Сокрытие програмного воздействия на чужое приложение
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Сокрытие програмного воздействия на чужое приложение - 2010-08-26 12:14:22.470000
|
|
|
PPS
Сообщений: 5
Оценки: 0
Присоединился: 2010-08-26 11:11:06.593333
|
Господа хакеры нужны советы! (MS VC++)
1.Мое приложение получает контекст устройства рабочей области окна чужой прогр. и копироует через BitBlt в созданный контекст в памяти(опять же, МОЖЕТ ЛИШНЕЕ, если можно обрабатывать растр. сразу оттуда), затем обрабатывет раст полученного попиксельно.(уже сделал, работает).
2.Моя программа обращается к текст. файлу той-же "чужой" программы для чтения данных(собираюсь делать).
3.Програмно манипулирует мышкой функциями типа( SetCursorPos, mouse_event)-для эмуляции пользователя.
Собственно вопросы:
1.Может ли чужая прогр. засечь что происходит копирование ее контекста окна?
2.Про второй пункт ясно, что может,-Ворос: как скрыть?
3.Может ли засечь программа откуда посылаются манипуляции мышкой(драйвер или прил.)
БОНУС:
При дезасемблировании пациента через IDA PRO заметил в списке импорта функций знакомые://в первый раз юзал, поэтому больше пока ничего не понял
setwindowshookexA и setwindowshookexW - в инете не нашел в чем разница, понятно, что перехват или
защита от перехвата(но написанный мной Keylogger не блокируется все пишет без сбоев)
-может кто-то подскажет еще какие нить функции для поиска в импорте IDA для дальнейшего анализа работы пациента…
-и еще как-то наткнулся на статью в интернете как на корню блокировать эти перехватчики(setwindowshookex),
но как обычно бывает сечас найти нормальной стать не могу(может кто знает ссылочку?)-хочу попробывать на всякий случай…
Буду благодарен за советы и ссылки для продвижения в нужном направлении!
PS: EN-плохо курю… ВСЕМ СПАСИБО ЗА ПОМОЩЬ!!!
|
|
|
|
|
RE: Сокрытие програмного воздействия на чужое приложение - 2010-08-26 22:05:01.913333
|
|
|
PPS
Сообщений: 5
Оценки: 0
Присоединился: 2010-08-26 11:11:06.593333
|
Ну и что? никто не поможет? мнеб хотябы ссылочку по одному из вопросов, а лучше ссылочки по каждому или направление куда копать…
|
|
|
|
|
RE: Сокрытие програмного воздействия на чужое приложение - 2010-08-26 22:10:43.010000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Да не простой вопрос. Обдумать надо время.
Вот такой вопрос назрел: в какой контексте ты работшь ядра или приложения? И в каком программа которую ты логируешь?
Начнем с этого.
|
|
|
|
|
RE: Сокрытие програмного воздействия на чужое приложение - 2010-08-27 10:30:43.940000
|
|
|
PPS
Сообщений: 5
Оценки: 0
Присоединился: 2010-08-26 11:11:06.593333
|
пока снимки окна я делаю обычным приложением MFC+API, чужое тоже с виду обычное приложение(которое, если посмотреть через Spy++ использует сообщения WM_APP+X, то есть свои собственные зарегистрированные(если я правильно понял из статьи) и друзей вроде setwindowshookex, то возможно это только вершина айсберга… Вообще для ясности это покерный клиент…
Но больше всего меня интересует контекст окна рабочей области т.к. основное взаимодействие с ПО у меня там.
А насчет мышки - возможно прийдется опускаться на уровень драйверов, что не хотелось бы…
|
|
|
|
|
RE: Сокрытие програмного воздействия на чужое приложение - 2010-08-27 11:43:35.846666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ну смотри. Раз ты можешь ставить хуки на обращение к окну, то клиент это может и увидев в нем свое окно пошлет тебя нафиг. Делает он это или нет я не знаю, но раз вы равноправны то и действия могут быть аналогичными.
Могу предложить такую реализацию про которую читал одном кейлогере. Кейлогер поверх окна программы создает свое окно. Но окно прозрачное. Все действия с курсор и принтскрином он делает в контексте своего окна но при этом засвечивается картинка ниже лежащего. Ниже естетвенно другая программа с которой работает пользователь. Если пользователь кликает, то он попадает сначала в окно кейлогера, кейлоегер делает дело , убирает своё окно и дублирует команду клика. Ни тебе сложный манипуляций с мышью ни перехвата чужих окон. Вот как то так.
|
|
|
|
|
RE: Сокрытие програмного воздействия на чужое приложение - 2010-08-27 13:10:08.860000
|
|
|
PPS
Сообщений: 5
Оценки: 0
Присоединился: 2010-08-26 11:11:06.593333
|
Вот насчет прозрачного поверх окна спасибо попробую(снимать скрины со своего прозрачного окна, хотя не знаю будет ли в дескрипторе окна "видно" нижнее окно), но насчет мышки ты наверное меня не понял,- мне наоборот нужно эмулировать пользователя(игрока), то есть остается вопрос открытым-"если посылаются сообщения манипуляций мышью через функции типа SetCursorPos, mouse_event- узнаетли приложение, что сообщение послано не драйвером".
|
|
|
|
|
RE: Сокрытие програмного воздействия на чужое приложение - 2010-08-28 00:00:39.413333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
не наоборот нужно эмулировать пользователя(игрока), то есть остается вопрос открытым-"если посылаются сообщения манипуляций мышью через функции типа SetCursorPos, mouse_event- узнаетли приложение, что сообщение послано не драйвером".
Мало вероятно. Обычно эти приложения определяют ботов не програмно а поведенчески. Если мышь будет тыкать со скоростью света то бан будет не замедлителен.
|
|
|
|
|
RE: Сокрытие програмного воздействия на чужое приложение - 2010-08-28 12:29:38.696666
|
|
|
PPS
Сообщений: 5
Оценки: 0
Присоединился: 2010-08-26 11:11:06.593333
|
Если маловероятно, то остается только "для простоты" попробовать. Если не получиться-прийдется искать откуда ноги растут. В любом случае понятно, что основная работа заключается в программировании поведения человека-такого как задержка хода, "допустимых" пропусках хода или ошибок без серьезных последствий…
Спасибо тебе за поддержку, если будут еще какие идеи или мысли -пиши!
|
|
|
|
|
|
