Конференция VBStreets

[TrueTrue]

Прошу прощения, возможно похожие вопросы существуют, но я не знаю, как правильно поставить вопрос.

Вобщем ситуация следующая. Есть процесс, игра, необходимо отследить обращение к памяти этого процесса и возможные изменения (из вне). Тоесть, возможно ли отследить, какие программы, обращаются к памяти данного процесса в данным момент. Производят чтение или изменение конкретных или любых байтов в памяти данного процесса. Вобщем мне необходима любая инфа о том, какие программы из вне, лезут в память данного процесса.
Возможно ли подобное сделать на VB6. Разбираться готов сам, подскажите направление.

К чему это? Необходимо сделать Античит.

[Хакер]

Есть два пути:

1. воспользоваться родной системой безопасности NT. Препятствовать действиям можно установкой прав, следить — с помощью аудита. Но я не уверен, что у тебя получится задуманное.
2. Внедриться во все процессы и перехватить нужные функции. Для отслеживания придётся перехватить ReadProcessMemory и WriteProcessMemory. Для воспрепятствования достаточно обламывать запросу на получение права PROCESS_VM_XXX. Хотя родитель заведомо будет иметь все права.

Полноценно работающих способов не будет.

[TrueTrue]

Есть два пути:

Внедриться во все процессы и перехватить нужные функции. Для отслеживания придётся перехватить ReadProcessMemory и WriteProcessMemory. Для воспрепятствования достаточно обламывать запросу на получение права PROCESS_VM_XXX. Хотя родитель заведомо будет иметь все права.

Полноценно работающих способов не будет.

Тоесть, нет смысла даже ломать над этим голову? Или всё же шансы есть?

А если меня бы устроило хотя бы просто, знать... что есть программа, которая вмешивается в память моего процесса. Что касается воспрепятствования, то я просто буду банить человека по IP. Такое, однозначно добиться возможно? Меня бы это полностью устроило.

[Twister]

Можно не писать ничего самому, а найти в сети программу HideToolz версии > 2.

[TrueTrue]

Можно не писать ничего самому, а найти в сети программу HideToolz версии > 2.

но мне нужно, эту возможность проверки, внедрить именно в свою программу-клиент.

[Twister]

Разбираться готов сам, подскажите направление.

Направление было подсказано. Это перехват функций, работающих с памятью.

Однако перехватывать в третьем кольце довольно муторное занятие - тебе придётся не только внедрить свой код во все работающие процессы, но так же контролировать создание новых. Гораздо легче производить фильтрацию в ядре, для этого достаточно контролировать лишь два сервиса: NtReadVirtualMemory и NtWriteVirtualMemory.
Но не стоит так же забывать, что из ядра твою память можно читать и в обход этих функций. Думаю что найдётся немало утилит, способных аттачиться к целевому процессу с помощью KeStackAttachProcess и работать с его памятью напрямую, как со своей (так, к примеру, поступает плагин ExtremeDumper для PETools).
Можно пойти еще дальше и взять под надзор KeStackAttachProcess и KeAttachProcess, но и тут найдутся обходные пути: начиная от изменения регистра cr3 до чтения физической памяти.

В общем, всё это борьба с ветряными мельницами. Если кому-то потребуется прочитать/модифицировать твою память, он сделает это в любом случае.

[TrueTrue]

В общем, всё это борьба с ветряными мельницами. Если кому-то потребуется прочитать/модифицировать твою память, он сделает это в любом случае.

Меня это полностью устраивает, на сегодняшний день, дело в том, что сами игроки вряд ли будут разбираться в принципах моего античита, им по большей части проще скачать готовый чит. А читы, не писались под наш портал... Потому, пока кто-то созреет написать обход моей защиты, надеюсь у меня будет время придумать ещё что-то)

Однако перехватывать в третьем кольце довольно муторное занятие - тебе придётся не только внедрить свой код во все работающие процессы, но так же контролировать создание новых. Гораздо легче производить фильтрацию в ядре, для этого достаточно контролировать лишь два сервиса: NtReadVirtualMemory и NtWriteVirtualMemory.

Спасибо за подсказку) Пошёл разбираться..., буду очень признателен, если кто-то подскажет любую инфу или ссылки, по поводу интеграции в процессы и контроля NtReadVirtualMemory и NtWriteVirtualMemory.

[Хакер]

Вот ещё способы, которые устойчивы к вышеописанному:

1. Пометить особо важные страницы памяти guard-флагом и повесить SEH-хендлер, который будет реагировать на соответствующие исключения и ставить guard-флаг обратно. Тогда, если обращение есть, а guard-флага вдруг нет, значит сторонний процесс (или сторонний поток) читал память. Хотя сторонний агент может и заново поставить guard-флаг, тут надо иметь специальный инструмент. И вообще, «читателя» собьёт большой заguardенный регион: он подумает, что это чей-то стек.
2. Ставить особо важным страницам доступ PAGE_NOACCESS. И не снимать его самому. Ставить SEH-хендлер и реагировать на все EXCEPTION_ACCESS_VIOLATION при обращении к этим страницам. Если это чтение — читать dword и расшифровывать его. Если запись — зашифровывать и записывать. Тогда, если читатель и уберёт NOACCESS, он увидит зашифрованный мусор. И как минимум тупым поиском по памяти какую-нибудь строчку или последовательность байтов он уже не найдёт.

Но и это обходится, правда не так легко (в плане большей работы по исследованию) как перехват.

[Twister]

буду очень признателен, если кто-то подскажет любую инфу или ссылки, по поводу интеграции в процессы и контроля NtReadVirtualMemory и NtWriteVirtualMemory

Так ты уж определись. Или ты лезешь во все процессы в юзермоде, или пишешь драйвер для контроля вышеупомянутых сервисов. Я думаю понятно, что второго на VB не сделать. Да и с первым не всё просто будет.

В общем, если эта тема для тебя новая (а я думаю что это так) - вперед на wasm.ru учить матчасть.

Кстати, если защищаемое приложение твоё и ты имеешь доступ к сорцам, то второй предложенный Хакером способ вполне себе ничего. Известный протектор Themida юзает что-то похожее.