JavaScript отключён. Чтобы полноценно использовать наш сайт, включите JavaScript в своём браузере.

Гайд GameWer/UdefCore - пиратские античиты

вышел покурить
Пользователь
Статус
Оффлайн
Регистрация
17 Май 2018
Сообщения
387
Реакции[?]
100
Поинты[?]
0
Полезный пост, если решите сделать свой обход или же поиграть с читами на пиратских серверах Alkad.
Все выкладываемое нужно для изучения - не для запуска.

Распакованный билд для изучения:
Пожалуйста, авторизуйтесь для просмотра ссылки.



Снята большая часть обфускации, распакованы строки.
Присутствует 'Call to Calli', не осилил, не мешает изучению.
Если есть желание помочь - в лс.

Распакованный билд для изучения:
Пожалуйста, авторизуйтесь для просмотра ссылки.

Билд не запустится - вт бесполезен.

Сдамплена часть на C# - распакованы строки, вроде малех убрано Proxy Call

Получение стимид идет с этого файла:
"C:\Program Files (x86)\Steam\logs\connection_log.txt"

Что парсит:
Mac адресс
Размер всех жестких дисков(размеры складывает)
Размер оперативной памяти
Название видеокарты
Название процессора
DSID Discord(ид)

Environment:
Код:
Environment.MachineName
Environment.UserName
Environment.Is64BitOperatingSystem
Реестр:
Код:
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\OEMInformation\\", "Model"
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\OEMInformation\\", "Manufacturer"
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion", "ProductName"
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion", "RegisteredOrganization"
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion", "RegisteredOwner"
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion", "SystemRoot"
Отслеживание клавиш
Отдельно отслеживает нажатие по Insert

Парсит все процессы.
Данные, которые получает с процесса:
Название
Путь
Хеш программы
Название окна
Класс окна
Оригинальное название файла

Пропускает процессы, которые находятся в папке Windows/program files
1600122749260.png

Почитать будет полезно думаю, чтобы не совершать подобных ошибок при защите софта от посягательств и возможно какие-то заметки(софт для реверса, способы обхода проверка файла и тд) по реверсу.

Статью буду пополнять по мере нахождение каких-либо файлов, связанные эмулем(исходы/exe без протекта) или если сам вспомню.
Заранее предупреждаю, что на момент создания эмулятора, я:
  • Был плох в создании софта
    Маловато опыта - хуевая проектировка, дизайн кода и тд. Из этого вытекает тяжелая поддержка софта, костылии и все возможные баги в работе.
  • Полностью не умел писать веб-сервер
    Поэтому в софте я использовал pastebin для проверки лицензии и парсинга инфы. Все же лучше, чем каждый раз создавать билд под юзера
  • Не знал ассемблер
    В принципе даже сейчас не знаю, максимум удалить вызов какой-нибудь функции с его параметрами и то с трудом.
Спуфер, который снимал бан примерно на этой версии.
Сейчас не работает, вроде как.
Скачать:
Пожалуйста, авторизуйтесь для просмотра ссылки.
В данной версии лоадер античита был на плюсах, который подгружал основной античит на .NET
Также модуль unmanaged.dll, который проверял exe по хешу

В модуле не было сложно найти код(для изучения длл использовал Ghidra), который это делал, но патчить была проблема
Я решил попытаться создать нативный билд эмулятора и подгружать его через RunPE
Код без проблем нашел, с разными программами все работало, но с гв - нет

Возможные причины для меня были:
  • Лоадер античита был 86x, а сам античит 64x
  • Не уверен, но возможно еще мешала защита взятая из этого
    Пожалуйста, авторизуйтесь для просмотра ссылки.
Решил ковырять сам лоадер античита с помощью все той же Ghidra
Один вечер ковыряния и я наткнулся на примерно такой код:
  • Загрузка Application.dat
  • Какая-то операция
  • Запись Application.dll
  • Какая-то операция
  • Удаление Application.dll
Я уже понял, что мне нужно сделать.
Написал на скорую руку софтец. При запуске софт скачивал из облака сам эмулятор. Записывал его рядом с античитом, как Application.dll, дополнительно повесив на него аттрибут Только чтение. То есть античит теперь при попытке записать Application.dll - не записывал его и подгружал мой подсунутый файл, удалил после подгрузки его, что не давала юзеру моего эмуля узнать мой хитрый способ обхода защиты.
В принципе так просто оказалось.

