Закрывается программа когда я вызываю VirtualAllocEx

[Exfazo]

Короче на софте стоят разные защиты, вообщем когда я выделяю память в процессе через VirtualAllocEx, програ это видит и закрывается. Хочу знать все варианты как эта програ чекает выделение памяти, что бы обойти, пока на ум приходит то что эта програ ставит хуки во всех процессах, но мне кажется это херня.

 

[DildoFagins]

пока на ум приходит то что эта програ ставит хуки во всех процессах, но мне кажется это херня

Ну ты в своем процессе можешь это проверить, просто выведи первые байты функций VirtualAllocEx и NtAllocateVirtualMemory. Посмотри, есть ли какой-то драйвер в системе, который относится к этой "прогре". Можно попробовать сделать разделяемую секцию и замаппить ее в другой процесс, если происходит только детектирование выделения страниц с помощью конкретных функций.

 

[Exfazo]

если происходит только детектирование выделения страниц с помощью конкретных функций.

Да хер ее знает WriteProcessMemory вроде не детектит. А вот CreateRemoteThread, не знаю как проверить

 

[Quake3]

В идеале, реверсить прогу. Открыть Ида и вперед. Также, возможно юзается какой-то Process Mitigation (при запущенной проге посмотреть в Process Haker ).

Ну или методом тыка, пробовать разные варианты..может что и выйдет.

 

[Exfazo]

Я придумал, т.к вся защита весит в модуле, то есть сначала запускается процесс, потом он загружает эту длл. Можно заранее записать мою функцию в этот процесс, а потом уже запускать выполнение через CreateRemoteThread, однако мне кажется, то что софт задетектить CreateRemoteThread.

 

[Exfazo]

Также, возможно юзается какой-то Process Mitigation (при запущенной проге посмотреть в Process Haker ).

Да в этом софте стоит разная срань, которая не позволяет запускать Process Haker, dll инжекторы, и всё в этом роде

 

[Exfazo]

Ну ты в своем процессе можешь это проверить, просто выведи первые байты функций VirtualAllocEx и NtAllocateVirtualMemory. Посмотри, есть ли какой-то драйвер в системе, который относится к этой "прогре". Можно попробовать сделать разделяемую секцию и замаппить ее в другой процесс, если происходит только детектирование выделения страниц с помощью конкретных функций.

Правильно ли я чекаю байты?

HANDLE addr = GetModuleHandleA("kernel32.dll");
DWORD addrFunc = (DWORD)GetProcAddress((HMODULE)addr, "VirtualAllocEx");
BYTE* p;
p = (BYTE*)addrFunc;
std::cout << p << std::endl;

 

[DildoFagins]

Правильно ли я чекаю байты?

Нет. p - у тебя это указатель, нужно разименовать его, чтобы получить значение по указателю (*p), так же можешь добавить std::hex, так будет понятнее.

 

[Exfazo]

Нет. p - у тебя это указатель, нужно разименовать его, чтобы получить значение по указателю (*p), так же можешь добавить std::hex, так будет понятнее.

HANDLE addr = GetModuleHandleA("kernel32.dll");
    DWORD addrFunc = (DWORD)GetProcAddress((HMODULE)addr, "VirtualAllocEx");
    BYTE* p;
    p = (BYTE*)addrFunc;
    BYTE b = *p;
    std::cout << b << std::endl;

Так что ле?

 

[DildoFagins]

Так что ле?

Ну типа того, втавь еще std::hex перед выводом байта. Ну и еще имей ввиду, что если перехват имеет место быть, то он скорее будет на уровне NTAPI, то есть на функции NtAllocateVirtualMemory из ntdll.dll.