Помогите отладить Iccup Launcher

Discussion in 'Реверсинг' started by GoodGoogle, 12 Jun 2012.

  1. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Многие знают игру Wacraft 3, а именно карту Dota, нужно отладить софт и выяснить в каком месте лаунчер сверяет размер запущенного WAR3.exe или сделать так, чтобы после инжекта в War3.exe не дисконектило.

    Сам лаунчер http://ru.iccup.com/dota/
     
  2. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    313
    Likes Received:
    63
    Reputations:
    66
    Выложи на хостинг ланчер, а то страницу не могу загрузить - 502 Bad Gateway.
     
    1 person likes this.
  3. BLurpi^_^

    BLurpi^_^ Banned

    Joined:
    9 Feb 2011
    Messages:
    218
    Likes Received:
    26
    Reputations:
    9
    мх делаешь?
     
  4. justonline

    justonline network ninja

    Joined:
    27 Jul 2011
    Messages:
    499
    Likes Received:
    60
    Reputations:
    53
    а проснифать сам момент обращения и сменить домен/ип хранения ланчера на свой?
     
  5. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    313
    Likes Received:
    63
    Reputations:
    66
    Обращений к эксе довольно много и скорее всего проверяется md5 от него.Пока что это только предположение.
     
  6. БАБА РОЗА

    Joined:
    18 May 2011
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0

    Ага походу..)
     
  7. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Там еще есть сверка и антиотладчик, Olydbg нужно переименовать, ибо так мы не увидит части кода.

    Защита сложная, ибо идет сверка + отправка положительного ответа, о том, что размер процесса не изменился.

    Сам Luncher инжекстится прямо в процесс, что создает более проблематичную ситуацию, в отличии от того, если бы он просто сверял память. Даже при закрытии лаунчера инжект в процессе остается.

    Да делаю МХ, знаю, что приватные есть, но меня интересует именно способ отладки данного лаунчера, мх готовый есть, причем он прекрасен.

    Достаточно только убрать сверку MD5 и я думаю все будет работать как часики.


    Будет диск...
     
    #7 GoodGoogle, 13 Jun 2012
    Last edited: 13 Jun 2012
  8. Kaimi

    Kaimi Well-Known Member

    Joined:
    23 Aug 2007
    Messages:
    1,732
    Likes Received:
    811
    Reputations:
    231
    Допустим, и каков алгоритм проверки тогда? Читать секцию кода и сверять чексумму с тем, что в памяти что ли? Если сверять образ и то, что загрузилось в память, то ничего не мешает пропатчить исходный файл и всё. Если проверяется чексумма образа процесса, то что мешает перехватить NtCreateFile или просто найти эту проверку и убить? Основной экзешник ничем не накрыт вроде.

    Почему после инжекта размер процесса должен меняться и что есть размер процесса?
     
    _________________________
  9. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Потому, как MapHack его изменяет при инжекте, то есть заменяет некоторые значения в самом war3.exe, и что самое интересное, вылет может быть как через минуту после захода в игру, так же через 5 минут. Я не совсем понял данного прикола...

    Сами понимаете, таких мощных знаний у меня нет, чтобы провести подобный тип атаки.

    Kaimi, возможно, можно убить часть кода, которая отвечает за сверку, отправка запросов продолжится(о том, что никаких подозрительных изменений в процессе игры не появилось.

    Естественно сами вы не отладите этот лаунчер, так как придется качать Warcraft 3 который весит 1 ГБ, всем будет лень, возможно, кто то видит в OlyDBG примерные строки которые нужно отрезать.... Я пасс


    В общем попробую открыть всю суть:
    1) Запускаю Лаунчер - > Он запускает Warcraft
    2) Я инжектю DLL МХ через CheatEngine, в War3.exe, игра запускается нормально
    3) Когда начинается сам игровой процесс, после выхода всех крипов и встрече врагов, происходит вылет и пишет, что я кикнут антимапхаком.
    4) Сам функционал МХ работает.
     
    #9 GoodGoogle, 13 Jun 2012
    Last edited: 13 Jun 2012
  10. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Взломал похоже дело :))) от Олечки защитили, а вот от других отладчиков нет :)))

    В паблик способ кидать не буду :) убьют мгновенно.
     
  11. ilduce

    ilduce New Member

    Joined:
    2 Jun 2012
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Молодец, нормально работает?
     
  12. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Скажу даже больше, просто замечательно.И еще приветствую команду разработчиков ICCUP лаунчера, раз уж вы соизволили зарегистрироваться.