R7flex
Banned
- Katılım
- 7 Haz 2020
- Mesajlar
- 3,314
- Beğeniler
- 1,740
Selam bizde bu yolun pezevengiyiz bugün hangi anti-cheat üzerinde nasıl bir driver yapılabilir ve püf noktalarından bahsedicem.
Vanguard:
Vanguardla başlayalım, vanguardda farkettiğim bir ntcall fonksiyonuna hooklanıp bir communication yapmak basit ayrıca pool, mmunloaded driversı silerseniz güzel bir driver yaparsınız.
Fakat vanguard oyunu hem virtualize ediyor hemde page guard sistemini ekliyor. Page guard nedir derseniz bellekte sayfalar vardır o sayfaları koruyor ve offseti oyun base ine direk yazamıyorusunuz sayfaları hesaplayıp öyle yazmanız lazım. Bazı arkadaşlar bir tane shellcode execute edip bypasslamaya çalışıyolar adlarını unuttum boş insanlar.
Eğer vanguardı reverseleyip page guard fonksiyonunu bulsanız VirtualLock yazarsanız driverınızda o fonksiyonu direk kapatabilirsiniz.
ya da virtual query ile sayfaları tekrar denersiniz olur biter ama zor iş yine
EAC:
Güçlü diyebileceğimzi bir Anti-Cheat yine klasik driverlar işe yarıyor ama ioctl communication önermiyorum.
Function-Hook denilen bir yöntem shellcode ile bir communication yapılıyordu nerdeyse apexte her paste driverda bu method kullanılıyor.
EAC son günlerde gelişti Detour hook çalışmıyor anca tramploien hook çalışıyor ben vmt veya minhook öneririm.
Yine pool ve mmunloaded silin ioctl kullanmayın paste olmayan bir driver yapın ud olur ya xd
BE:
hakkında çok bir şey bilmiyorum fakat yine izleri silin ve asla kdmapperı direk hazır halde kullanmayın entry pointleri değiştirin öyle kullanın sıkıntılı biraz xd
Vanguard:
Vanguardla başlayalım, vanguardda farkettiğim bir ntcall fonksiyonuna hooklanıp bir communication yapmak basit ayrıca pool, mmunloaded driversı silerseniz güzel bir driver yaparsınız.
Fakat vanguard oyunu hem virtualize ediyor hemde page guard sistemini ekliyor. Page guard nedir derseniz bellekte sayfalar vardır o sayfaları koruyor ve offseti oyun base ine direk yazamıyorusunuz sayfaları hesaplayıp öyle yazmanız lazım. Bazı arkadaşlar bir tane shellcode execute edip bypasslamaya çalışıyolar adlarını unuttum boş insanlar.
Eğer vanguardı reverseleyip page guard fonksiyonunu bulsanız VirtualLock yazarsanız driverınızda o fonksiyonu direk kapatabilirsiniz.
ya da virtual query ile sayfaları tekrar denersiniz olur biter ama zor iş yine
EAC:
Güçlü diyebileceğimzi bir Anti-Cheat yine klasik driverlar işe yarıyor ama ioctl communication önermiyorum.
Function-Hook denilen bir yöntem shellcode ile bir communication yapılıyordu nerdeyse apexte her paste driverda bu method kullanılıyor.
EAC son günlerde gelişti Detour hook çalışmıyor anca tramploien hook çalışıyor ben vmt veya minhook öneririm.
Yine pool ve mmunloaded silin ioctl kullanmayın paste olmayan bir driver yapın ud olur ya xd
BE:
hakkında çok bir şey bilmiyorum fakat yine izleri silin ve asla kdmapperı direk hazır halde kullanmayın entry pointleri değiştirin öyle kullanın sıkıntılı biraz xd
. Fakat fark ettim de forum da çoğu kişi benim gibi kodlamayla vesaire hiç bir ilgisi uğraşı yok. Umarım anlayan kişilerin çok işine yarar.
