Гайд GameWer/UdefCore - пиратские античиты

XBalanced · 30 Сен 2019

Kaidoz написал(а):
Скрытое содержимое

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

Kaidoz · 30 Сен 2019

Jacellen написал(а):
по поводу скана dll рядом с процессом хорошая идея .Лайкну даже

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

Kaidoz · 30 Сен 2019

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

Kaidoz · 30 Сен 2019

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

bogdanxui · 30 Сен 2019

snowwhite написал(а):
Скрытое содержимое

Однако, ты как всегда пропизделся, "мега-хуцкер" всея раста, как ты один раз заявил в ДИСКОРДЕ. "Ходите просите деньги у мамки", вот с этого орнул нихуево, человек просит у всех в беседе по 15 рублей на веб-хостинг. Мне интересно, ты вообще из дома выходишь? Тупой овощ, который сидит и только выебывается, ебучий интернет герой. Зубы то восстановил?) Помню пару месяцев назад чел который вышел из машины тебе их выбил :((((
*ПЭСЭ - ГДЕ МОИ МАНИ?

snowwhite · 30 Сен 2019

bogdanxui написал(а):
Однако, ты как всегда пропизделся, "мега-хуцкер" всея раста, как ты один раз заявил в ДИСКОРДЕ. "Ходите просите деньги у мамки", вот с этого орнул нихуево, человек просит у всех в беседе по 15 рублей на веб-хостинг. Мне интересно, ты вообще из дома выходишь? Тупой овощ, который сидит и только выебывается, ебучий интернет герой. Зубы то восстановил?) Помню пару месяцев назад чел который вышел из машины тебе их выбил :((((
*ПЭСЭ - ГДЕ МОИ МАНИ?
Посмотреть вложение 43725

Ну во первых я тебе нихуя не должен, во вторых у меня на руках сотня тысяч и ты это видел, ну и на последок - Попробуй воспользоваться поиском в Гугле по схожим картинкам, пожалуй байт на левый ебальник удался, кст могу твой слить :-)
Ахх да я гуляю стабильно 10-12ч в сутки чего достаточно в отличие от ваших 5м до школы :-)

bogdanxui · 1 Окт 2019

snowwhite написал(а):
Ну во первых я тебе нихуя не должен, во вторых у меня на руках сотня тысяч и ты это видел, ну и на последок - Попробуй воспользоваться поиском в Гугле по схожим картинкам, пожалуй байт на левый ебальник удался, кст могу твой слить :-)
Ахх да я гуляю стабильно 10-12ч в сутки чего достаточно в отличие от ваших 5м до школы :-)

ну это хорошо, даже очень, что ты можешь дойти от школы до дома быстрее чем за 5м! Только гуляешь ты час в день, от силы) ибо выебываешься ты от ПК 24/7. Беда..

bogdanxui · 1 Окт 2019

О да, свершилось

GodOfRust · 2 Окт 2019

Бывает, ну по-моему это не проблема..

Kaidoz · 23 Ноя 2019

Переквалифицировал тему из 'истории эмулятора' во что-то типа пособие по GameWer.
Время от времени информация будет пополняться. В данный момент прикреплен распакованный билд GameWer для изучения.

nvf1976 · 24 Ноя 2019

Kaidoz написал(а):
Переквалифицировал тему из 'истории эмулятора' во что-то типа пособие по GameWer.
Время от времени информация будет пополняться. В данный момент прикреплен распакованный билд GameWer для изучения.

Здарова, знаешь бесплатный чит на пиратку rust?

Kaidoz · 24 Июл 2020

Добавил 4.0.9.0

Kaidoz · 15 Сен 2020

Обновил информацию по гв, может кто-то узнает новое в античите, в котором почти ничего не поменялось за 3 года.

SaD148800 · 15 Сен 2020

значит бан возможно снять?

Kaidoz · 15 Сен 2020

SaD148800 написал(а):
значит бан возможно снять?

ну, смотря, как к этому делу подойти

Dark_Bull · 16 Сен 2020

Версия 4.0.15.0
Файл исправен, вырезана проверка целостности, анти-отладка, все строки расшифрованы. Рабочий файл на 16.09.2020:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Как починить самому:
В последних версиях строки передаются побайтово с нативного лоадера, и выглядят вот так:

Чтобы их выловить, можно использовать 2 варианта:
1-ый(самый легкий) - это найти функцию расшифровки этих байтов в самом нативном лоадере, а потом просто их вставить как на первом фото.
2-ой - пропатчить на точке входа в clr.dll наш .NET файл прямо байтами на File.WriteAllBytes(...) самую первую функцию. Я разбирал уже такой метод.
Вот кстати места, можете составить паттерн и найти это место, ну или RVA = 0x1D4B;
И тут можете уже получить и аргументы в .NET файл, а также его расшифроку(самого файла .NET, начиная с MZ..)

