Ищу кодера для написания античита под пиратский раст

[DredBull]

не дешевое удовольствие так-то это))

Дешевле Васю из 9 Г попросить что-бы выезжал бить ебальники кто играет с читами

 

[timoxa5651]

Face Injector запускают после запуска игры, а вот античиты наоборот до запуска игры.

ну вообще никакой адекватный инжектор не запускается во время игры, но в случае фейса просто ловим загрузку их драйвера и отправляем на сервер(если делать нехуй можно и авто-дампер самого драйвера приебашить))))

Вопрос. Ты будешь сканировать сегменты RWX памяти каждую секунду? Как ты будешь понимать модифицированы ли они? А если заморозить поток на проверку сегментов памяти? (это же usermode так то)

вообще в играх обычно не существует RWX памяти, которая просто валяется, поэтому если у тебя кусок в 4 мб ты можешь с вероятностью в 80% сказать что это читер, поэтому дампаешь это, загружаешь на сервер и анализируешь(если это чет легитное - засигай и добавь в вайтлист)(но это случается ну ооочень редко, можешь банить на 3 дня, как, например делает еак). Заморозка античита это уже другая проблема(но фиксится максимально легко отправкой на сервер heartbeatа каждые N секунд)

Драйвер можно выгружать либо через WKE, либо залезть в сурсы и самому написать высвобождение драйвера. Немного не понял прикола про IP адрес. Кстати, а если память будет допустим writable only? что ты тогда будешь делать? ведь тогда античит будет триггериться, разве не так?

IP это не IP адрес, а Instruction Pointer(т.е. инструкция, которая будет выполняться следующей, т.е. что сейчас выполняет поток). Если ты нашел не-executable память, но там выполняется код, то 1)изменен NX(NoExecute) флаг в PTE(большинство керанал инжекторов, и фейс первый тоже) 2) выключен DEP(тоже проверяется), или если ты нашел что этой памяти вообще не существует(Unlink VAD) тоже отправляем на сервер

Недавно запущенные приложения - обычные трейсера, уже давно на гитхабе лежит сурс для очистки всех трейсеров.

"всех"?

 

[sizzeR1337]

ну вообще никакой адекватный инжектор не запускается во время игры, но в случае фейса просто ловим загрузку их драйвера и отправляем на сервер(если делать нехуй можно и авто-дампер самого драйвера приебашить))))

Подгружаешь измененный драйвер фейса буквально в пару байт с новым названием. Теперь ты его никак не отловишь.

вообще в играх обычно не существует RWX памяти, которая просто валяется, поэтому если у тебя кусок в 4 мб ты можешь с вероятностью в 80% сказать что это читер, поэтому дампаешь это, загружаешь на сервер и анализируешь(если это чет легитное - засигай и добавь в вайтлист)(но это случается ну ооочень редко, можешь банить на 3 дня, как, например делает еак).

На самом деле звучит очень логично, так что я тут никак не могу поспорить с тобой. Хотя если чит делает турк, то вполне возможно, что он замутит изменение флагов на рандомные адреса, тогда твой сервак засрется рандомными адресами и ты будешь анализировать каждый (на что уйдет кучу времени) или просто забьешь.

Заморозка античита это уже другая проблема(но фиксится максимально легко отправкой на сервер heartbeatа каждые N секунд)

Эмуляцию heartbeat не особо сложно написать имея при себе Fiddler или HTTP Debugger и любую тулзу написанную на C#, Python и прочей дичи.

IP это не IP адрес, а Instruction Pointer(т.е. инструкция, которая будет выполняться следующей, т.е. что сейчас выполняет поток)

Честно, я впервые вижу такое сокращение поинтера. Сорри.

Если ты нашел не-executable память, но там выполняется код, то 1)изменен NX(NoExecute) флаг в PTE(большинство керанал инжекторов, и фейс первый тоже) 2) выключен DEP(тоже проверяется), или если ты нашел что этой памяти вообще не существует(Unlink VAD) тоже отправляем на сервер

У тебя все фиксится путем отправки на сервер. А если пропатчу отправку адресов (ну или что ты там отправляешь) на сервер кроме heartbeat? Получается ты никак не сможешь проверить, а значит и не спалишь меня. Тоже самое работает и с отправкой RWX памяти на сервер.

 

[timoxa5651]

Подгружаешь измененный драйвер фейса буквально в пару байт с новым названием. Теперь ты его никак не отловишь.

