Обход фроста (source)

[Dimedrol]

// Пишем модуль, так будет проще и легче
HMODULE forst = GetModuleHandle("frostcollector.dll");

//Hook frostFunc 3EC0
DWORD frostFunc = (DWORD)forst + 0x3EC0;

/* Теперь от неё будем плясать по остальным функциям, кроме некоторых */

DWORD ADDRES_fors0 = frostFunc + 0x15;
DWORD RETURN_fors0 = ADDRES_fors0 + 0x5;

DWORD ADDRES_fors1 = (DWORD)forst + 0x3EA9;
DWORD RETURN_fors1 = ADDRES_fors1 + 0x6;

DWORD ADDRES_fors2 = frostFunc + 0xBA;
DWORD RETURN_fors2 = ADDRES_fors2 + 0x3;

DWORD ADDRES_fors3 = (DWORD)forst + 0x8E5B;
DWORD RETURN_fors3 = ADDRES_fors3 + 0x3;

__declspec(naked)void noob0()
{
_asm
{
mov     ecx, [eax]
leave
jmp [RETURN_fors0]
}
}

__declspec(naked)void noob1()
{
_asm
{
mov     ecx, [eax]
leave
jmp [RETURN_fors1]
}
}

__declspec(naked)void noob2()
{
_asm
{
mov     ecx, [eax]
leave
jmp [RETURN_fors2]
}
}

__declspec(naked)void noob3()
{
_asm
{
mov     ecx, [eax]
leave
jmp [RETURN_fors3]
}
}

void Frost_Fucking()
{
DetourCreate((PBYTE)ADDRES_fors0,(PBYTE)noob0,5);
DetourCreate((PBYTE)ADDRES_fors1,(PBYTE)noob1,5);
DetourCreate((PBYTE)ADDRES_fors2,(PBYTE)noob2,5);
DetourCreate((PBYTE)ADDRES_fors3,(PBYTE)noob3,5);
}

Пишем это в BOOL WINAPI DllMain
CreateThread(0,0,(LPTHREAD_START_ROUTINE)Frost_Fucking, 0, 0, 0) ;

А теперь рассмотрим его + и -.
+ не выгружает;
+ не банит или банит я не знаю (за палевные инжекторы).
- работает только на 32 битке, т.к. при инжекте до запуска фроста он крашит;
- не работает с лоадером от Некиты.
Минусы огромные и большие.

В и О:
В. Где взял?
О. На просторах форума/dgs

В. Зачем выложил?
О. Для развития пользователей.

В. Это мой обход, я его нашол.
О. Иди лесом, тут твоего нету ничего.
​

To be continued ...