OldSchoolHack

Registrieren / Anmelden Deutsch

Eigenen Prozess vor R/W operationen schützen


icon Eigenen Prozess vor R/W operationen schützen #1

Anmeldungsdatum: Jan 2012

Beiträge: 14

Ich bin gerade dabei einen Anticheat für Arme zu schreiben. Folgendes hab ich bereits implementiert:
  • Erkennung von Breakpoints
  • Erkennung von Debuggern
  • LdrLoadDll hook um nur das Laden von registrierten Dlls zu erlauben
  • Blockierung einiger Prozesse via Dateinamen


Nun hab ich aber keine Ahnung wie ich externe Zugriffe wie Read/WriteProcessMemory bzw. OpenProcess blockieren oder registrieren kann OHNE mich mittels Treiber auf Ring0 zu begeben.
Hat vielleicht jemand einen Rat?

icon #2

Anmeldungsdatum: Mär 2011

Beiträge: 978

Benutzer-Bewertung:

89 positiv
6 negativ
in jeden prozess ne dll injecten, die die entsprechenden funktionen hookt.

generell solltest du noch .rdata und .text checksummen, evtl. vtables überprüfen, boundary checks bei funktionscalls machen, etc.

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Zitat von xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Zitat von f4gsh0t_h4x
VAC ist an,immer,überall
Zitat von gibson.w
Ich mag braune Würstchen
Zitat von irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Zitat von irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Zitat von irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Zitat von irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Zitat von Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
Zuletzt geändert von SilverFire (Fr 10. Mai 2013, 15:04)

Grund: kein Grund angegeben

icon #3

Anmeldungsdatum: Jan 2012

Beiträge: 14

Danke, dein Vorschlag mit den Dlls in jedem Prozess gefällt mir recht gut, auch wenn es nicht unbedingt resourcenschonend ist. 
Im Moment hook ich OpenProcess, ReadProcessMemory, WriteProcessMemory, VirtualAllocEx & CreateRemoteThread
, da die APIs natürlich nur geblockt werden sollen wenn mein Prozess das Ziel ist, übergebe ich den Handle an eine exportierte funktion.

CRC check hab ich jetzt auch eingebaut, von VTables erstelle ich bei Bedarf eine Schattenkopie. Was meinst du mit boundary checks? Prüfen ob die funktion in ein fremdes Modul spring?
icon #4

Anmeldungsdatum: Mär 2011

Beiträge: 978

Benutzer-Bewertung:

89 positiv
6 negativ
prüfen ob bestimmte funktionen mit einer rücksprungadresse außerhalb erlaubter module aufgerufen wurde.

EDIT:
btw. wenn du schon so weit bist, solltest du dir langsam gedanken machen, deinen anticheat z.b. durch codestreaming zu schützen.
Wenn der anticheat so viele checks macht, wird ein hacker eher versuchen den anticheat auszuschalten, anstatt zu versuchen sich i-wie vorbeizumogeln.

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Zitat von xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Zitat von f4gsh0t_h4x
VAC ist an,immer,überall
Zitat von gibson.w
Ich mag braune Würstchen
Zitat von irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Zitat von irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Zitat von irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Zitat von irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Zitat von Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
Zuletzt geändert von SilverFire (Fr 10. Mai 2013, 17:09)

Grund: kein Grund angegeben

icon #5

Anmeldungsdatum: Jun 2011

Beiträge: 490

Benutzer-Bewertung:

12 positiv
0 negativ
Zitat von SilverFire
in jeden prozess ne dll injecten, die die entsprechenden funktionen hookt.
EAC? Kennt man ja irgendwo her

__________________

http://www10.pic-upload.de/30.04.12/j9dbc34bxdg.jpg