Что нового?

[C++] Hook Scanner

iDReeM написал(а):
я видел версии которые это делали на латиноамериканском клиенте пб (кайбо), у них там на клиенте больше 100 хуков в r3 весело от модуля xTrap в сборке 2к15, потом античит сменили на XignCode 2к16 из бюджетных соображений. А знатока мне загонять не надо, я в глаза не долбился и прекрасно знаю что пишу.
Нажмите для раскрытия...
Я не загонялся под знатока. Просто поинтересовался, правда ли это. Насчёт хука я и не знал даже.
 
sersh написал(а):
Значит херовый кодер я.Инфы по читам дохера,а вот античит никто делать не хочет.Не 1 статьи нормальной нету по минимальной защите
Нажмите для раскрытия...
открою секрет тебе, дружок, античиты выстраивают исходя из предельных возможностей инфы по читам. создавать противодействие не так уж и сложно. вопрос в том что делает этот так именуемый "чит", и как ему помешать.

Да и в том дело, что минимальной защиты не достаточно, защиты много не бывает, я видел игры где впаяно по 2 античита поверх, 1 внутри и 1 на серверсайде (и того 4 античита на 1 игру) у всех клиентских куча своих проверок, драйвера, но их все равно ебут. Античитерскую дичь надо делать в стронг режиме. Я уже занимался этой парашей, на выходе получил свой SEGuard, научил его контролировать все дескрипторы/файлы/потоки/модули/память в процессе, спокойно палит инжект с драйвера и с обычных инжекторов от CRT до mmap, сканеры сигнатур, екстернал читы и прочий мусор, мораль в том что этот античит нигде не пригодился и я забросил проект.
 
iDReeM написал(а):
Я уже занимался этой парашей, на выходе получил свой SEGuard, научил его контролировать все дескрипторы/файлы/потоки/модули/память в процессе, спокойно палит инжект с драйвера и с обычных инжекторов от CRT до mmap, сканеры сигнатур, екстернал читы и прочий мусор
Нажмите для раскрытия...
Обидно наверное будет если все эти проверки пропатчить в самом античите :4Head:
 
Arting написал(а):
Обидно наверное будет если все эти проверки пропатчить в самом античите :4Head:
Нажмите для раскрытия...
на такие случаи я брал ключевые регионы памяти по определенным критериям, ставил на них PAGE_READONLY и вешал анализатор на VEH, во время патча проверок традиционно возникала ошибка доступа (ключевое EXECUTE..........) она анализировалась в VEH и опозновала легитимен ли код, в случае с наличие модификации - нет))))))
А если оперировать из драйвера, то AddSecureMemoryCacheCallback сделает все подобные попытки палевными.
 
iDReeM написал(а):
на такие случаи я брал ключевые регионы памяти по определенным критериям, ставил на них PAGE_READONLY и вешал анализатор на VEH, во время патча проверок традиционно возникала ошибка доступа (ключевое EXECUTE..........) она анализировалась в VEH и опозновала легитимен ли код, в случае с наличие модификации - нет))))))
А если оперировать из драйвера, то AddSecureMemoryCacheCallback сделает все подобные попытки палевными.
Нажмите для раскрытия...
А что мешает VirtualProtectEx сделать :thinking:
В любом случае можно все эти патчи сделать до инициализации античита, и при необходимости некоторую часть инициализации вырезать, и пропатчить места которые к примеру чекают установлен ли драйвер, и прочее, ну суть ты понял думаю.
 
Arting написал(а):
А что мешает VirtualProtectEx сделать :thinking:
В любом случае можно все эти патчи сделать до инициализации античита, и при необходимости некоторую часть инициализации вырезать, и пропатчить места которые к примеру чекают установлен ли драйвер, и прочее, ну суть ты понял думаю.
Нажмите для раскрытия...

суть то понятна, только тут есть загвоздка)
все современные античиты:
1) проверяют свою целостность - при несоответствии хеш сумм (файла)/наличии проверки исполняемого контента (см мою тему изи семпл)
2) синхронизируются с серверсайдом - (без подтверждения легитимности клиента от сервера - не сойти с берега в плаванье гаминга)))00 )
 
iDReeM написал(а):
суть то понятна, только тут есть загвоздка)
все современные античиты:
1) проверяют свою целостность - при несоответствии хеш сумм (файла)/наличии проверки исполняемого контента (см мою тему изи семпл)
2) синхронизируются с серверсайдом - (без подтверждения легитимности клиента от сервера - не сойти с берега в плаванье гаминга)))00 )
Нажмите для раскрытия...

