Mytic de retour avec un petit cadeau :p ( P.M.A )

Mytic · Message par **Mytic** » jeu. 11/juin/2009 21:57

Bonjour,
Alors comme ça fait un bail que je n’ai donné signe de vie dans le forum, je me suis dit que ça serai un peu déplacer de rentrer les mains vides :p
Donc, je vous ai apporté un petit programme que j’avais fait il y’a un bon moment déjà => nommé PMA ( Process Memory Attack )
C’est quoi ce truc ???
C’est un programme qui permet de modifier les zones mémoires d’un processus en cours d’exécution, et par exemple de faire un DUMP ou le figé, voir sa structure en mémoire, etc etc..
Téléchargeable ici : ICI

(Programme pédagogique)

Un Mega exemple en Images :

Ah , je vous signale que ce n'est qu'une Beta, il manque des fonctionnalités..

En tout cas, ça peut servir à faire des Tcheats , ou bien a figer un jeu en attendant de finir de manger pour le débloquer après, ou modifier son score

etc..

Jacobus · Message par **Jacobus** » jeu. 11/juin/2009 23:13

Pas mal. On peut aussi accessoirement bousiller une protection/évaluation...

Anonyme · Message par **Anonyme** » jeu. 11/juin/2009 23:20

Pas forcement , ton programme permet il d'avoir l'adresse mémoire d'un offset en dur dans le programme ? pour le modifier définitivement par exemple ?
sinon bon boulot

djes · Message par **djes** » jeu. 11/juin/2009 23:44

Ca peut être utile, en plus ça a l'air simple

Maintenant, je ne sais pas si je peux avoir confiance... Est-ce que ce n'est pas risqué d'essayer un truc compilé par quelqu'un qui fait ce genre de programme?

Mytic · Message par **Mytic** » ven. 12/juin/2009 0:13

Jacobus : Merci, on peut quasiment tout faire puisqu'on peut éditer le programme comme s'il était un fichier dans le Disque dure.

Cpl.Bator : ça dépend des compilateurs ! car il y'a des programmes qui sont protégés [ modification des offsets à chaque démarrage ] , et d'autres non ! comme ceux compilés par PureBasic ! il suffit de refaire le test pour voir que c'est toujours la même adresse !

djes : ben.. je suis ancien dans ce forum, et je n'ai jamais fait de mal à quelqu'un

! en plus il suffit de voir la taille du programme , il fait 50 Ko, et donc s'il contenait un virus ou un trojan, il pèserait bien plus !
Et moi même je suis un maniaque de la sécurité, je ne fait même pas confiance aux antivirus ! puisque j'ai un antivirus (Kaspersky Internet security ) et j'ai en plus bloqué tous les accès au registre et aux zones critiques , même les injections entre processus ! Tout doit passer par moi, et être valider ( je sais c'est fatiguant ! mais bon -_- )
Sinon j'ai donné un screenshoot du Programme

, mais bon, je comprend ta crainte, moi aussi j'aurai fait pareil

Merci a vous tous d'avoir pris de votre temps à voir/lire ce post

Backup · Message par **Backup** » ven. 12/juin/2009 1:19

Mytic a écrit : Cpl.Bator : ça dépend des compilateurs ! car il y'a des programmes qui sont protégés [ modification des offsets à chaque démarrage ] , et d'autres non ! comme ceux compilés par PureBasic ! il suffit de refaire le test pour voir que c'est toujours la même adresse !

ma librairie 'Hacker lib' sert justement a creer un prg en purebasic qui va refaire
directement ce que le prg de Mytic permet de faire apres recherche !!

ce que Mytic a fait, c'est comme "Cheat engine"

lorsque j'ai fait ma librairie 'Hacker lib' au depart je voulais faire ce genre de prg !
mais il me manque une info de base , qui est comment connaitre l'adresse de debut et de fin d'un process et sa taille !! ?

du coup ma lib ne fonctionne qu'avec l'aide d'un prg comme celui de Mytic ou 'Cheat engine' , (il y a un autre prg connu qui fait ça aussi , mais j'ai oublié le nom ..) <---- MemHack

quoiqu'il en soit grand Bravo a toi mytic .. si t'a des infos sur mes interrogations a propos de connaitre l'adresse du debut et de fin d'un process
voir meme si t'a carrement les procedures toute faite

je pourrai integrer une fonctions de recherche de valeur
dans ma lib

pour rappel ma lib fait ceci :
http://www.purebasic.fr/french/viewtopi ... ght=hacker

ps , je me suis servi de ma lib et de cheat engine pour creer des cheats pour tricher dans Warrock !!!

