Как это работает?!?!

[Dimedrol]

Может кто сказать, рассказать как он работает на своем уровне?
Ваши размышления- не кто не запрещает.
Они на оборот, приветствуются.

Тема создана для предположения и реальной информации.
Хайды не допустимы.
Есть информация, делитесь ей.

 

[Arkting]

Может кто сказать, рассказать как он работает на своем уровне?

 

[Dimedrol]

Скрытое содержимое

Для чего под хайд?
С того, что там написано, половина не имеет отношения к нему.
1. Нет
2. Нет
3. Да
4. Нет
5. Да
6. Да
7. Да
8. Нет
9. Да и не только он
10. 50/50
11. 50/50,переименуй файл
12. 50/50
13. Нет

 

[Neils]

Скрытое содержимое

Открой хайд, мне интересно

 

[Dimedrol]

Некто не хочет начинать. Начну тогда я.
Скан драйверов, как некоторые говорят. Не совсем скан. А точнее получение имени девайса через IoCreateDevice.
Получая имена, отсеивая имена с белого списка, полуют имя вашего драйвера.
Если загрузить его заранее, то всеровно имеем обращение к нему, в следствии имеют имя девайса.
Меняя его 2 раза в неделю, мы получаем безопасный драйвер.
В Последнем патче они фиксанули ББ на сигнатуру в DriverEntry.

 

[seven_up]

Некто не хочет начинать. Начну тогда я.
Скан драйверов, как некоторые говорят. Не совсем скан. А точнее получение имени девайса через IoCreateDevice.
Получая имена, отсеивая имена с белого списка, полуют имя вашего драйвера.
Если загрузить его заранее, то всеровно имеем обращение к нему, в следствии имеют имя девайса.
Меняя его 2 раза в неделю, мы получаем безопасный драйвер.
В Последнем патче они фиксанули ББ на сигнатуру в DriverEntry.

Почему бы не делать рандомное имя при каждой загрузке ?
Так гораздо проще.

 

[Dimedrol]

Почему бы не делать рандомное имя при каждой загрузке ?
Так гораздо проще.

Это отдельный пункт будет.

 

[Dimedrol]

Почему бы не делать рандомное имя при каждой загрузке ?
Так гораздо проще.

Мы это делали, в другом проекте.
Через буфер точки входа получали имя файла, это и было девайсом.
В один прекрасный день, это задетектили. И естестно пошли на отдых.
Раст, Вар Зона акки ушли в сумерки.
Получилось получить имя девайса через имя файла, с полным написанием кода на С++.
Воспользоваться всеми преимуществами С++

Открой хайд, мне интересно

Нету там ничего интересного

Открой хайд, мне интересно

1. Мрак чаще проверяет высокоранговые аккаунты, после 21 ранга.
2. Мрак собирает статистику по аккаунту, также по запущенным/подключенным dll и программам.
3. Проверяет известные функции по паттернам.
4. Проверяет изменение значений (int, float)
5. Проверяет запущенные драйвера и приложения
6. Проверяет дескрипторы которые обращаются к процессу игры.
7. Обнаруживает все виды потоков и хуков на уровне usermode.
8. Хранит основную информацию об аккаунте 7 дней.
9. Собирает скриншоты игры и рабочего стола.
10. Использует сравнение снимков памяти для поиска аномалий.
11. Обнаруживает известные программы (Cheat Engine, ArtMoney, ProcessHacker, DBE и тд)
12. Проверяет реестр.
13. Отправляет подозрительные аккаунты в теневой бан и проверяет их в течении 3 дней.

 

[Dimedrol]

И опять, что такое mrac - это античит в 2-х модях
Первый защищает процесс из вне. - ring 0
Второй сканирует память процеса. - user mod
Давайте погорим про это!!!

 

[Arkting]

Мы это делали, в другом проекте.
Через буфер точки входа получали имя файла, это и было девайсом.
В один прекрасный день, это задетектили. И естестно пошли на отдых.
Раст, Вар Зона акки ушли в сумерки.
Получилось получить имя девайса через имя файла, с полным написанием кода на С++.
Воспользоваться всеми преимуществами С++

Нету там ничего интересного

1. Мрак чаще проверяет высокоранговые аккаунты, после 21 ранга.
2. Мрак собирает статистику по аккаунту, также по запущенным/подключенным dll и программам.
3. Проверяет известные функции по паттернам.
4. Проверяет изменение значений (int, float)
5. Проверяет запущенные драйвера и приложения
6. Проверяет дескрипторы которые обращаются к процессу игры.
7. Обнаруживает все виды потоков и хуков на уровне usermode.
8. Хранит основную информацию об аккаунте 7 дней.
9. Собирает скриншоты игры и рабочего стола.
10. Использует сравнение снимков памяти для поиска аномалий.
11. Обнаруживает известные программы (Cheat Engine, ArtMoney, ProcessHacker, DBE и тд)
12. Проверяет реестр.
13. Отправляет подозрительные аккаунты в теневой бан и проверяет их в течении 3 дней.

Нахуя ты открываешь хайд если я его сделал только для тебя? Сука

 

[Strodfane]

Нахуя ты открываешь хайд если я его сделал только для тебя? Сука

моё

 

[Keaton]

Почему бы не делать рандомное имя при каждой загрузке ?
Так гораздо проще.

зачем вообще юзать ioctl общение и задавать имя девайсу ?

 

[Arkting]

моё

Прости, миш, откуда я знал что так будет ?

 

[Dimedrol]

Нахуя ты открываешь хайд если я его сделал только для тебя? Сука

Какой хайд?

Прости, миш, откуда я знал что так будет ?

ТО что было, уже написал до тебя чедовек в ЛС.
И твоем хайде нету ничего ценного.

зачем вообще юзать ioctl общение и задавать имя девайсу ?

Для передачи данных (адрес где лежит длл и ее размер)

 

[Keaton]

Для передачи данных (адрес где лежит длл и ее размер)

Ты не понял суть моего вопроса
Никто в здравом уме не будет на играх использовать ioctl общение драйвера
Оно будет детект везде, даже в говне по типу мрака

 

[Strodfane]

Ты не понял суть моего вопроса
Никто в здравом уме не будет на играх использовать ioctl общение драйвера
Оно будет детект везде, даже в говне по типу мрака

мрак = еак

 

[Keaton]

мрак = еак
Посмотреть вложение 193119

Уж точно не в России
Я уверен если ты по ссылке перейдёшь то тебя кинет в какой нибудь пендосский сайт

 

[Dimedrol]

Никто в здравом уме не будет на играх использовать ioctl общение драйвера

каким образом передать тогда данные?

 

[Keaton]

каким образом передать тогда данные?

Есть куча адекватных способов общения драйвера и клиента

 

[Dimedrol]

Есть куча адекватных способов общения драйвера и клиента

Согласен, но требующих переписания самого драйвера.