Сам софт можно скачать по ссылке:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Не помню точно в какой версии был убран полностью лоадер на плюсах и навешен прот Appfuscator.
Решил я снова воспользоваться RunPE, чтобы обойти проверку самого себя в античите(не нужно искать код в .net + обход проверки в unmanaged.dll).
Проблема, которой столкнулся - на софте висел прот Appfuscator. Измененный античит(ака эмулятор) при попытке подгрузить через RunPE просто вылетал.
Решил проблему просто - запускал через RunPE маленькое консольное приложение, которое скачивала и через Assembly.Load подгружал сам эмулятор.
Вообще все это было плохо тем, что можно было спокойно сдампить мою прогу и сделать крэк, на тот момент почти не думал об этом, можно было хоть AntiDump с ConfuserEx запихать, но было честно - похуй)
По данным для бана примерно так же, как у гв.

Получает скрины экрана
Снята защита переменных.
Пожалуйста, авторизуйтесь для просмотра ссылки.

1598533794567.png
 
Последнее редактирование:
Забаненный
Статус
Оффлайн
Регистрация
1 Авг 2019
Сообщения
9
Реакции[?]
1
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Немного не понятна суть данного поста поскольку ты рассказываешь о том как ты обходил шарп, который по твоим словам якобы был на плюсах, хотя на самом деле Gamewer полностью написан на C#.
Тем более какой толк взламывать и удалять проверки когда работает любой тип инжектирования если защита вообще с игрой не работает.
Баны тоже снимаются легко, в инете куча паблик спуферов под Видюху, Проц и Диск, а посмотреть что он берет из реестра можно и без дизассемблеров и дебагеров, суть поста отсутствует как и смысл обхода данной защиты которая таковой не является.
(Пишу из лучших побуждений не пытаясь кого либо задеть или оскорбить, просто говорю то что думаю)
 
вышел покурить
Пользователь
Статус
Оффлайн
Регистрация
17 Май 2018
Сообщения
387
Реакции[?]
100
Поинты[?]
0
Немного не понятна суть данного поста поскольку ты рассказываешь о том как ты обходил шарп, который по твоим словам якобы был на плюсах, хотя на самом деле Gamewer полностью написан на C#.
Я конечно понимаю, что школьникам типа тебя нет толку отвечать. Но думаю стоит, ибо еще один такой гений найдется.
Где ты увидел в моем посте, что античит написан на плюсах?
Чёрным по белому написано:
В данной версии лоадер античита был на плюсах, который подгружал основной античит на .NET
Тем более какой толк взламывать и удалять проверки когда работает любой тип инжектирования если защита вообще с игрой не работает.
Как это связано с эмулятором? Эмулятор - позволял снимать бан, обойти проверку файлов(чтобы играть с убером например), (когда-то был)обход скринов, скрытие и подмена md5 у процов.
Баны тоже снимаются легко, в инете куча паблик спуферов под Видюху, Проц и Диск, а посмотреть что он берет из реестра можно и без дизассемблеров и дебагеров, суть поста отсутствует как и смысл обхода данной защиты которая таковой не является.
Мало того, что я бы людям продавал паблик спуфер, да еще его нужно было найти.
Еще юзеру дополнительно предоставлять отдельный софт, который бы затирал/подменял данные, которые парсит гв.
В итоге: Инструкция и 2 софта спуфера, которые придется постоянно юзать, ибо без эмулятора тебя:
Забанит за подмену файлов
Забанит за запуск приложений(md5 changer уже будет в таком случае 3 софт, который придется класть в пак продажи)
Забанит за наличие читов на скринах(знаю, что подмена скринов не было в последних версиях)

Представляю какая бы ебля ждала мозгов ждала игроков, да и меня.
UPD:
Только что увидел, что ты из школо-тимы Unlimited :D
Да и может сам Королев, любящий поюзать фейк-аккаунты.
 
