Добрый вечер, джентельмены.
Я пытаюсь сделать дамп игрового процесса с помощью Scylla в исследовательских целях. Для обхода защиты внедрил плагин ScyllaHide через x64dbg. Однако столкнулся с проблемой: как только в программе выбираю процесс игры (игра.exe), окно программы автоматически сворачивается. Я могу развернуть его, но через несколько секунд оно снова сворачивается. Несколько раз мне удавалось быстро нажать на кнопку “Dump” после выбора процесса, но каждый раз при этом возникает ошибка дампа.
Судя по всему, античит игры блокирует или скрывает окно, чтобы предотвратить создание дампа, и пока что обойти это не удалось.
Кто-нибудь сталкивался с подобным? Есть ли рабочие способы обойти такую защиту и успешно сделать дамп процесса?
Буду признателен за любую помощь или совет.
Добрый вечер, джентельмены.
Я пытаюсь сделать дамп игрового процесса с помощью Scylla в исследовательских целях. Для обхода защиты внедрил плагин ScyllaHide через x64dbg. Однако столкнулся с проблемой: как только в программе выбираю процесс игры (игра.exe), окно программы автоматически сворачивается. Я могу развернуть его, но через несколько секунд оно снова сворачивается. Несколько раз мне удавалось быстро нажать на кнопку “Dump” после выбора процесса, но каждый раз при этом возникает ошибка дампа.
Судя по всему, античит игры блокирует или скрывает окно, чтобы предотвратить создание дампа, и пока что обойти это не удалось.
Кто-нибудь сталкивался с подобным? Есть ли рабочие способы обойти такую защиту и успешно сделать дамп процесса?
Буду признателен за любую помощь или совет.
Сейчас не дома, но как только приеду — хочу попробовать еще несколько идей, которые пришли в голову:
1. Запустить процесс внутри виртуальной машины (VirtualBox или VMware), создать чистый снапшот до запуска, а затем приостановить ВМ сразу после старта — попробовать получить доступ к процессу до того, как включится защита. Не факт, что сработает, но попробовать стоит.
2. Сразу после запуска попробовать приостановить процесс через x64dbg или Process Hacker — это может временно заморозить защиту и даст возможность подключиться и сделать дамп. При необходимости использовать ручный маппинг через Scylla.
3. Настроить кастомный профиль ScyllaHide: замаскировать IsDebuggerPresent, перехватить NtQueryInformationProcess и возвращать false на отладочные запросы. Также важно, чтобы x64dbg был не просто с инжектом, а с полной интеграцией ScyllaHide при сборке.
4. Попробовать инструменты на уровне ядра — например, дамп физической памяти через HxD или подключение через WinDbg. Также можно использовать DumpIt для съёма всей памяти системы и потом вручную извлечь нужные участки из дампа.
5. Попытаться сделать дамп до запуска защиты — в момент загрузки исполняемого файла. Или использовать Image File Execution Options (IFEO), чтобы временно задержать или перенаправить запуск нужных компонентов.
Если ничего из этого не поможет — даже не знаю, что ещё можно сделать… но надежда умирает последней.
