Я пишу античит-программу для видеоигры. Используя CreateToolhelp32Snapshot, я могу получить список открытых процессов. Оттуда я хотел бы найти адрес каждого процесса и прочитать его .exe файл. Хотя это работает для большинства процессов, защищенные процессы запрещают доступ к таким методам, как OpenProcess или GetModuleFileNameEx. Предполагая, что мое приложение запускается от имени администратора, есть ли способ найти адреса защищенных процессов?
Как мне получить доступ к адресу .exe защищенного процесса?
Ответы (1)
Cheat Engine не является защищенным процессом и 99,9% читов тоже. Вы можете проверить сертификат exe в Process Hacker, и вы увидите, что он имеет только подпись кода и не имеет обозначения защищенного процесса.
Если вы не можете получить доступ к памяти читов, это потому, что они защищают ее с помощью драйвера ядра. Вы также должны работать в ядре, если хотите прикоснуться к процессу. Если они каким-то образом создали PP, вам нужно быть в ядре.
Есть много методов пользовательского режима, которые они также могут использовать для защиты, они могут просто перехватить OpenProcess () в каждом запущенном процессе, включая ваш, и вернуть 0, когда вы пытаетесь открыть их процесс.
Вам нужно будет получить копию чит-кода и перепроектировать его, чтобы выяснить, как он защищает себя, после чего вы можете начать удаление или обход этих средств защиты.