Последнее редактирование:
Забаненный
Статус
Оффлайн
Регистрация
1 Авг 2019
Сообщения
9
Реакции[?]
1
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Я конечно понимаю, что школьникам типа тебя нет толку отвечать. Но думаю стоит, ибо еще один такой гений найдется.
Где ты увидел в моем посте, что античит написан на плюсах?
Чёрным по белому написано:
1569823041700.png

Как это связано с эмулятором? Эмулятор - позволял снимать бан, обойти проверку файлов(чтобы играть с убером например), (когда-то был)обход скринов, скрытие и подмена md5 у процов.
Ну смотри простой способ обхода этого же:
1. Создаешь библиотеку
2. Пишешь систему хуков или берешь готовую по типу MinHook / Hook++ / HookHelper
3. Хукаешь нужный метод который можно глянуть через API Monitor (нам нужен метод для скринов)
4. При его обработке перехватываешь его и спавнишь MessageBoxA что до нажатия на кнопку OK заморозит текущий поток и геймвер не отправит скрины, у человека будет время отключить визуалы

Способ снятия бана тоже примитивен:
- Процессор, Видеокарта, ЖД ну и что то из реестра, можно найти все что берет в том же API Monitor
[/QUOTE]
Представляю какая бы ебля ждала мозгов ждала игроков, да и меня.
UPD:
Только что увидел, что ты из школо-тимы Unlimited :D
Да и может сам Королев, любящий поюзать фейк-аккаунты.
Ну во первых это все можно уместить в одном приложение если ты не Kaidoz который сначала говорил что ZERO школо сервер, а потом сам присоединился к активной разработке, учитывая что все из Unlimited Team закончили школу то ты ещё и пустослов ибо оскорблять школьниками тех кто не учится в школе не логично, да и ещё ты слегка глуповат имхо если чекнул бы VK под моей авкой понял кто я такой
 

Вложения

вышел покурить
Пользователь
Статус
Оффлайн
Регистрация
17 Май 2018
Сообщения
387
Реакции[?]
100
Поинты[?]
0
Посмотреть вложение 43646


