Arama Sonuçları

tamam doğru yoldasın herhangi bir driver mapperla ya da public loaderlardan biriyle loadla driveri örnek mapper https://githacks.org/_xeroxz/hmdm

gir proje ayarlarına C/C++ > Kod Oluşturma > biraz altta spectre riskini azaltma var onu devre dışı yap

MSR_LSTAR yani intelin syscall handlerini hooklayabilirsin ya da PROCESS_ALL_ACCESS sayesinde handle kullanmadan erişim sağlayabilirsin https://github.com/btbd/access buradaki iletişimi değiştirdiğinde gayet güzel geçirirsin https://github.com/DarthTon/HyperBone/tree/master/src/Hooks

eee ş-şey structs and offsets yazıyor başlıkta ama?

başlangıçta linux kerneli üzerinden gidilebilir ihtiyaç duyulan her şey zaten fazlasıyla var. Deneyecek olan herhangi biri işletim sistemi yazmadan önce hypervisor yazmayı deneyebilir işletim sistemi yazmak zor diyenler için de konu hakkında inanılmaz bir başarı öyküsü anlatmak istiyorum size...

Cevap değişmeyecek imgui kullan, imgui sadece internal için değil https://github.com/inc-Majdev/ImGuiExternal

Driver #pragma once #ifdef _WIN64 #define CHECK_SIZE(str, size64, size32) static_assert(sizeof(str) == (size64), "Invalid " #str " size") #define CHECK_SIZE_SAME(str, size) CHECK_SIZE(str, size, size) #else #define CHECK_SIZE(str, size64, size32) static_assert(sizeof(str) == (size32)...

Image integrity checkten haberin yok galiba senin bu "mega ultra gizli 1337 bypassının" değiştirdiği şeyleri çok kolay algılıyor. Mesela .text byte'ında herhangi bir oynama yaptığında oyuna etkisi olsa da olmasa da memoryde bir değişiklik olduğu için seni o malum yere uğurluyor. Undetected Cheat...

Yani bununla neyi gizledin çok merak ediyorum, herhangi bir blacklistlenmiş modülü gizlesen modül mainin (mesela dllmain) çalıştırılması için execute izni gerek yani direk ban yersin. Vanguardda driver loadlamayı denesen DriverObject ve RegistryPath'ten loadlanan yeni bir driver olduğu anlaşılır...

x64/x86 ve ARM için önerim radare2 eğer decompiler içeren bir disassembler istiyorsan IDA (Hex-Rays decompiler'ı) veya Cutter (radare2 debugger'ı ve Ghidra decompiler'ı) kullanabilirsin. Eleman en çok tanınan, bilinenen debuggerları atmış sadece ayrıca vmp geçmek zorlamaz piyasada zaten...

char hex[] = "\x0";

Evet, neden olmasın memoryde yakın bölümlerde depolanıyor olabilirler. Oyuna biraz baktım incelemekle iyi iş çıkarmışsın ama GName o değil. Yyeni bir reversal threadı açmaya değmez o yüzden bulduklarımı buraya bırakıyorum Health: "POLYGON-Win64-Shipping.exe"+043EB0D0 +30+220+3A8+D0 Matrix...

Boşuna uğraşmayın wind64 detect, VDM kullanabilirsiniz

Snowman kullanabilirsin ELF ve Portable Executable formatlarını, x86/x64 ve ARM mimarilerini destekliyor, fonksiyonları, integerları, pointerları ve structureları yeniden yapılandırıyor. x64dbg, IDA ve radare2 için de pluginleri bulunuyor.

https://memoryhackers.org/konular/manual-maplenen-dlli-gizlemek.174635/ https://github.com/vxhcall/MMInject

Sadece x64, communication standart ioctl kullanıyor ve device oluşturuyor, herhangi bir şekilde RWX sectionları gizlenmiyor değiştirmeyi bilmeyen kimsenin işine yaramayacak.

Evet resource kullanılarak çalıştırılamaz ama indirme gibi bir zorunluluğu da yok, RunPE yoluyla byte array kullanılarak çalıştırılabilir.

#include <windows.h> #include <process.h> #include <Tlhelp32.h> #include <winbase.h> #include <string.h> void killprocess(const char *dosyaadı) { HANDLE hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPALL, NULL); PROCESSENTRY32 pEntry; pEntry.dwSize = sizeof (pEntry); BOOL hRes...

Eğer herhangi bir koruma yoksa dnSpy ya da IDA işini görecektir.

tespit edilen blackbone sürücüsü ve içerisindeki bazı fonksiyonları kullanabilmeni sağlar