OldSchoolHack

Register / Login English

Hack in die Treiberebene?


icon Hack in die Treiberebene? #1

Join Date: Mar 2012

Posts: 58

Hi leute,

Hier mal ein Quote vom Steam-Support über VAC:
Quote
The following will not trigger a VAC ban:

   Using chat programs like X-Fire
   System hardware configurations
   Updated system drivers, such as video card drivers

Hier sehen wir schonmal das VAC prozesse / anwendungen in der Treiberebene nicht scannt.
Ich will mir mal später einen Process-Injector schreiben, der meine EXE datei mit irgendnem prozess injected (z.B. bei irgendnem treiberprozess), nur wären damit dann die vorraussetzungen für eine VAC umgehung erfüllt ?

PS.: Das ist nur mal so aus interesse, ich habe bereits einen guten VAC Bypasser system geschrieben

icon #2

Join Date: Mar 2011

Posts: 978

User-Rating:

89 positive
6 negative
Quote from KennyHax
Hi leute,

Hier mal ein Quote vom Steam-Support über VAC:
Quote
The following will not trigger a VAC ban:

   Using chat programs like X-Fire
   System hardware configurations
   Updated system drivers, such as video card drivers

Hier sehen wir schonmal das VAC prozesse / anwendungen in der Treiberebene nicht scannt.
Ich will mir mal später einen Process-Injector schreiben, der meine EXE datei mit irgendnem prozess injected (z.B. bei irgendnem treiberprozess), nur wären damit dann die vorraussetzungen für eine VAC umgehung erfüllt ?

PS.: Das ist nur mal so aus interesse, ich habe bereits einen guten VAC Bypasser system geschrieben

1. Hier sehen wir, dass vac für signierte System treiber nicht bannt, dass es diese trotzdem scannt ist deswegen nicht ausgeschlossen!
(auch wenn es in dem fall so ist, dennoch kann alles was du im hl2.exe veränderst wieder von vac erkannt werden.)

2. du kannst keine EXE injecten. (ring0 injector gibts btw schon lange).

3. nö.

@ps: glaub ich dir mal ganz dreist nicht.
(extern nur lesend zuzugreifen ist btw. kein bypass und kann auch detected werden.)

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Quote from xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Quote from f4gsh0t_h4x
VAC ist an,immer,überall
Quote from gibson.w
Ich mag braune Würstchen
Quote from irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Quote from irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Quote from irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Quote from irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Quote from Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
icon #3

Join Date: Jun 2010

Posts: 561

Du und ein VAC Bypasser? Sicherlich
icon #4

Join Date: Mar 2012

Posts: 58

Wir nehmen mal das wort bypasser in anführungsstriche. Ich hab viel sicherheit in den hack improved. Das sollte eine detection einfach gut preventen
und btw @SilverDeath.

ich meine auch keine injection mit ner exe auf hl2. Ich meine wie es die Viren auch immer tun eine Firewall zu bypassen, sich in explorer zu injecten

Quote from k1u
Bring mir bei zu haxx0rn  :0

kauf dir ein gutes C++ buch, lern von irgendwo ausm Internet Memory-Hacking und nimm die Tutorials von KN4CK3R durch.
icon #5

Join Date: Jan 2009

Posts: 454

User-Rating:

10 positive
0 negative
Bring mir bei zu haxx0rn  :0

__________________

Quote

[16:44:40] * sMp (sMp[at]osh-B065CA09.pools.arcor-ip.net) has joined #Oldschoolhack
[16:44:47] <Cycode> ich könnt so abreiern ey echt..
[16:44:58] <sMp> oh neine
[16:45:07] <sMp> wenn ich sowas schon höre
[16:45:11] <sMp> instaleave
[16:45:14] * sMp (sMp[at]osh-B065CA09.pools.arcor-ip.net) has left #Oldschoolhack
icon #6

Join Date: Sep 2010

Posts: 136

Quote from KennyHax

Quote from k1u
Bring mir bei zu haxx0rn  :0

kauf dir ein gutes C++ buch, lern von irgendwo ausm Internet Memory-Hacking und nimm die Tutorials von KN4CK3R durch.
Phail @ getting se irony?

__________________

[21:43:44] <-> Reita heißt jetzt R|GW2
[21:44:08] <-> Igromanru heißt jetzt Reita
[21:44:20] <-> Cycode2 heißt jetzt Igromanru
[21:44:27] <-> R|GW2 heißt jetzt Cyode2
icon #7

Join Date: Mar 2012

Posts: 58

Quote from sMp
Quote from KennyHax

Quote from k1u
Bring mir bei zu haxx0rn  :0

kauf dir ein gutes C++ buch, lern von irgendwo ausm Internet Memory-Hacking und nimm die Tutorials von KN4CK3R durch.
Phail @ getting se irony?
hab ich auch erst nach meiner antwort gemerkt^^
icon #8

Join Date: Mar 2011

Posts: 978

User-Rating:

89 positive
6 negative
kannste ja gerne machen, aber was bringt das?
wenn vac nen pattern auf deinen hack gemacht hat, wirds auch da detected.

