вышел покурить
Пользователь
-
Автор темы
- #1
Полезный пост, если решите сделать свой обход или же поиграть с читами на пиратских серверах Alkad.
Все выкладываемое нужно для изучения - не для запуска.
Все выкладываемое нужно для изучения - не для запуска.
Распакованный билд для изучения:
Снята большая часть обфускации, распакованы строки.
Присутствует 'Call to Calli', не осилил, не мешает изучению.
Если есть желание помочь - в лс.
Пожалуйста, авторизуйтесь для просмотра ссылки.
Снята большая часть обфускации, распакованы строки.
Присутствует 'Call to Calli', не осилил, не мешает изучению.
Если есть желание помочь - в лс.
Распакованный билд для изучения:
Билд не запустится - вт бесполезен.
Сдамплена часть на C# - распакованы строки, вроде малех убрано Proxy Call
Пожалуйста, авторизуйтесь для просмотра ссылки.
Билд не запустится - вт бесполезен.
Сдамплена часть на C# - распакованы строки, вроде малех убрано Proxy Call
Получение стимид идет с этого файла:
"C:\Program Files (x86)\Steam\logs\connection_log.txt"
Что парсит:
Mac адресс
Размер всех жестких дисков(размеры складывает)
Размер оперативной памяти
Название видеокарты
Название процессора
DSID Discord(ид)
Environment:
Реестр:
Отслеживание клавиш
Отдельно отслеживает нажатие по Insert
Парсит все процессы.
Данные, которые получает с процесса:
Название
Путь
Хеш программы
Название окна
Класс окна
Оригинальное название файла
Пропускает процессы, которые находятся в папке Windows/program files
"C:\Program Files (x86)\Steam\logs\connection_log.txt"
Что парсит:
Mac адресс
Размер всех жестких дисков(размеры складывает)
Размер оперативной памяти
Название видеокарты
Название процессора
DSID Discord(ид)
Environment:
Код:
Environment.MachineName
Environment.UserName
Environment.Is64BitOperatingSystem
Код:
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\OEMInformation\\", "Model"
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\OEMInformation\\", "Manufacturer"
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion", "ProductName"
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion", "RegisteredOrganization"
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion", "RegisteredOwner"
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion", "SystemRoot"Отдельно отслеживает нажатие по Insert
Парсит все процессы.
Данные, которые получает с процесса:
Название
Путь
Хеш программы
Название окна
Класс окна
Оригинальное название файла
Пропускает процессы, которые находятся в папке Windows/program files
Почитать будет полезно думаю, чтобы не совершать подобных ошибок при защите софта от посягательств и возможно какие-то заметки(софт для реверса, способы обхода проверка файла и тд) по реверсу.
Статью буду пополнять по мере нахождение каких-либо файлов, связанные эмулем(исходы/exe без протекта) или если сам вспомню.
Заранее предупреждаю, что на момент создания эмулятора, я:
Статью буду пополнять по мере нахождение каких-либо файлов, связанные эмулем(исходы/exe без протекта) или если сам вспомню.
Заранее предупреждаю, что на момент создания эмулятора, я:
- Был плох в создании софта
Маловато опыта - хуевая проектировка, дизайн кода и тд. Из этого вытекает тяжелая поддержка софта, костылии и все возможные баги в работе. - Полностью не умел писать веб-сервер
Поэтому в софте я использовал pastebin для проверки лицензии и парсинга инфы. Все же лучше, чем каждый раз создавать билд под юзера - Не знал ассемблер
В принципе даже сейчас не знаю, максимум удалить вызов какой-нибудь функции с его параметрами и то с трудом.
Спуфер, который снимал бан примерно на этой версии.
Сейчас не работает, вроде как.
Скачать:
Сейчас не работает, вроде как.
Скачать:
Пожалуйста, авторизуйтесь для просмотра ссылки.
В данной версии лоадер античита был на плюсах, который подгружал основной античит на .NET
Также модуль unmanaged.dll, который проверял exe по хешу
В модуле не было сложно найти код(для изучения длл использовал Ghidra), который это делал, но патчить была проблема
Я решил попытаться создать нативный билд эмулятора и подгружать его через RunPE
Код без проблем нашел, с разными программами все работало, но с гв - нет
Возможные причины для меня были:
Один вечер ковыряния и я наткнулся на примерно такой код:
Написал на скорую руку софтец. При запуске софт скачивал из облака сам эмулятор. Записывал его рядом с античитом, как Application.dll, дополнительно повесив на него аттрибут Только чтение. То есть античит теперь при попытке записать Application.dll - не записывал его и подгружал мой подсунутый файл, удалил после подгрузки его, что не давала юзеру моего эмуля узнать мой хитрый способ обхода защиты.
В принципе так просто оказалось.
Сам софт можно скачать по ссылке:
Также модуль unmanaged.dll, который проверял exe по хешу
В модуле не было сложно найти код(для изучения длл использовал Ghidra), который это делал, но патчить была проблема
Я решил попытаться создать нативный билд эмулятора и подгружать его через RunPE
Код без проблем нашел, с разными программами все работало, но с гв - нет
Возможные причины для меня были:
- Лоадер античита был 86x, а сам античит 64x
- Не уверен, но возможно еще мешала защита взятая из этого Пожалуйста, авторизуйтесь для просмотра ссылки.
Один вечер ковыряния и я наткнулся на примерно такой код:
- Загрузка Application.dat
- Какая-то операция
- Запись Application.dll
- Какая-то операция
- Удаление Application.dll
Написал на скорую руку софтец. При запуске софт скачивал из облака сам эмулятор. Записывал его рядом с античитом, как Application.dll, дополнительно повесив на него аттрибут Только чтение. То есть античит теперь при попытке записать Application.dll - не записывал его и подгружал мой подсунутый файл, удалил после подгрузки его, что не давала юзеру моего эмуля узнать мой хитрый способ обхода защиты.
В принципе так просто оказалось.
Сам софт можно скачать по ссылке:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Не помню точно в какой версии был убран полностью лоадер на плюсах и навешен прот Appfuscator.
Решил я снова воспользоваться RunPE, чтобы обойти проверку самого себя в античите(не нужно искать код в .net + обход проверки в unmanaged.dll).
Проблема, которой столкнулся - на софте висел прот Appfuscator. Измененный античит(ака эмулятор) при попытке подгрузить через RunPE просто вылетал.
Решил проблему просто - запускал через RunPE маленькое консольное приложение, которое скачивала и через Assembly.Load подгружал сам эмулятор.
Вообще все это было плохо тем, что можно было спокойно сдампить мою прогу и сделать крэк, на тот момент почти не думал об этом, можно было хоть AntiDump с ConfuserEx запихать, но было честно - похуй)
Решил я снова воспользоваться RunPE, чтобы обойти проверку самого себя в античите(не нужно искать код в .net + обход проверки в unmanaged.dll).
Проблема, которой столкнулся - на софте висел прот Appfuscator. Измененный античит(ака эмулятор) при попытке подгрузить через RunPE просто вылетал.
Решил проблему просто - запускал через RunPE маленькое консольное приложение, которое скачивала и через Assembly.Load подгружал сам эмулятор.
Вообще все это было плохо тем, что можно было спокойно сдампить мою прогу и сделать крэк, на тот момент почти не думал об этом, можно было хоть AntiDump с ConfuserEx запихать, но было честно - похуй)
По данным для бана примерно так же, как у гв.
Получает скрины экрана
Получает скрины экрана
Последнее редактирование:
