OldSchoolHack

Registrieren / Anmelden Deutsch

Hack in die Treiberebene?


icon Hack in die Treiberebene? #1

Anmeldungsdatum: Mär 2012

Beiträge: 58

Hi leute,

Hier mal ein Quote vom Steam-Support über VAC:
Zitat
The following will not trigger a VAC ban:

   Using chat programs like X-Fire
   System hardware configurations
   Updated system drivers, such as video card drivers

Hier sehen wir schonmal das VAC prozesse / anwendungen in der Treiberebene nicht scannt.
Ich will mir mal später einen Process-Injector schreiben, der meine EXE datei mit irgendnem prozess injected (z.B. bei irgendnem treiberprozess), nur wären damit dann die vorraussetzungen für eine VAC umgehung erfüllt ?

PS.: Das ist nur mal so aus interesse, ich habe bereits einen guten VAC Bypasser system geschrieben

icon #2

Anmeldungsdatum: Mär 2011

Beiträge: 978

Benutzer-Bewertung:

89 positiv
6 negativ
Zitat von KennyHax
Hi leute,

Hier mal ein Quote vom Steam-Support über VAC:
Zitat
The following will not trigger a VAC ban:

   Using chat programs like X-Fire
   System hardware configurations
   Updated system drivers, such as video card drivers

Hier sehen wir schonmal das VAC prozesse / anwendungen in der Treiberebene nicht scannt.
Ich will mir mal später einen Process-Injector schreiben, der meine EXE datei mit irgendnem prozess injected (z.B. bei irgendnem treiberprozess), nur wären damit dann die vorraussetzungen für eine VAC umgehung erfüllt ?

PS.: Das ist nur mal so aus interesse, ich habe bereits einen guten VAC Bypasser system geschrieben

1. Hier sehen wir, dass vac für signierte System treiber nicht bannt, dass es diese trotzdem scannt ist deswegen nicht ausgeschlossen!
(auch wenn es in dem fall so ist, dennoch kann alles was du im hl2.exe veränderst wieder von vac erkannt werden.)

2. du kannst keine EXE injecten. (ring0 injector gibts btw schon lange).

3. nö.

@ps: glaub ich dir mal ganz dreist nicht.
(extern nur lesend zuzugreifen ist btw. kein bypass und kann auch detected werden.)

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Zitat von xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Zitat von f4gsh0t_h4x
VAC ist an,immer,überall
Zitat von gibson.w
Ich mag braune Würstchen
Zitat von irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Zitat von irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Zitat von irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Zitat von irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Zitat von Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
icon #3

Anmeldungsdatum: Jun 2010

Beiträge: 561

Du und ein VAC Bypasser? Sicherlich
icon #4

Anmeldungsdatum: Mär 2012

Beiträge: 58

Wir nehmen mal das wort bypasser in anführungsstriche. Ich hab viel sicherheit in den hack improved. Das sollte eine detection einfach gut preventen
und btw @SilverDeath.

ich meine auch keine injection mit ner exe auf hl2. Ich meine wie es die Viren auch immer tun eine Firewall zu bypassen, sich in explorer zu injecten

Zitat von k1u
Bring mir bei zu haxx0rn  :0

kauf dir ein gutes C++ buch, lern von irgendwo ausm Internet Memory-Hacking und nimm die Tutorials von KN4CK3R durch.
icon #5

Anmeldungsdatum: Jan 2009

Beiträge: 454

Benutzer-Bewertung:

10 positiv
0 negativ
Bring mir bei zu haxx0rn  :0

__________________

Zitat

[16:44:40] * sMp (sMp[at]osh-B065CA09.pools.arcor-ip.net) has joined #Oldschoolhack
[16:44:47] <Cycode> ich könnt so abreiern ey echt..
[16:44:58] <sMp> oh neine
[16:45:07] <sMp> wenn ich sowas schon höre
[16:45:11] <sMp> instaleave
[16:45:14] * sMp (sMp[at]osh-B065CA09.pools.arcor-ip.net) has left #Oldschoolhack
icon #6

Anmeldungsdatum: Sep 2010

Beiträge: 136

Zitat von KennyHax

Zitat von k1u
Bring mir bei zu haxx0rn  :0

kauf dir ein gutes C++ buch, lern von irgendwo ausm Internet Memory-Hacking und nimm die Tutorials von KN4CK3R durch.
Phail @ getting se irony?