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Quote from xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Quote from f4gsh0t_h4x
VAC ist an,immer,überall
Quote from gibson.w
Ich mag braune Würstchen
Quote from irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Quote from irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Quote from irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Quote from irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Quote from Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
icon #9

Join Date: Mar 2012

Posts: 58

Quote from SilverFire
kannste ja gerne machen, aber was bringt das?
wenn vac nen pattern auf deinen hack gemacht hat, wirds auch da detected.
Waaaaaaaaaaaaaaaarte. Pattern ??
Wann macht der sowas
icon #10

Join Date: Mar 2011

Posts: 978

User-Rating:

89 positive
6 negative
schon ewig.
wurden auch schon externe ausschließlich lesende hacks detected.

EDIT:
Patos vac analyse von 2004:
Quote
First V.A.C.'s new method enumerates all running processes and modules. They use the
ProcessSnapshot API for it, then they open the files on disc with CreateFile and take
the crc value of it. This crc value is being sent to the main VAC Server which logs them.

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Quote from xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Quote from f4gsh0t_h4x
VAC ist an,immer,überall
Quote from gibson.w
Ich mag braune Würstchen
Quote from irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Quote from irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Quote from irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Quote from irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Quote from Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
icon #11

Join Date: Mar 2012

Posts: 58

Quote from SilverFire
schon ewig.
wurden auch schon externe ausschließlich lesende hacks detected.

EDIT:
Patos vac analyse von 2004:
Quote
First V.A.C.'s new method enumerates all running processes and modules. They use the
ProcessSnapshot API for it, then they open the files on disc with CreateFile and take
the crc value of it. This crc value is being sent to the main VAC Server which logs them.

ach nur gut wenn man Random CRC/MD5/Process Name hätte
das improve ich später in meinen "bypasser" rein.

icon #12

Join Date: Aug 2008

Posts: 2594

User-Rating:

17 positive
5 negative
Quote from SilverFire
schon ewig.
wurden auch schon externe ausschließlich lesende hacks detected.

EDIT:
Patos vac analyse von 2004:
Quote
First V.A.C.'s new method enumerates all running processes and modules. They use the
ProcessSnapshot API for it, then they open the files on disc with CreateFile and take
the crc value of it. This crc value is being sent to the main VAC Server which logs them.
Ich weiß noch damals gabs dann hacks die dynamische CRC hatten um detection zu vermeiden.
icon #13

Join Date: Mar 2012

Posts: 58

Quote from TheBlackSlayer
Quote from SilverFire
schon ewig.
wurden auch schon externe ausschließlich lesende hacks detected.

EDIT:
Patos vac analyse von 2004:
Quote
First V.A.C.'s new method enumerates all running processes and modules. They use the
ProcessSnapshot API for it, then they open the files on disc with CreateFile and take
the crc value of it. This crc value is being sent to the main VAC Server which logs them.
Ich weiß noch damals gabs dann hacks die dynamische CRC hatten um detection zu vermeiden.

gut aber VAC1 war gestern ^^
icon #14

Join Date: Mar 2011

Posts: 978

User-Rating:

89 positive
6 negative
jop, wie gesagt, sie scheinen jetzt auch patterns zu benutzen, also ist schon ne bessere polymorphie angeraten...

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Quote from xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Quote from f4gsh0t_h4x
VAC ist an,immer,überall
Quote from gibson.w
Ich mag braune Würstchen
Quote from irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Quote from irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Quote from irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Quote from irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Quote from Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
icon #15

Join Date: Mar 2012

Posts: 58

Quote from SilverFire
jop, wie gesagt, sie scheinen jetzt auch patterns zu benutzen, also ist schon ne bessere polymorphie angeraten...
gut ich werds mir mal aufschreiben.
Danke für eure hilfe !
In die Credits kommt OSH rein !
icon #16

Join Date: Sep 2010

Posts: 136

beobachte mal deinen steamdirectory und was steam so für netzwerkverbindungen macht. Da solltest du iwann ein Modul (dll) mit mysteriösem Namen bemerken: Dumpen und in IDA haun. Oder wenn du dreist drauf bist olly und debuggen.
HF

__________________

[21:43:44] <-> Reita heißt jetzt R|GW2
[21:44:08] <-> Igromanru heißt jetzt Reita
[21:44:20] <-> Cycode2 heißt jetzt Igromanru
[21:44:27] <-> R|GW2 heißt jetzt Cyode2
icon #17

Join Date: Mar 2012

Posts: 58

VAC3 ist mapped an SteamService.dll
also soweit ich weiß.