чел... если ты изменишь "пару байт" в подписанном драйвере, слетит подпись, а значит он больше не загрузится

На самом деле звучит очень логично, так что я тут никак не могу поспорить с тобой. Хотя если чит делает турк, то вполне возможно, что он замутит изменение флагов на рандомные адреса, тогда твой сервак засрется рандомными адресами и ты будешь анализировать каждый (на что уйдет кучу времени) или просто забьешь.

"замутит изменение флагов на рандомные адреса" че. Я говорю ты вайтлистишь некоторые(их 0), остальные банишь.

Эмуляцию heartbeat не особо сложно написать имея при себе Fiddler или HTTP Debugger и любую тулзу написанную на C#, Python и прочей дичи.

У тебя все фиксится путем отправки на сервер. А если пропатчу отправку адресов (ну или что ты там отправляешь) на сервер кроме heartbeat? Получается ты никак не сможешь проверить, а значит и не спалишь меня. Тоже самое работает и с отправкой RWX памяти на сервер.

чел.......................................... какой Fiddler или HTTP Debugger ахахахахаха, античит на хттп ахахахаххаха. случаем эмулятор еака не напишешь?

Честно, я впервые вижу такое сокращение поинтера. Сорри.

ну он вроде так только и называется(регистр rip/eip)

 

[sizzeR1337]

чел... если ты изменишь "пару байт" в подписанном драйвере, слетит подпись, а значит он больше не загрузится

Так фейс их ммапит, так что достаточно самоподписать тестовой WDKшной подписью.

"замутит изменение флагов на рандомные адреса" че. Я говорю ты вайтлистишь некоторые(их 0), остальные банишь.

Ты такое не говорил. Ты говорил что дампишь участок RWX памяти в 4 мб и отсылаешь на сервер для анализа. Ты сказал, что можно добавить легитные участки памяти в вайт лист (которые на сервер не будут отсылаться)

чел.......................................... какой Fiddler или HTTP Debugger ахахахахаха, античит на хттп ахахахаххаха. случаем эмулятор еака не напишешь?

И что такого в античите, который использует протокол HTTP(S)? Easy Anti-Shit, FaceIT, BattlEye (хотя насчет последнего не уверен) используют HTTPS запросы. Что в них плохого? Конечно выбор может упасть на WSS:// но тот же Fiddler тоже может работать с ними, как и HTTPS Debugger (правда только читать).

ну он вроде так только и называется(регистр rip/eip)

да просто ассоциация как то сразу упала на ip адреса. я не отрицаю что ошибся)

 

[timoxa5651]

Так фейс их ммапит, так что достаточно самоподписать тестовой WDKшной подписью.



Ты такое не говорил. Ты говорил что дампишь участок RWX памяти в 4 мб и отсылаешь на сервер для анализа. Ты сказал, что можно добавить легитные участки памяти в вайт лист (которые на сервер не будут отсылаться)



И что такого в античите, который использует протокол HTTP(S)? Easy Anti-Shit, FaceIT, BattlEye (хотя насчет последнего не уверен) используют HTTPS запросы. Что в них плохого? Конечно выбор может упасть на WSS:// но тот же Fiddler тоже может работать с ними, как и HTTPS Debugger (правда только читать).



да просто ассоциация как то сразу упала на ip адреса. я не отрицаю что ошибся)

винда(не в тест режиме) не загрузит драйвер, который не подписан. Если ты не знал, мап драйвера происходит через уязвимости в других, подписанных драйверах(кдмаппер - интел какой то, gdrv - гигабайт и прочее)
EAC, battleeye не использюет http(s)(за исключением серверной части, но это вообще нас не касается), передача информации каждые пару секунд через http не самый оптимизированный способ. В любом случае если ты не знаешь как обойти любой перехват и реплей пакетов - грустно :(

 

[sizzeR1337]

винда(не в тест режиме) не загрузит драйвер, который не подписан. Если ты не знал, мап драйвера происходит через уязвимости в других, подписанных драйверах(кдмаппер - интел какой то, gdrv - гигабайт и прочее)

Я прекрасно понимаю. Только вот фейс именно ммапит драйвер, а не грузит его.

EAC, battleeye не использюет http(s)

Использует, еще как использует. Уж поверь мне, сколько я возился с EAC.. :) я там и отключал внутриигровые репорты (да-да, разработчики могут настроить внутриигровые репорты с помощью еака) и мог узнавать айпи через еак и т.д и т.п..