1) Можно мануально запускать античит (если это представляется возможным), либо хукать всякие NtCreateFile'ы, если знать где происходит проверка, либо на худой конец патчить сами проверки))0 (которые написаны на подобии твоего семпла)
2) Ну тут уже перехват и подмена пакетов))0
 
Arting написал(а):
1) Можно мануально запускать античит (если это представляется возможным), либо хукать всякие NtCreateFile'ы, если знать где происходит проверка, либо на худой конец патчить сами проверки))0 (которые написаны на подобии твоего семпла)
Нажмите для раскрытия...
обычно, хороший античит стартует до игры, кто первый встал того и тапки и первым делом он может накрыть сам себя, а уже потом запускать игру и интегрироватся к ее среде или же ожидать запуска от пользователя и на старте перехватывать процесс, накрывая в пути, как к слову и делают турнирные античиты. (семпл FaceIt)
Arting написал(а):
2) Ну тут уже перехват и подмена пакетов))0
Нажмите для раскрытия...
на все ответ перехват) ты так в логах светится будешь как новогодняя ёлка. PsSet* и obregistercallbacks и любые твои движения видно прекрасно.
 
iDReeM написал(а):
обычно, хороший античит стартует до игры, кто первый встал того и тапки и первым делом он может накрыть сам себя, а уже потом запускать игру и интегрироватся к ее среде или же ожидать запуска от пользователя и на старте перехватывать процесс, накрывая в пути, как к слову и делают турнирные античиты. (семпл FaceIt)

на все ответ перехват) ты так в логах светится будешь как новогодняя ёлка. PsSet* и obregistercallbacks и любые твои движения видно прекрасно.
Нажмите для раскрытия...

Я про то, что бы запустить этот античит самостоятельно. CreateProcess с флагом CREATE_SUSPENDED, если конкретно. Туда суём нашу игрушку и размораживаем главный поток, в итоге наш код выполнится до инициализации. Ну и после этого можно патчить код, если накрыто протектором то ставим цикл который ждёт пока код распакуется в памяти.
 
Arting написал(а):
Я про то, что бы запустить этот античит самостоятельно. CreateProcess с флагом CREATE_SUSPENDED, если конкретно. Туда суём нашу игрушку и размораживаем главный поток, в итоге наш код выполнится до инициализации. Ну и после этого можно патчить код, если накрыто протектором то ставим цикл который ждёт пока код распакуется в памяти.
Нажмите для раскрытия...
я уже писал об этом в гайде схожего направления, проблема здесь в том, что пришлось бы эмулировать работу до самого старта защищаемого объекта, который неприменно вычислит овнера античита (процесс папик основатель), так как неприменно потребуется интеграция модуля защиты в клиент защищаемого объекта, иначе синхронизации с сервер сайдом не произойдет и фигушки ты на сервер игры войдешь. Еще бывают случаи, довольно часто, когда компоненты античита обмениваются между друг другом инфой, иногда это мап файл, иногда локальный тсп пакетник, не получит инфы - ты спалился. Античиты гаденькие.
 
iDReeM написал(а):
я уже писал об этом в гайде схожего направления, проблема здесь в том, что пришлось бы эмулировать работу до самого старта защищаемого объекта, который неприменно вычислит овнера античита (процесс папик основатель), так как неприменно потребуется интеграция модуля защиты в клиент защищаемого объекта, иначе синхронизации с сервер сайдом не произойдет и фигушки ты на сервер игры войдешь. Еще бывают случаи, довольно часто, когда компоненты античита обмениваются между друг другом инфой, иногда это мап файл, иногда локальный тсп пакетник, не получит инфы - ты спалился. Античиты гаденькие.
Нажмите для раскрытия...
Ну тут опять же всё от античита зависит, но суть в том, что нет того, чего нельзя обойти)
 
Надеюсь след. гайдом будет не то как их снять и вернуть обратно эти хуки.
Не стоит всем смертным об этом знать. Особенно тут.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

RenderTraced
DLL Injector for minecraft c++
Ответы
17
Просмотры
2K
RenderTraced
RenderTraced
iDReeM
[C++] Hook Scanner v2
Ответы
4
Просмотры
2K
iDReeM
iDReeM
Ahora_technology
Гайд Anti-debug под прицелом
Ответы
8
Просмотры
8K
Ahora_technology
Ahora_technology
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу