OldSchoolHack

Register / Login English

Eigenen Prozess vor R/W operationen schützen


icon Eigenen Prozess vor R/W operationen schützen #1

Join Date: Jan 2012

Posts: 14

Ich bin gerade dabei einen Anticheat für Arme zu schreiben. Folgendes hab ich bereits implementiert:
  • Erkennung von Breakpoints
  • Erkennung von Debuggern
  • LdrLoadDll hook um nur das Laden von registrierten Dlls zu erlauben
  • Blockierung einiger Prozesse via Dateinamen


Nun hab ich aber keine Ahnung wie ich externe Zugriffe wie Read/WriteProcessMemory bzw. OpenProcess blockieren oder registrieren kann OHNE mich mittels Treiber auf Ring0 zu begeben.
Hat vielleicht jemand einen Rat?

icon #2

Join Date: Mar 2011

Posts: 978

User-Rating:

89 positive
6 negative
in jeden prozess ne dll injecten, die die entsprechenden funktionen hookt.

generell solltest du noch .rdata und .text checksummen, evtl. vtables überprüfen, boundary checks bei funktionscalls machen, etc.

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Quote from xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Quote from f4gsh0t_h4x
VAC ist an,immer,überall
Quote from gibson.w
Ich mag braune Würstchen
Quote from irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Quote from irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Quote from irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Quote from irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Quote from Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
Last edited by SilverFire (Fri 10. May 2013, 15:04)

Reason: no reason given

icon #3

Join Date: Jan 2012

Posts: 14

Danke, dein Vorschlag mit den Dlls in jedem Prozess gefällt mir recht gut, auch wenn es nicht unbedingt resourcenschonend ist. 
Im Moment hook ich OpenProcess, ReadProcessMemory, WriteProcessMemory, VirtualAllocEx & CreateRemoteThread
, da die APIs natürlich nur geblockt werden sollen wenn mein Prozess das Ziel ist, übergebe ich den Handle an eine exportierte funktion.

CRC check hab ich jetzt auch eingebaut, von VTables erstelle ich bei Bedarf eine Schattenkopie. Was meinst du mit boundary checks? Prüfen ob die funktion in ein fremdes Modul spring?
icon #4

Join Date: Mar 2011

Posts: 978

User-Rating:

89 positive
6 negative
prüfen ob bestimmte funktionen mit einer rücksprungadresse außerhalb erlaubter module aufgerufen wurde.

EDIT:
btw. wenn du schon so weit bist, solltest du dir langsam gedanken machen, deinen anticheat z.b. durch codestreaming zu schützen.
Wenn der anticheat so viele checks macht, wird ein hacker eher versuchen den anticheat auszuschalten, anstatt zu versuchen sich i-wie vorbeizumogeln.

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Quote from xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Quote from f4gsh0t_h4x
VAC ist an,immer,überall
Quote from gibson.w
Ich mag braune Würstchen
Quote from irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Quote from irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Quote from irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Quote from irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Quote from Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
Last edited by SilverFire (Fri 10. May 2013, 17:09)

Reason: no reason given

icon #5

Join Date: Jun 2011

Posts: 490

User-Rating:

12 positive
0 negative
Quote from SilverFire
in jeden prozess ne dll injecten, die die entsprechenden funktionen hookt.
EAC? Kennt man ja irgendwo her

__________________

http://www10.pic-upload.de/30.04.12/j9dbc34bxdg.jpg