SoloCodigo

Se puede hacer en cualquiera de los dos lenguajes, busca informacion sobre Rootkits. Te aclaro que esto no tiene ningun futuro desde hace rato, el PatchGuard tira el S.O. abajo en cuanto detecta alguna discrepancia ... mejor investiga sobre las funciones de callback que podes registrar y usando un poco la creatividad podes reemplazar casi todos los hooks que ademas son poco seguros.

A menos que tengas vasta experiencia en modo Kernel te recomiendo que primero investigues mucho al respecto.

Bueno, eso es ilegal para empezar.

Primero y principal antes de intentar hacer un driver averigua exactamente que metodo de interceptacion usan (detouring, sdt, etc) y que funciones interceptan. Una vez sepas esos datos podras buscar mas informacion, usar herramientas existentes o desarrollar algo.

Si hookeas vos primero entonces ellos van a seguir siendo llamados y vas a tener el mismo problema ... hay herramientas que permiten "deshookear" (en este caso no es mas que restaurar el valor original en la entrada correspondiente de la SDT). Tambien podrias escribir ese codigo ...

Pero no me mostraste todos los servicios hookeados, por ahora con los que vi todavia se puede inyectar codigo ...

A ver en este caso hookear es cambiar el valor de una entrada en una estructura. Si hookeas primero despues viene el otro driver, reemplaza tu valor y sigue interceptando. Como ellos son llamados primero pueden filtrar y devolver error antes de que llegue a tu codigo ...

Decis que si deshookeas da BSOD, postea el minidump o analizalo, puede ser que ese programa se mande una cagada o que el anticheat lo detecte.


Otra cosa ... ¿Probaste a crear el proceso suspendido, modificar lo que quieras y despues resumir el hilo principal? Se me ocurren formas de conseguir inyectar codigo en el proceso ya en ejecucion pero es totalmente al pedo si podes hacer lo que acabo de decir.

5) tu driver restaura la dirección original del api que guardo primero

Eso es lo que segun vos produce el BSOD cuando usas ese programa, esa solucion no sirve o ya estaba propuesta.

De cualquier manera:
¿Probaste a crear el proceso suspendido, modificar lo que quieras y despues resumir el hilo principal? Se me ocurren formas de conseguir inyectar codigo en el proceso ya en ejecucion pero es totalmente al pedo si podes hacer lo que acabo de decir.

Y todavia quedo en el tintero:
Decis que si deshookeas da BSOD, postea el minidump o analizalo, puede ser que ese programa se mande una cagada o que el anticheat lo detecte.

no probé eso, sólo estube usando las técnicas comunes, por ejemplo fijate en la base esa que puse en un post mio en la sección vc++, eso es lo usado.. pero me podrías explicar mejor esto..

Esa es una tecnica muy comun y muy simple aunque probablemente no tan simple como es normalmente por el hook sobre NtWriteVirtualMemory.

El chiste es crear el proceso (CreateProcess con el flag CREATE_SUSPENDED) con esto logramos que no arranque el proceso hasta que hagamos ResumeThread sobre el hilo principal. Antes de ese momento ya existe el proceso, esta mappeado en memoria y podemos hacer bastantes cosas.

Una forma que en teoria podria funcionar es:
A. Ejecutamos de forma suspendida
B. Mappeamos una seccion de memoria compartida
C. Escribimos codigo que cargue una DLL en esa seccion
D. Encolamos un APC en el hilo principal
E. Resumimos el hilo principal

Esto hara que se ejecute el APC y cargue una DLL, objetivo cumplido.

En cuanto a la base ya la miraras (vos) cuando logres inyectar una DLL con un misero MessageBox en el proceso, sino sos capaz de hacerlo no vale la pena desarrollar la DLL.

aparte volviendo al tema del driver entonces estamos descartando esa posibilidad.. ¿?

Hasta ahora no hay ninguna solucion propuesta para implementar desde modo Kernel (driver). Y yo descartaria hacer un driver sin tener ninguna experiencia al respecto y sin haber agotado todas las posibilidades desde modo Usuario.

a yo pensaba que no quedaban posibilidades en modo usuario hehe.. ya se que hay millones de formas de inyectar etc pero el tema es que mientras el driver del anticheat siga trabajando es prácticamente imposible. igualmente algunas personas consideran tratar de emular esta protección, pero eso ya requiere ingenieria inversa.. no esos temas son demasiado avanzados. bueno gracias eternal si se te ocurre algo, bueno comentalo yo voy a seguir investigando tmb

¿Si se me ocurre algo? No se cual es la razon pero me parece que no estas leyendo mis respuestas ... ya te di muchas ideas, arriba tenes una forma de inyectar (paso por paso) que funciona seguro (teniendo en cuenta las funciones - que mostraste - que son interceptadas).


Se me ocurren varias maneras de resolverlo simplemente usando el WinDbg pero realmente esto es no solo ilegal sino al reverendo pedo.

Evitando que pueda interceptar, segun recuerdo esto usaba la SSDT y es muy facil de restaurar con el WinDbg, solo tenes que encontrar las direcciones (empezando por KeServiceDescriptorTable por supuesto). No voy a entrar a discutir como saltar X o Y proteccion, no me interesa en lo mas minimo.