__________________

[21:43:44] <-> Reita heißt jetzt R|GW2
[21:44:08] <-> Igromanru heißt jetzt Reita
[21:44:20] <-> Cycode2 heißt jetzt Igromanru
[21:44:27] <-> R|GW2 heißt jetzt Cyode2
icon #7

Anmeldungsdatum: Mär 2012

Beiträge: 58

Zitat von sMp
Zitat von KennyHax

Zitat von k1u
Bring mir bei zu haxx0rn  :0

kauf dir ein gutes C++ buch, lern von irgendwo ausm Internet Memory-Hacking und nimm die Tutorials von KN4CK3R durch.
Phail @ getting se irony?
hab ich auch erst nach meiner antwort gemerkt^^
icon #8

Anmeldungsdatum: Mär 2011

Beiträge: 978

Benutzer-Bewertung:

89 positiv
6 negativ
kannste ja gerne machen, aber was bringt das?
wenn vac nen pattern auf deinen hack gemacht hat, wirds auch da detected.

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Zitat von xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Zitat von f4gsh0t_h4x
VAC ist an,immer,überall
Zitat von gibson.w
Ich mag braune Würstchen
Zitat von irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Zitat von irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Zitat von irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Zitat von irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Zitat von Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
icon #9

Anmeldungsdatum: Mär 2012

Beiträge: 58

Zitat von SilverFire
kannste ja gerne machen, aber was bringt das?
wenn vac nen pattern auf deinen hack gemacht hat, wirds auch da detected.
Waaaaaaaaaaaaaaaarte. Pattern ??
Wann macht der sowas
icon #10

Anmeldungsdatum: Mär 2011

Beiträge: 978

Benutzer-Bewertung:

89 positiv
6 negativ
schon ewig.
wurden auch schon externe ausschließlich lesende hacks detected.

EDIT:
Patos vac analyse von 2004:
Zitat
First V.A.C.'s new method enumerates all running processes and modules. They use the
ProcessSnapshot API for it, then they open the files on disc with CreateFile and take
the crc value of it. This crc value is being sent to the main VAC Server which logs them.

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Zitat von xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Zitat von f4gsh0t_h4x
VAC ist an,immer,überall
Zitat von gibson.w
Ich mag braune Würstchen
Zitat von irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Zitat von irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Zitat von irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Zitat von irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Zitat von Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
icon #11

Anmeldungsdatum: Mär 2012

Beiträge: 58

Zitat von SilverFire
schon ewig.
wurden auch schon externe ausschließlich lesende hacks detected.

EDIT:
Patos vac analyse von 2004:
Zitat
First V.A.C.'s new method enumerates all running processes and modules. They use the
ProcessSnapshot API for it, then they open the files on disc with CreateFile and take
the crc value of it. This crc value is being sent to the main VAC Server which logs them.

ach nur gut wenn man Random CRC/MD5/Process Name hätte
das improve ich später in meinen "bypasser" rein.

icon #12

Anmeldungsdatum: Aug 2008

Beiträge: 2594

Benutzer-Bewertung:

17 positiv
5 negativ
Zitat von SilverFire
schon ewig.
wurden auch schon externe ausschließlich lesende hacks detected.

EDIT:
Patos vac analyse von 2004:
Zitat
First V.A.C.'s new method enumerates all running processes and modules. They use the
ProcessSnapshot API for it, then they open the files on disc with CreateFile and take
the crc value of it. This crc value is being sent to the main VAC Server which logs them.
Ich weiß noch damals gabs dann hacks die dynamische CRC hatten um detection zu vermeiden.
icon #13

Anmeldungsdatum: Mär 2012

Beiträge: 58

Zitat von TheBlackSlayer
Zitat von SilverFire
schon ewig.
wurden auch schon externe ausschließlich lesende hacks detected.

EDIT:
Patos vac analyse von 2004:
Zitat
First V.A.C.'s new method enumerates all running processes and modules. They use the
ProcessSnapshot API for it, then they open the files on disc with CreateFile and take
the crc value of it. This crc value is being sent to the main VAC Server which logs them.
Ich weiß noch damals gabs dann hacks die dynamische CRC hatten um detection zu vermeiden.

gut aber VAC1 war gestern ^^
icon #14

Anmeldungsdatum: Mär 2011

Beiträge: 978

Benutzer-Bewertung:

89 positiv
6 negativ
jop, wie gesagt, sie scheinen jetzt auch patterns zu benutzen, also ist schon ne bessere polymorphie angeraten...

__________________

http://www.abload.de/img/signfj5o.png
Spoiler
Vids:
Zitate:
Spoiler

Zitat von xst
Vater KN4CK3R, der du hängst im irc, geheiligt werde dein Botnet, dein P7 v1.337 komme, die Bannwelle geschehe, wie in CS:S als auch in CS:GO, führe uns nicht in Versuchung, sondern erlöse uns von all dem c+p-Shit.
Zitat von f4gsh0t_h4x
VAC ist an,immer,überall
Zitat von gibson.w
Ich mag braune Würstchen
Zitat von irc
<SilverDeath> KN4CK3R bistn nub
<~KN4CK3R> kk
Zitat von irc
<OrkSchamane> das prob is das viele dieser eig. recht guten bücher englisch sind ...
<OrkSchamane> da habe ich's ja doppelt schwer
<~KN4CK3R> falsch
<~KN4CK3R> das prob is dass du programmieren willst ohne englisch zu können
Zitat von irc
<SilverDeath> Ich schwöre dir Dr_Pepper Ich bumms deine Mutter tot Mann!
<Dr_Pepper> danke.
<SilverDeath> bitte
Zitat von irc
<~KN4CK3R> dann liegts wenigstens an mir
<~KN4CK3R> nur noch rausfinden warum -.-
<SilverDeath> ja sicher
<SilverDeath> an wem sonst?
* You were kicked by KN4CK3R (kick)
Zitat von Dr_Pepper
ihr seit beide dumm
Tutorials:
Releases:
Gifs:
Spoiler
http://www.abload.de/img/uberesp2sgul2.gif
https://i.imgur.com/Z5VQMrV.gif
http://www.abload.de/img/minesweeperzgaef.gif
icon #15

Anmeldungsdatum: Mär 2012

Beiträge: 58

Zitat von SilverFire
jop, wie gesagt, sie scheinen jetzt auch patterns zu benutzen, also ist schon ne bessere polymorphie angeraten...
gut ich werds mir mal aufschreiben.
Danke für eure hilfe !
In die Credits kommt OSH rein !
icon #16

Anmeldungsdatum: Sep 2010

Beiträge: 136

beobachte mal deinen steamdirectory und was steam so für netzwerkverbindungen macht. Da solltest du iwann ein Modul (dll) mit mysteriösem Namen bemerken: Dumpen und in IDA haun. Oder wenn du dreist drauf bist olly und debuggen.
HF

__________________

[21:43:44] <-> Reita heißt jetzt R|GW2
[21:44:08] <-> Igromanru heißt jetzt Reita
[21:44:20] <-> Cycode2 heißt jetzt Igromanru
[21:44:27] <-> R|GW2 heißt jetzt Cyode2
icon #17

Anmeldungsdatum: Mär 2012

Beiträge: 58

VAC3 ist mapped an SteamService.dll
also soweit ich weiß.