Эх, жизнь — хоть за хуй
Дешевле Васю из 9 Г попросить что-бы выезжал бить ебальники кто играет с читами
|
Ищу кодера для написания античита под пиратский раст
- Автор темы BabywipesDog
- Дата начала
Пользователь
ну вообще никакой адекватный инжектор не запускается во время игры, но в случае фейса просто ловим загрузку их драйвера и отправляем на сервер(если делать нехуй можно и авто-дампер самого драйвера приебашить))))
вообще в играх обычно не существует RWX памяти, которая просто валяется, поэтому если у тебя кусок в 4 мб ты можешь с вероятностью в 80% сказать что это читер, поэтому дампаешь это, загружаешь на сервер и анализируешь(если это чет легитное - засигай и добавь в вайтлист)(но это случается ну ооочень редко, можешь банить на 3 дня, как, например делает еак). Заморозка античита это уже другая проблема(но фиксится максимально легко отправкой на сервер heartbeatа каждые N секунд)
IP это не IP адрес, а Instruction Pointer(т.е. инструкция, которая будет выполняться следующей, т.е. что сейчас выполняет поток). Если ты нашел не-executable память, но там выполняется код, то 1)изменен NX(NoExecute) флаг в PTE(большинство керанал инжекторов, и фейс первый тоже) 2) выключен DEP(тоже проверяется), или если ты нашел что этой памяти вообще не существует(Unlink VAD) тоже отправляем на сервер
"всех"?
Подгружаешь измененный драйвер фейса буквально в пару байт с новым названием. Теперь ты его никак не отловишь.
На самом деле звучит очень логично, так что я тут никак не могу поспорить с тобой. Хотя если чит делает турк, то вполне возможно, что он замутит изменение флагов на рандомные адреса, тогда твой сервак засрется рандомными адресами и ты будешь анализировать каждый (на что уйдет кучу времени) или просто забьешь.
Эмуляцию heartbeat не особо сложно написать имея при себе Fiddler или HTTP Debugger и любую тулзу написанную на C#, Python и прочей дичи.
Честно, я впервые вижу такое сокращение поинтера. Сорри.
У тебя все фиксится путем отправки на сервер. А если пропатчу отправку адресов (ну или что ты там отправляешь) на сервер кроме heartbeat? Получается ты никак не сможешь проверить, а значит и не спалишь меня. Тоже самое работает и с отправкой RWX памяти на сервер.
Пользователь
чел... если ты изменишь "пару байт" в подписанном драйвере, слетит подпись, а значит он больше не загрузится
"замутит изменение флагов на рандомные адреса" че. Я говорю ты вайтлистишь некоторые(их 0), остальные банишь.
чел.......................................... какой Fiddler или HTTP Debugger ахахахахаха, античит на хттп ахахахаххаха. случаем эмулятор еака не напишешь?
ну он вроде так только и называется(регистр rip/eip)
Так фейс их ммапит, так что достаточно самоподписать тестовой WDKшной подписью.
Ты такое не говорил. Ты говорил что дампишь участок RWX памяти в 4 мб и отсылаешь на сервер для анализа. Ты сказал, что можно добавить легитные участки памяти в вайт лист (которые на сервер не будут отсылаться)
И что такого в античите, который использует протокол HTTP(S)? Easy Anti-Shit, FaceIT, BattlEye (хотя насчет последнего не уверен) используют HTTPS запросы. Что в них плохого? Конечно выбор может упасть на WSS:// но тот же Fiddler тоже может работать с ними, как и HTTPS Debugger (правда только читать).
да просто ассоциация как то сразу упала на ip адреса. я не отрицаю что ошибся)
Пользователь
винда(не в тест режиме) не загрузит драйвер, который не подписан. Если ты не знал, мап драйвера происходит через уязвимости в других, подписанных драйверах(кдмаппер - интел какой то, gdrv - гигабайт и прочее)
EAC, battleeye не использюет http(s)(за исключением серверной части, но это вообще нас не касается), передача информации каждые пару секунд через http не самый оптимизированный способ. В любом случае если ты не знаешь как обойти любой перехват и реплей пакетов - грустно :(
Последнее редактирование:
Я прекрасно понимаю. Только вот фейс именно ммапит драйвер, а не грузит его.
Использует, еще как использует. Уж поверь мне, сколько я возился с EAC.. :) я там и отключал внутриигровые репорты (да-да, разработчики могут настроить внутриигровые репорты с помощью еака) и мог узнавать айпи через еак и т.д и т.п..
на каждый обход найдется еще один обход)
Пользователь
В расте с еаком дело происходит так:
модуль еака мапится в раст, сообщения еака передаются обычными сырыми байтами через обычный игровой сервер, вместе со всеми остальными сообщениями вроде позиций игроков и др. Игровой сервер кэширует их, и +- каждые 5 минут отправляет через https уже на сервера еака.
Мы(как игрок) не можем повлиять на хттп вообще никак, мы его не видим и ничего с ним не делаем.
А теперь про репорты... В расте репорты отправляются в 3 места: на игровой сервер(для плагинов), в фейспанч(3 дневные баны имхо), и в еак. Подменить последние два нельзя никак - проверка через authtoken стима. Идем дальше, про отключение репортов... если ты не знал, не так давно вендор сливал еак панель фейспанчей, в которой увы, настроек репортов не было, да и если ты даже каким то магическим образом выключил репорты для всего еака, их все равно получали фейспанч... Насчет узнавания айпи ничего не скажу - еак его собирает, может как то и было возможно.
Последнее редактирование:
Пользователь
...))
Эксперт
гейм тимы инжектор грузит Шелл через set_window_hook)
Начинающий
могу сделать бинд на автохоткее!!!!
Пользователь
хз что такое гейм тима, ну да SetWindowHookEx как бы да крутые согласен, но память все равно VirtualAllocEx(PAGE_EXECUTE_READWRITE) гарантирую
хотя есть и на лицуху некоторые
Я не играю в раст, но чуточку понимаю что там работает да как. Я вообще-то говорил про все игры, а не про раст только.
....)
Эксперт
тока еак их шедевр не палит))
Пользователь
"не палит"))))))))))))))))))))))
да, не палит. еак один из отстойнейших античитов в мире
Пользователь
неверный ответ, фейспанч - одна из отстойнейших контор в мире
но еак все равно самый отстойнейший античит в мире)
Пользователь
не, еак детектит в пару десятков раз больше чем условный бе, но банит в десятки раз меньше
ну а смысл этих детектов без банов? даже вак банит, но спустя пару месяцев