В любом случае если ты не знаешь как обойти любой перехват и реплей пакетов - грустно :(

на каждый обход найдется еще один обход)

 

[timoxa5651]

Использует, еще как использует. Уж поверь мне, сколько я возился с EAC.. :) я там и отключал внутриигровые репорты (да-да, разработчики могут настроить внутриигровые репорты с помощью еака) и мог узнавать айпи через еак и т.д и т.п..

В расте с еаком дело происходит так:

модуль еака мапится в раст, сообщения еака передаются обычными сырыми байтами через обычный игровой сервер, вместе со всеми остальными сообщениями вроде позиций игроков и др. Игровой сервер кэширует их, и +- каждые 5 минут отправляет через https уже на сервера еака.
Мы(как игрок) не можем повлиять на хттп вообще никак, мы его не видим и ничего с ним не делаем.

А теперь про репорты... В расте репорты отправляются в 3 места: на игровой сервер(для плагинов), в фейспанч(3 дневные баны имхо), и в еак. Подменить последние два нельзя никак - проверка через authtoken стима. Идем дальше, про отключение репортов... если ты не знал, не так давно вендор сливал еак панель фейспанчей, в которой увы, настроек репортов не было, да и если ты даже каким то магическим образом выключил репорты для всего еака, их все равно получали фейспанч... Насчет узнавания айпи ничего не скажу - еак его собирает, может как то и было возможно.

 

[timoxa5651]

Я прекрасно понимаю. Только вот фейс именно ммапит драйвер, а не грузит его.

...))

 

[voodro1337]

я говорю про то, что сделать ПИРАТСКИЙ античит супер изи исходя из читов на пиратку. (больше вопрос а зачем делать кернол античит на пиратку..?)(придется подписывать, все таки не круто мапить драйвер античита :D)

1) я написал детект патчей + скан на rwx память, что детектит 100% вышеперечисленных методов и ПИРАТСКИХ читов(и детект managed хуков для всех читов)
2) да, для доступа к физ.памяти(для чека PTE/VAD и прочего), нужен доступ к ядру, но мы говорим о ПИРАТКЕ, где средний уровень инжекта закончится на фейс инжекторе

3, к потенциальному "кодеру") требуйте предоплату, пересекались с ТС, в итоге не заплатил

гейм тимы инжектор грузит Шелл через set_window_hook)

 

[xonegaycrack]

могу сделать бинд на автохоткее!!!!

 

[timoxa5651]

гейм тимы инжектор грузит Шелл через set_window_hook)

хз что такое гейм тима, ну да SetWindowHookEx как бы да крутые согласен, но память все равно VirtualAllocEx(PAGE_EXECUTE_READWRITE) гарантирую
хотя есть и на лицуху некоторые софты, у которых "обход" похуже пиратки ахахахахах

 

[sizzeR1337]

В расте с еаком дело происходит так:

Я не играю в раст, но чуточку понимаю что там работает да как. Я вообще-то говорил про все игры, а не про раст только.

...))

....)

 

[voodro1337]

хз что такое гейм тима, ну да SetWindowHookEx как бы да крутые согласен, но память все равно VirtualAllocEx(PAGE_EXECUTE_READWRITE) гарантирую
хотя есть и на лицуху некоторые софты, у которых "обход" похуже пиратки ахахахахах

тока еак их шедевр не палит))

 

[timoxa5651]

тока еак их шедевр не палит))

"не палит"))))))))))))))))))))))

 

[sizzeR1337]

"не палит"))))))))))))))))))))))

да, не палит. еак один из отстойнейших античитов в мире

 

[timoxa5651]

да, не палит. еак один из отстойнейших античитов в мире

неверный ответ, фейспанч - одна из отстойнейших контор в мире

 

[sizzeR1337]

неверный ответ, фейспанч - одна из отстойнейших контор в мире

но еак все равно самый отстойнейший античит в мире)

 

[timoxa5651]

но еак все равно самый отстойнейший античит в мире)

не, еак детектит в пару десятков раз больше чем условный бе, но банит в десятки раз меньше

 

[sizzeR1337]

не, еак детектит в пару десятков раз больше чем условный бе, но банит в десятки раз меньше

ну а смысл этих детектов без банов? даже вак банит, но спустя пару месяцев