OldSchoolHack

Registrieren /

Neue Beiträge Erweiterte Suche

EAC NtReadVirtualMemory hook

Mo 1. Okt 2012, 15:03	EAC NtReadVirtualMemory hook	#1
Mantarochen Anmeldungsdatum: Jun 2011 Beiträge: 490 Benutzer-Bewertung: 12 positiv 0 negativ	Hey Leute, ich wollte mal schauen, dass ich meine externen cheat unter EAC zum laufen bekomme. Allerdings läuft er halt nach kurzer Zeit nicht mehr, da EAC eine dll namens eac_exthooks.dll in jedes Programm injected und dann NtReadVirtualMemory hookt. Jetzt dachte ich, gut, dann blockst du eben, dass eac überhaupt in dein Programm injecten kann, indem ich LdrLoadDll in der NTDLL.dll blocke. Scheint eac nicht zu jucken -> geht wieder nicht. Dann dacht ich mir, versuch ich den Prozess "unsichtbar" zu machen, klappt auf win 7 64 bit nicht bzw. bringt nichts bzw. ich bekomms nicht ordentlich ihn Hat noch jemand ne Idee was ich machen kann? Greetz Manta __________________
Mantarochen ist offline

Mo 1. Okt 2012, 23:04		#2
ExcidiumV2 Anmeldungsdatum: Nov 2011 Beiträge: 14	FreeLibrary() :'D :'D :'D
ExcidiumV2 ist offline

Di 2. Okt 2012, 19:26		#3
Mantarochen Anmeldungsdatum: Jun 2011 Beiträge: 490 Benutzer-Bewertung: 12 positiv 0 negativ	Kann das sein, dass die eac_exthooks.dll direkt gecloaked oder manual mapped wird? ich kann die nicht im prozess finden. __________________
Mantarochen ist offline

Di 2. Okt 2012, 23:32		#4
ExcidiumV2 Anmeldungsdatum: Nov 2011 Beiträge: 14	Schau halt wie EAC die DLL injected und wenns zu hart crypted ist, GET TO DA API MONITOR!
ExcidiumV2 ist offline

Mi 3. Okt 2012, 12:39		#5
Mantarochen Anmeldungsdatum: Jun 2011 Beiträge: 490 Benutzer-Bewertung: 12 positiv 0 negativ	EAC ist mit Themida geschützt, da komm ich nicht dran vorbei __________________
Mantarochen ist offline

Mi 3. Okt 2012, 13:56		#6
sMp Anmeldungsdatum: Sep 2010 Beiträge: 136	bei NT functions wie zB. auch memalloc usw. kannst du nicht davon ausgehen, dass die gecalled werden. kommt glaube ich drauf an, ob die system libs static linked oder dynamically loaded sind. wie wärs mit nem hw bp on write irgendwo an der richtigen stelle im pe header (da wo die modul liste drin ist irgendwo, irgend einen count oder so) das müsste doch theoretisch triggern, oder? __________________ [21:43:44] <-> Reita heißt jetzt R\|GW2 [21:44:08] <-> Igromanru heißt jetzt Reita [21:44:20] <-> Cycode2 heißt jetzt Igromanru [21:44:27] <-> R\|GW2 heißt jetzt Cyode2
sMp ist offline