Ну смотри простой способ обхода этого же:
Ты шо тупой или как? Лоадер античита это для тебя: "античит на на плюсах"? Или же ты не знаешь, что такое .Net?
Может быть, ты это имел в виду, когда говорил, что якобы написал чит на плюсах. Написал какой-то лоадер-недоинжектор, накрыл его Enigm'ой и вуаля - чит на плюсах, если следовать твоей логике.
Ну смотри простой способ обхода этого же:
1. Создаешь библиотеку
2. Пишешь систему хуков или берешь готовую по типу MinHook / Hook++ / HookHelper
3. Хукаешь нужный метод который можно глянуть через API Monitor (нам нужен метод для скринов)
4. При его обработке перехватываешь его и спавнишь MessageBoxA что до нажатия на кнопку OK заморозит текущий поток и геймвер не отправит скрины, у человека будет время отключить визуалы
Единственное про что ты сказал - отключение скринов. Про процессы и проверку файлов - ничего.
Да и на секунду представим насколько полезную ты хуйню сказал.
Скрины делаются раз 5-10 минут, ты это думаю должен знать, если решил со мной спорить про гв.
Игрок играет c читами и ему будет постоянно вылетать MessageBox, представляю удовольствие от такой игры.
К слову изначально так и было, убрал, так как это неудобно, как выше скзаал. Да еще вспомним, что любая остановка процесса могла привести к потере соединения с сервером и последующий кик с сервера.
Есть гораздо проще способы, но команда Unlimited их не проходила))
- Процессор, Видеокарта, ЖД ну и что то из реестра, можно найти все что берет в том же API Monitor
Говорит человек, который юзал чужой спуфер и утверждал в беседе, что он снимает бан гв и ДАЖЕ ЕАК)))
А потом кикнули, когда я потребовал пруфы.
Попиздеть про спуфер, чит на плюсах(отрисовка "Unlimited School Edition" не считается за чит) и я могу, но на деле не так все просто.
Ну во первых это все можно уместить в одном приложение если ты не @@Kaidoz который сначала говорил что ZERO школо сервер, а потом сам присоединился к активной разработке
Слова из контекста - не хорошо вырывать. Я про это говорил, когда там постоянно были непонятные движухи с киданием на сервер/плагины или еще что-то(не особо помню) и были адресованы точно не сегодняшней администрации.
учитывая что все из Unlimited Team закончили школу то ты ещё и пустослов ибо оскорблять школьниками тех кто не учится в школе не логично, да и ещё ты слегка глуповат имхо если чекнул бы VK под моей авкой понял кто я такой
Школу-то может и закончили, но уроки прогуливали по русскому. Хотя и то не факт, если учитывать беседу, в которой я был и сколько там было школьников, "делающие" читы и которые "обходили" гв. А после бежали ко мне, чтобы я им помог снять бан(странно, что не к тебе, у тебя спуфер бан гв снимал).
Да и по интеллекту не далеки от школоты. Про VK - то мне, если честно насрать
Вы остаетесь на одном и том же уровне и не смотрите дальше когда Unlimited Team (Justice) идут вперед и исследуют новые языки, учат ассемблер, работают в других сферах, а вы тупо стоите на уровне RUST'a и считаете что вы крутые :-)
Говорит чел, который всем твердил, что ушел из раста, а потом снова начал свои крутые читы продавать для него.
Лично я сразу сказал: "Илья еще тот пиздабол, скоро вернется, ждите".
Да и когда я на уровне Раст сидел? Плагины для него не писал, в раст даже не играю.
Я конечно понимаю у вас какие-то обиды если вы пытаетесь меня задеть в каждом своем посту, ну это скорее связано с недостатком денег в ваших карманах или менее успешной работой в сфере RUST'a, ну или я хз.
Надеюсь ты уже стал успешным, чтобы вернуть Богдану деньги и не просить больше ни у кого по 15 рублей на хост.
Я хотел тебе написать, а ты просто испугался и кинул Захара в чс, хотя я хотел с тобой спокойно поговорить, обсудить рабочие моменты, ну раз ты как ребенок, удачи.
Мне утомительно общаться с дегенератами, да и время - деньги, а тебе видимо заняться нечем. Странно называть меня ребенком, когда тебя звали в дискорд - ты несколько часов отмазывался тем, что у тебя нет места для дискорда, ПАТАМУ ЧТО Я ИГРЫ КАЧАЮ. Даже когда зашел, то молчал и после захода своего дружка-гея только решил поговорить.
По-взрослому сидеть через фейки и говорить, что это не твой аккаунт?

Если тему дальше засирать будешь, то кидаю жалобу за твинк. Если не хватает общения - можешь пообщаться с бомжами в твоем районе.
 
Ты че баклан, дефективный?
Пользователь
Статус
Оффлайн
Регистрация
18 Мар 2019
Сообщения
756
Реакции[?]
64
Поинты[?]
2K
вышел покурить
Пользователь
Статус
Оффлайн
Регистрация
17 Май 2018
Сообщения
387
Реакции[?]
100
Поинты[?]
0
Ты че баклан, дефективный?
Пользователь
Статус
Оффлайн
Регистрация
18 Мар 2019
Сообщения
756
Реакции[?]
64
Поинты[?]
2K
Ты че баклан, дефективный?
Пользователь
Статус
Оффлайн
Регистрация
18 Мар 2019
Сообщения
756
Реакции[?]
64
Поинты[?]
2K
Ты че баклан, дефективный?
Пользователь
Статус
Оффлайн
Регистрация
18 Мар 2019
Сообщения
756
Реакции[?]
64
Поинты[?]
2K
Сверху Снизу