-
Автор темы
- #1
Салют, недавно курил FaceIT, чекал разную дичь, нашел кста один обход защиты, но потом слил фасикам (ожидал, что заплатят, а они спасибо спасибо, но идите на хер). Решил сделать макросы. Почекал, и понял, что mouse_event и производные не работают (фейсит сразу ловит эту дичь и говорит мол AHK и тд, отключи). Поэтому я решил написать свои (правда это гениально =) ?)
Суть в том, что фейсит ловит именно вызовы WinAPI (mose_event и другие производные от NtUserSendInput) если это не прямое подключение (спасибо кс за то, что есть у нее такая четкая функция, как выключение прямого подключения).
Для того, чтобы фейсит не понял, что мы юзаем эти функции, достаточно написать свои на асме (для этого можно просто пореверсить нужные библиотеки идой).
!WARNING!
Данный код работает ток если у вас выключено прямое подключение мыши
Вот реализация (mouse_event -> my_me. NtUserSendInput a,k, SendInput -> my_ntui)
Так что можете ее юзать (работает, чекал самостоятельно, не банит, но фасику отписал, правда хз как они это профиксят, ток если сами сиськолы будут чекать)
p,s,
p.p.s.
А лучше играйте честно и помогайте разрабам античитов улучшать их продукты =)
Или купите консоль, нахер пекарню.
UPD
Фейсит профиксил эту багу. Теперь на сиськолах чита не сделаешь, ток через ядро что-то мутить.
Суть в том, что фейсит ловит именно вызовы WinAPI (mose_event и другие производные от NtUserSendInput) если это не прямое подключение (спасибо кс за то, что есть у нее такая четкая функция, как выключение прямого подключения).
Для того, чтобы фейсит не понял, что мы юзаем эти функции, достаточно написать свои на асме (для этого можно просто пореверсить нужные библиотеки идой).
!WARNING!
Данный код работает ток если у вас выключено прямое подключение мыши
Код:
.code
my_ntui proc
mov r10, rcx
mov eax, 107Fh
push rbx
mov rbx, 7FFE0308h
mov rbx, [rbx]
test bl, 1
pop rbx
jnz test_result
syscall
ret
test_result:
int 2Eh
ret
my_ntui endp
my_me proc
mov rax, rsp
sub rsp, 58h
and dword ptr [rax - 38h], 0
and dword ptr [rax - 20h], 0
mov [rax-2Ch], r8d
mov r8d, 28h
mov [rax-24h], ecx
mov [rax-30h], edx
lea rdx, [rsp + 58h - 38h]
mov [rax-28h], r9d
mov rax, [rsp+58h+28h]
lea ecx, [r8-27h]
mov [rsp+58h-18h], rax
call my_ntui
nop dword ptr [rax+rax+00h]
add rsp, 58h
ret
my_me endp
endТак что можете ее юзать (работает, чекал самостоятельно, не банит, но фасику отписал, правда хз как они это профиксят, ток если сами сиськолы будут чекать)
C++:
#include <Windows.h>
//extern "C" __int64 my_ntui(_int64, int*);
extern "C" __int64 my_ntui(UINT cInputs,LPINPUT pInputs,int cbSize);
extern "C" void my_me(DWORD dwFlags, DWORD dx, DWORD dy, DWORD dwData, ULONG_PTR dwExtraInfo);
int main()
{
while(true)
{
if(GetAsyncKeyState(VK_MENU))
{
INPUT Input = { 0 };
Input.type = INPUT_MOUSE;
Input.mi.dwFlags = MOUSEEVENTF_MOVE | MOUSEEVENTF_ABSOLUTE;
Input.mi.dx = rand() % 10000;
Input.mi.dy = rand() % 10000;
my_ntui(1, &Input, sizeof(INPUT));
//my_me(MOUSEEVENTF_MOVE | MOUSEEVENTF_ABSOLUTE, rand() % 10000, rand() % 10000, 0, 0);
Sleep(500);
}
}
}
p.p.s.
Для валоранта нужен RAW Input.
Чтобы все это реализовать, достаточно сделать свой девайс (шоб ничего не детектилось можно также заюзать самописный апи)
Чтобы все это реализовать, достаточно сделать свой девайс (шоб ничего не детектилось можно также заюзать самописный апи)
Пожалуйста, авторизуйтесь для просмотра ссылки.
А лучше играйте честно и помогайте разрабам античитов улучшать их продукты =)
Или купите консоль, нахер пекарню.
UPD
Фейсит профиксил эту багу. Теперь на сиськолах чита не сделаешь, ток через ядро что-то мутить.
Последнее редактирование:
