Русский / Russian English / Английский

Сейчас на форуме: Tupis
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› Идентифицировать хукер
Посл.ответ Сообщение

Ранг: 583.2 (!)
Статус: Модератор

Создано: 16 декабря 2019 15:39 New!
Цитата · Личное сообщение · #1

Что-то не могу найти старый топик по распаковщикам.
Есть строки
Error at hooking API "%S"
Dumping first %d bytes:

Судя по гуглу, встречается в некоторых играх. Подозреваю что это часть ВМП.
Еще используется шифрование строк по методу
dst[i] = ror(src[i] ^ const, i), где const для каждой строки уникальный.

Ранг: 33.7 (посетитель)
Статус: Участник

Создано: 16 декабря 2019 16:23 New!
Цитата · Личное сообщение · #2

r_e пишет:
Error at hooking API "%S"
Dumping first %d bytes:

такие строки есть в VMP 2 и 3 версий

| Сообщение посчитали полезным: r_e



Ранг: 64.5 (постоянный)
Статус: Участник

Создано: 16 декабря 2019 16:23 · Поправил: BlackCode New!
Цитата · Личное сообщение · #3

r_e
Можно подробнее, что конкретно хукает, какие API?
Если NtProtectVirtualMemory в том числе, то это VMP.

Да это VMP 100% только что глянул..
Code:
  1. 000007FEE7428708  45 00 72 00 72 00 6F 00 72 00 20 00 61 00 74 00  E.r.r.o.r. .a.t.  
  2. 000007FEE7428718  20 00 68 00 6F 00 6F 00 6B 00 69 00 6E 00 67 00   .h.o.o.k.i.n.g.  
  3. 000007FEE7428728  20 00 41 00 50 00 49 00 20 00 22 00 25 00 53 00   .A.P.I. .".%.S.
  4. 000007FEE7428738  22 00 0A 00 00 00 00 00 44 00 75 00 6D 00 70 00  ".......D.u.m.p.
  5. 000007FEE7428748  69 00 6E 00 67 00 20 00 66 00 69 00 72 00 73 00  i.n.g. .f.i.r.s.  
  6. 000007FEE7428758  74 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00  t. .%.d. .b.y.t.  
  7. 000007FEE7428768  65 00 73 00 3A 00 0A 00 00 00 00 00 00 00 00 00  e.s.:...........  
  8. 000007FEE7428778  25 00 30 00 32 00 58 00 0A 00 00 00 00 00 00 00  %.0.2.X.........  
  9. 000007FEE7428788  25 00 30 00 32 00 58 00 20 00 00 00 00 00 00 00  %.0.2.X. .......  


Ранг: 322.3 (мудрец)
Статус: Участник

Создано: 16 декабря 2019 19:08 New!
Цитата · Личное сообщение · #4

r_e

Защита не должна видеть что с ней работают, никакие моды в код не допустимы. Семпл должен по тихому исполняться под надстройкой, которая следит за нужной областью; путём отслеживания исполнения, выборки. А не ловушек, где можно испортить код и получить событие, при этом сработает детект в защите.


Ранг: 322.3 (мудрец)
Статус: Участник

Создано: 16 декабря 2019 19:27 · Поправил: difexacaw New!
Цитата · Личное сообщение · #5

ELF_7719116

А в вопросе то совсем не очевидно. Давно следует забыть про все эти хуки. Контр суммой можно обнаружить активность аналитики. Вообще же посмотри это --> Link <--
Когда поймёшь как это работает, тогда вот расскажи про очевидность. И накой чёрт эти патчи.

Ранг: 405.9 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 16 декабря 2019 19:52 New!
Цитата · Личное сообщение · #6

difexacaw пишет:
Когда поймёшь как это работает, тогда вот расскажи про очевидность

поймёТЕ, расскажиТЕ
ТС озвучил проблему в идентефикации защиты. А vmp с примитивами read/write разбирается и патчится. Вот тогда поймете как, тогда и пишите.


Ранг: 603.8 (!)
Статус: Модератор
Research & Development

Создано: 16 декабря 2019 21:37 New!
Цитата · Личное сообщение · #7

ELF_7719116
difexacaw
Либо пишите по теме, либо идите в оффтоп. Оба.
Ругань удалена.
 eXeL@B —› Крэки, обсуждения —› Идентифицировать хукер
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