je recuperai certaines adresses a modifier sur certains site

je n'avais plus qu'a ecrire le prg en purbasic, avec ma lib , pour que les adresses soient modifié au lancement de mon prg suivant l'appuis sur des boutons , je pouvais sauter tres haut , voir a travers les murs , me deplacer tres vite etc ...

les cheat crée en visual basic etaient reperable facile
par la team de warrock , a cause des signatures de Microsoft
mais Purebasic etait completement invisible !!

mieux meme que l'equivalent en C++

en fait ma lib est complementaire de ton prg Mytic

poshu · Message par **poshu** » ven. 12/juin/2009 5:57

Merci de me rappeler son existence Dobro, ça fait un bout de temps que j'ai idée de l'utiliser.

Mytic > Zolie, merci pour le partage

cha0s · Message par **cha0s** » ven. 12/juin/2009 8:26

han c'est mal déjà que j'ai pas beaucoup de temps libre alors si on m'offre des jouets comme sa :s. merci

(a quand une version linux ? ^^')

TazNormand · Message par **TazNormand** » ven. 12/juin/2009 9:59

Mytic a écrit : djes : ben.. je suis ancien dans ce forum, et je n'ai jamais fait de mal à quelqu'un ! en plus il suffit de voir la taille du programme , il fait 50 Ko, et donc s'il contenait un virus ou un trojan, il pèserait bien plus !
Et moi même je suis un maniaque de la sécurité, je ne fait même pas confiance aux antivirus ! puisque j'ai un antivirus (Kaspersky Internet security ) et j'ai en plus bloqué tous les accès au registre et aux zones critiques , même les injections entre processus ! Tout doit passer par moi, et être valider ( je sais c'est fatiguant ! mais bon -_- )
Sinon j'ai donné un screenshoot du Programme
, mais bon, je comprend ta crainte, moi aussi j'aurai fait pareil

C'est pas pour t'accuser de quoi que ce soit, mais juste pour dire que les gens qui ont de mauvaises intentions ne le montrent pas sur leur "visage".

De même, c'est pas parce que ton EXE fait 50 ko qu'il ne contient pas de virus. Le but d'un virus n'est pas de faire 15 mo non plus.

Quoique si tu essaie d'en développer un en .NET

Néanmoins, superbe utilitaire, félicitations et surtout merci.

Ar-S · Message par **Ar-S** » ven. 12/juin/2009 11:26

Salut Mytic, sympa de voir ton pseudo par ici

Et merci pour ce beau cadeau ! C'est clair qu'il fait penser à MemHack, cheatEngine et autre, sauf qu'il fait 50 ko ;D et qu'il est portable.
En gros je pense que je vais l'adopter !

Reste à lui implémenter un sniffer reseau pour freezer/envoyer/modifier des paquets afin de pousser le vice sur les MMOrpg par exemple ^^
(comme le soft WPE pour wow)

Petite question, ne l'ayant pas testé pour le moment, y a t il plus de 2 filtres ? (j'espère) car sur le screenshot et dans ton tuto on voit filtre 1 et 2 uniquement.

Backup · Message par **Backup** » ven. 12/juin/2009 13:56

Ar-S a écrit :
Reste à lui implémenter un sniffer reseau pour freezer/envoyer/modifier des paquets afin de pousser le vice sur les MMOrpg par exemple ^^
(comme le soft WPE pour wow)

pas besoin !! si tu avait lu ce que j'ai ecris tu l'aurai compris

avec ma lib , et le prg de Mytic ou cheat engine ou memhack , tu recherche
la valeur a changer pendant l'execution du jeux !!

puis lorsque tu as l'adresse de la variable a modifier
tu te fait un cheat grace a ma lib !!

ensuite tu lance ton jeux en reseau , et tu active le cheat créé avec ton purebasic et Hacker lib

et oui ! ça marche sur Warrock, alors surement sur tout type de jeux !!
le fait qu'il soit en reseau ne change rien , lorsque tu modifie ton prg en local
la modification est transmise au serveur ,et celui ci crois par exemple
que tu te trouve a la coordonée 100,100,100 <-- 100 en hauteur, tu vole !!
et le serveur te met a cette coordonée, sans broncher !!

car pour certains jeux (comme warrock) le fait d'etre a 100 en hauteur est possible , lorsque tu te trouve dans un helicop !!!

le serveur ne verifie pas si tu te trouve effectivement dans l'helicop !
c'est pour ça que lorsque tu lui dit que ton perso se trouve a 100 de hauteur
ben le serveur le met a cette hauteur !!

