствующий запрос

P.S. Ваши вопросы уже немного отстали от старта темы… Может прийти злой модератор

знаю что топик старый, но в данный момент тоже интересует это же вопрос, программы всего две для x64 систем такого плана.
пытаюсь найти человека кто может сделать программу такого плана, но мне кажется это безуспешно.

Какого плана? Для хука или анхука? С каким софтом нужно бороться? Что пытаетесь сделать? пишите внятно, что вам надо.