Далее, когда вы уже успешно подготовили файл, сдампили его(из окна дампа сохранили байты), когда уже подставили аргументы(как на 1-ом фото), тогда просто пошагово выполняете дешифровку, и копируете расшифрованные строки из окна "Локальные переменные", т.к. все эти байты сразу заменятся на полные строки. Интуитивно разобраться на сложно
Далее все поля нужно проинициализировать этими строками. К сожалению, этот скрипт потерялся, но регулярками это в notepad++ делается минут за 30-40)
Второй скрипт, который позволяет автоматически заменить все ldsfld опкоды на ldstr:

C#:

public class OnlyOneFieldKill
    {
        private ModuleDef moduleDef { get; }
        private Assembly assemblyDef { get; }
        public OnlyOneFieldKill(ref ModuleDef moduleDef, ref Assembly assemblyDef)
        {
            this.moduleDef = moduleDef;
            this.assemblyDef = assemblyDef;
            Decrypt();
        }

        void Decrypt()
        {

            foreach (var typeDef in moduleDef.GetTypes())
            {
                foreach (var methodDef in typeDef.Methods)
                {

                    if (methodDef.Body == null) continue;
                    for (int i = 0; i < methodDef.Body.Instructions.Count(); i++)
                    {
                        if (methodDef.Body.Instructions[i].OpCode.Name == "ldsfld")
                        {
                            var operand_ldsfld = methodDef.Body.Instructions[i].Operand as FieldDef;
                            if (operand_ldsfld != null)
                            {
                                if (operand_ldsfld.FullName.Contains("ArgValue"))
                                {
                                    string fieldString = GetStringFromField(operand_ldsfld.Name);
                                    methodDef.Body.Instructions[i] = new Instruction(OpCodes.Ldstr, fieldString); ;
                                    methodDef.Body.OptimizeBranches();
                                    methodDef.Body.SimplifyBranches();
                                }
                            }
                        }
                    }
                }
            }
        }

        string GetStringFromField(string fieldName)
        {
            return (string)assemblyDef.GetModule("Alkad.exe").GetType("GameWer.DeProtectType").GetField(fieldName).GetValue(null);
        }

        
    }

Там есть баг после этого скрипта, в нескольких методах нужно пофиксить 3-4 прыжка br ручками, но это дело 2-ух минут.
Результат:

Kaidoz · 16 Сен 2020

Dark_Bull написал(а):
Версия 4.0.15.0
Файл исправен, вырезана проверка целостности, анти-отладка, все строки расшифрованы. Рабочий файл на 16.09.2020:
Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.

Как починить самому:
В последних версиях строки передаются побайтово с нативного лоадера, и выглядят вот так:

Посмотреть вложение 99492

Чтобы их выловить, можно использовать 2 варианта:
1-ый(самый легкий) - это найти функцию расшифровки этих байтов в самом нативном лоадере, а потом просто их вставить как на первом фото.
2-ой - пропатчить на точке входа в clr.dll наш .NET файл прямо байтами на File.WriteAllBytes(...) самую первую функцию. Я разбирал уже такой метод.
Вот кстати места, можете составить паттерн и найти это место, ну или RVA = 0x1D4B;
И тут можете уже получить и аргументы в .NET файл, а также его расшифроку(самого файла .NET, начиная с MZ..)
Посмотреть вложение 99494
Далее, когда вы уже успешно подготовили файл, сдампили его(из окна дампа сохранили байты), когда уже подставили аргументы(как на 1-ом фото), тогда просто пошагово выполняете дешифровку, и копируете расшифрованные строки из окна "Локальные переменные", т.к. все эти байты сразу заменятся на полные строки. Интуитивно разобраться на сложно
Далее все поля нужно проинициализировать этими строками. К сожалению, этот скрипт потерялся, но регулярками это в notepad++ делается минут за 30-40)
Второй скрипт, который позволяет автоматически заменить все ldsfld опкоды на ldstr:

C#:

public class OnlyOneFieldKill { private ModuleDef moduleDef { get; } private Assembly assemblyDef { get; } public OnlyOneFieldKill(ref ModuleDef moduleDef, ref Assembly assemblyDef) { this.moduleDef = moduleDef; this.assemblyDef = assemblyDef; Decrypt(); } void Decrypt() { foreach (var typeDef in moduleDef.GetTypes()) { foreach (var methodDef in typeDef.Methods) { if (methodDef.Body == null) continue; for (int i = 0; i < methodDef.Body.Instructions.Count(); i++) { if (methodDef.Body.Instructions[i].OpCode.Name == "ldsfld") { var operand_ldsfld = methodDef.Body.Instructions[i].Operand as FieldDef; if (operand_ldsfld != null) { if (operand_ldsfld.FullName.Contains("ArgValue")) { string fieldString = GetStringFromField(operand_ldsfld.Name); methodDef.Body.Instructions[i] = new Instruction(OpCodes.Ldstr, fieldString); ; methodDef.Body.OptimizeBranches(); methodDef.Body.SimplifyBranches(); } } } } } } } string GetStringFromField(string fieldName) { return (string)assemblyDef.GetModule("Alkad.exe").GetType("GameWer.DeProtectType").GetField(fieldName).GetValue(null); } }

Там есть баг после этого скрипта, в нескольких методах нужно пофиксить 3-4 прыжка br ручками, но это дело 2-ух минут.
Результат:
Посмотреть вложение 99495

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

Nikita22821 · 7 Ноя 2020

Привет, прошу вас мне помочь. Я уже словил бан с UDefCore, как его можно обойти?
Спуферы не помогают. Надеюсь на ваш скорейший ответ заранее спасибо!

senswhite · 25 Ноя 2020

Nikita22821 написал(а):
Привет, прошу вас мне помочь. Я уже словил бан с UDefCore, как его можно обойти?
Спуферы не помогают. Надеюсь на ваш скорейший ответ заранее спасибо!

помянем

wramik · 25 Ноя 2020

Kaidoz написал(а):
Пропускает процессы, которые находятся в папке Windows/program files

типа инжектор можно запускать из програм файлс и не будет детекта?