Ar-S · Message par **Ar-S** » ven. 12/juin/2009 14:14

Les 2 fonctions ne sont pas tout à fait pareil je pense.
Le truc avec un sniffer de packet c'est que par exemple, tu agis de la même manière que pour la mémoire mais ça te permet de capturer par exemple le paquet que le pc reçoit lorsque tu balances un sort A par exemple. Ensuite tu lance un autre sort B et tu vois la différence entre les 2 packets. Tu repères donc quel partie en HEX représente tel sort..
Tu peux donc ensuite imposer un filtre qui va faire en sorte que lorsque tu lances le sort A ce soit le sort B qui s'exécute.

Octavius · Message par **Octavius** » ven. 12/juin/2009 17:05

Mmmmh...

Je n'ai pas pu résister à l'envie d'essayer ce programme sur un jeu, malheureusement je n'ai pas réussi à le faire marcher, j'ai essayer de chercher mon score et le programme ne trouve rien.

Remarque: Pour aller sur le PMA je quitte le mode plein écran avec Alt+TAB, peut-être qu'une partie de la ram est libérée à ce moment-là ?

Backup · Message par **Backup** » ven. 12/juin/2009 18:39

Ar-S a écrit :Les 2 fonctions ne sont pas tout à fait pareil je pense.
Le truc avec un sniffer de packet c'est que par exemple, tu agis de la même manière que pour la mémoire mais ça te permet de capturer par exemple le paquet que le pc reçoit lorsque tu balances un sort A par exemple. Ensuite tu lance un autre sort B et tu vois la différence entre les 2 packets. Tu repères donc quel partie en HEX représente tel sort..
Tu peux donc ensuite imposer un filtre qui va faire en sorte que lorsque tu lances le sort A ce soit le sort B qui s'exécute.

oui mais ce que tu ne comprends pas, c'est que tes paquets ils sont dans ta ram !!

donc tu fait ta recherche et modif comme s'il s'agissait d'un prg en local !!

ça marchait avec Warrock en RESEAU !!

Mytic · Message par **Mytic** » ven. 12/juin/2009 19:39

Dobro :
En fait, c’est un peu plus compliqué que ça !
On ne peut pas cerner un processus avec une adresse de départ et une de fin !
La gestion des processus se fait via une pagination, donc le processus est divisé en plusieurs pages, et qui ne sont pas forcement suivies dans la Ram ! Ce qui veux dire que entre une page et l’autre il y’a d’autre processus !
Et ce n’est pas tout ! Un processus peut être lié à des DLL ou d’autres processus, et donc il faut chercher et lister tous les modules concernés.
Quand j’aurai plus de temps, j’écrirai un Code qui explique tout ça en détail.

cha0s :
Pour créer une version Linux, il faudra refaire tout le programme ! Puisqu’il est basé sur les API Windows [une programmation Bas niveau, Donc non portable]

Ar-S :
Deux Filtres sont largement suffisants pour trouver une adresse ! C’est vrai que dans certains cas plus de filtres simplifierait la tache, mais c’est très rare de tomber sur un tel cas.
Pour le sniffer de packets je suis entrain de préparer un.

TazNormand : Je comprend parfaitement, mais ce que je voulais dire, c’est que vu les options et l’interface, 50 Ko c’est déjà très peu.. Mais c’est bien de toujours se méfier avant d’exécuter un programme.
En plus c’est simple de découvrir si un programme est virulent ou pas ! Il suffit de trouver ces symptômes : Un programme qui accède au registre, qui ajoute une clé d’auto démarrage, ou qui accède au dossier Démarrage, un programme qui n’a pas de fenêtre et donc qu’un processus furtif, un programme qui tante d’injecter du code dans un autre processus, un programme qui ouvre un port ou qui établit une connexion réseau, etc.. etc..
Tous ces signes le PMA ne les a pas ! L’injection oui, puisqu’il modifie les processus dans la ram (normal

).

Octavius :
Il faut trouver le type de l’adresse pointée ( char , int , long , etc. ) sinon le résultat sera aléatoire.
Et des fois, dans certains jeux, une donnée est représentée sur deux adresse.

Merci à vous tous