OldSchoolHack

Register / Login English

Detected Detour

icon Thread: Detected Detour

Join Date: May 2012

Posts: 13

Was ich vielleicht noch erwähnen könnte wäre ist, dass der Hack nicht
gleich detected wird sondern erst nach ca. 30sek bis max. 2min.
E9 hält länger als E8 ... E8 wird sofort nach der Injection erkannt!

Außerdem habe ich HideModule(hinstDll); probiert.
XTrap erkennt leider das etwas nicht stimmt, aber weiß nicht genau was.
Also bei der HackShield-Meldung wird kein Pfad zur Datei angezeigt.
Spoiler
CPP Code:
  1.  
  2. void HideModule(HINSTANCE hModule)
  3. {
  4. DWORD dwPEB_LDR_DATA = 0;
  5. _asm
  6. {
  7. pushad;
  8. pushfd;
  9. mov eax, fs:[30h];
  10. mov eax, [eax+0Ch];
  11. mov dwPEB_LDR_DATA, eax;
  12. mov esi, [eax+0Ch];
  13. mov edx, [eax+10h];
  14. LoopInLoadOrderModuleList:
  15. lodsd;
  16. mov esi, eax;
  17. mov ecx, [eax+18h];
  18. cmp ecx, hModule;
  19. jne SkipA
  20. mov ebx, [eax]
  21. mov ecx, [eax+4]
  22. mov [ecx], ebx
  23. mov [ebx+4], ecx
  24. jmp InMemoryOrderModuleList
  25. SkipA:
  26. cmp edx, esi
  27. jne LoopInLoadOrderModuleList
  28. InMemoryOrderModuleList:
  29. mov eax, dwPEB_LDR_DATA
  30. mov esi, [eax+14h]
  31. mov edx, [eax+18h]
  32. LoopInMemoryOrderModuleList:
  33. lodsd
  34. mov esi, eax
  35. mov ecx, [eax+10h]
  36. cmp ecx, hModule
  37. jne SkipB
  38. mov ebx, [eax]
  39. mov ecx, [eax+4]
  40. mov [ecx], ebx
  41. mov [ebx+4], ecx
  42. jmp InInitializationOrderModuleList
  43. SkipB:
  44. cmp edx, esi
  45. jne LoopInMemoryOrderModuleList
  46. InInitializationOrderModuleList:
  47. mov eax, dwPEB_LDR_DATA
  48. mov esi, [eax+1Ch]
  49. mov edx, [eax+20h]
  50. LoopInInitializationOrderModuleList:
  51. lodsd
  52. mov esi, eax
  53. mov ecx, [eax+08h]
  54. cmp ecx, hModule
  55. jne SkipC
  56. mov ebx, [eax]
  57. mov ecx, [eax+4]
  58. mov [ecx], ebx
  59. mov [ebx+4], ecx
  60. jmp Finished
  61. SkipC:
  62. cmp edx, esi
  63. jne LoopInInitializationOrderModuleList
  64. Finished:
  65. popfd;
  66. popad;
  67. }
  68. }

Des weiteren: FreezeXTrap per Thread (Keine Ahnung derzeit wie man das benutzt)
Spoiler
CPP Code:
  1.  
  2. DWORD WINAPI FreezeXTrap()
  3. {
  4. while(1)
  5. {
  6. DWORD XTrapPID = GetProcessId("XTrap.xt");
  7.  
  8. if(XTrapPID != 0)
  9. {
  10. _NtSuspendProcess NtSuspendProcess = (_NtSuspendProcess) GetProcAddress( GetModuleHandle( "ntdll" ), "NtSuspendProcess" );
  11. HANDLE XTrap = OpenProcess(PROCESS_ALL_ACCESS, false, XTrapPID);
  12. NtSuspendProcess(XTrap);
  13.  
  14. return 0;
  15. }
  16. Sleep(5000);
  17. }
  18. }

Ich danke für eure Hilfe bzw. euren Ideen
Habe heute keine Lust mehr dazu  

mfg Tom