Как я могу сделать полностью необнаружимую программу (известную программу)?

Question

Как я могу сделать полностью необнаружимую программу (известную программу)?

Этот вопрос немного сложен. Я хочу скрыть "чит-движок" от некоторых программ детектора. Они проверяют имя чит-движка в списке запущенных программ и проверяют память на наличие специальных строк или данных для обнаружения этой программы. Как я могу сделать совершенно необнаружимую программу (известно).

Я попробовал некоторые приемы, такие как "Windows Title Changer". Но эти детекторы проверяют память на предмет обнаружения. Так что я должен изменить данные памяти для этой программы. Но я не знаю, как я могу сделать это. Любая идея?
Заранее спасибо..

1

security cheat-engine memory-editing

Источник

user3287459 05 фев '16 в 10:20

1 ответ

Другие вопросы по тегам security cheat-engine memory-editing

user8985046 22 ноя '17 в 05:28 2017-11-22 05:28 · Answer 1 · 2017-11-22 05:28

Ваша цель состоит не в том, чтобы сделать программу "полностью необнаруженной", а в том, чтобы просто обойти механизмы обнаружения, существующие в подпрограммах анти-чит / анти-отладки, которые использовал разработчик. Причина в том, что вы не можете сделать что-то "полностью незамеченным", это игра в кошки-мышки, и вам нужно только оставаться на шаг впереди или обновлять при необходимости, чтобы снова обойти, когда вас обнаружат.

Решение состоит в том, чтобы перепроектировать методы обнаружения, половина из которых является методом проб и ошибок, а другая половина обращает вспять выполняемые инструкции по сборке и выясняет, что они делают. Это действительно форма искусства. Вы также хотите узнать, как работает чит-движок, поскольку можно обнаружить определенные методы, которые он использует, такие как присоединение отладчика и открытие дескриптора процесса.

Чтобы обойти обнаружение строк, вы можете открыть CheatEngine.exe с помощью шестнадцатеричного редактора, выполнить поиск и заменить строку "Cheat Engine" и заменить ее на тарабарщину, не забудьте также сделать Unicode. Вы также должны изменить имя папки, так как оно также включает в себя строку с ошибками. Это обнаруживает базовое обнаружение Cheat Engine. Следующим шагом оттуда является обнаружение отладчика с помощью IsDebuggerPresent() или путем ручной проверки флага отладчика в блоке среды процесса или PEB. Вы можете обойти их, исправив функцию или переписав флаг в PEB.

Есть почти безграничные способы обнаружения несанкционированного доступа к памяти процесса.

Питер Ферри написал "Ultimate Anti Debugging Reference", который необходимо прочитать.