[C++] Hook Scanner

[VarriableDefinition]

я видел версии которые это делали на латиноамериканском клиенте пб (кайбо), у них там на клиенте больше 100 хуков в r3 весело от модуля xTrap в сборке 2к15, потом античит сменили на XignCode 2к16 из бюджетных соображений. А знатока мне загонять не надо, я в глаза не долбился и прекрасно знаю что пишу.

Я не загонялся под знатока. Просто поинтересовался, правда ли это. Насчёт хука я и не знал даже.

 

[iDReeM]

Значит херовый кодер я.Инфы по читам дохера,а вот античит никто делать не хочет.Не 1 статьи нормальной нету по минимальной защите

открою секрет тебе, дружок, античиты выстраивают исходя из предельных возможностей инфы по читам. создавать противодействие не так уж и сложно. вопрос в том что делает этот так именуемый "чит", и как ему помешать.

Да и в том дело, что минимальной защиты не достаточно, защиты много не бывает, я видел игры где впаяно по 2 античита поверх, 1 внутри и 1 на серверсайде (и того 4 античита на 1 игру) у всех клиентских куча своих проверок, драйвера, но их все равно ебут. Античитерскую дичь надо делать в стронг режиме. Я уже занимался этой парашей, на выходе получил свой SEGuard, научил его контролировать все дескрипторы/файлы/потоки/модули/память в процессе, спокойно палит инжект с драйвера и с обычных инжекторов от CRT до mmap, сканеры сигнатур, екстернал читы и прочий мусор, мораль в том что этот античит нигде не пригодился и я забросил проект.

 

[Arting]

Я уже занимался этой парашей, на выходе получил свой SEGuard, научил его контролировать все дескрипторы/файлы/потоки/модули/память в процессе, спокойно палит инжект с драйвера и с обычных инжекторов от CRT до mmap, сканеры сигнатур, екстернал читы и прочий мусор

Обидно наверное будет если все эти проверки пропатчить в самом античите

 

[iDReeM]

Обидно наверное будет если все эти проверки пропатчить в самом античите

на такие случаи я брал ключевые регионы памяти по определенным критериям, ставил на них PAGE_READONLY и вешал анализатор на VEH, во время патча проверок традиционно возникала ошибка доступа (ключевое EXECUTE..........) она анализировалась в VEH и опозновала легитимен ли код, в случае с наличие модификации - нет))))))
А если оперировать из драйвера, то AddSecureMemoryCacheCallback сделает все подобные попытки палевными.

 

[Arting]

на такие случаи я брал ключевые регионы памяти по определенным критериям, ставил на них PAGE_READONLY и вешал анализатор на VEH, во время патча проверок традиционно возникала ошибка доступа (ключевое EXECUTE..........) она анализировалась в VEH и опозновала легитимен ли код, в случае с наличие модификации - нет))))))
А если оперировать из драйвера, то AddSecureMemoryCacheCallback сделает все подобные попытки палевными.

А что мешает VirtualProtectEx сделать :thinking:
В любом случае можно все эти патчи сделать до инициализации античита, и при необходимости некоторую часть инициализации вырезать, и пропатчить места которые к примеру чекают установлен ли драйвер, и прочее, ну суть ты понял думаю.

 

[iDReeM]

А что мешает VirtualProtectEx сделать :thinking:
В любом случае можно все эти патчи сделать до инициализации античита, и при необходимости некоторую часть инициализации вырезать, и пропатчить места которые к примеру чекают установлен ли драйвер, и прочее, ну суть ты понял думаю.

суть то понятна, только тут есть загвоздка)
все современные античиты:
1) проверяют свою целостность - при несоответствии хеш сумм (файла)/наличии проверки исполняемого контента (см мою тему изи семпл)
2) синхронизируются с серверсайдом - (без подтверждения легитимности клиента от сервера - не сойти с берега в плаванье гаминга)))00 )

 

[Arting]

суть то понятна, только тут есть загвоздка)
все современные античиты:
1) проверяют свою целостность - при несоответствии хеш сумм (файла)/наличии проверки исполняемого контента (см мою тему изи семпл)
2) синхронизируются с серверсайдом - (без подтверждения легитимности клиента от сервера - не сойти с берега в плаванье гаминга)))00 )

1) Можно мануально запускать античит (если это представляется возможным), либо хукать всякие NtCreateFile'ы, если знать где происходит проверка, либо на худой конец патчить сами проверки))0 (которые написаны на подобии твоего семпла)
2) Ну тут уже перехват и подмена пакетов))0

 

[iDReeM]

1) Можно мануально запускать античит (если это представляется возможным), либо хукать всякие NtCreateFile'ы, если знать где происходит проверка, либо на худой конец патчить сами проверки))0 (которые написаны на подобии твоего семпла)

обычно, хороший античит стартует до игры, кто первый встал того и тапки и первым делом он может накрыть сам себя, а уже потом запускать игру и интегрироватся к ее среде или же ожидать запуска от пользователя и на старте перехватывать процесс, накрывая в пути, как к слову и делают турнирные античиты. (семпл FaceIt)

2) Ну тут уже перехват и подмена пакетов))0

на все ответ перехват) ты так в логах светится будешь как новогодняя ёлка. PsSet* и obregistercallbacks и любые твои движения видно прекрасно.

 

[Arting]

обычно, хороший античит стартует до игры, кто первый встал того и тапки и первым делом он может накрыть сам себя, а уже потом запускать игру и интегрироватся к ее среде или же ожидать запуска от пользователя и на старте перехватывать процесс, накрывая в пути, как к слову и делают турнирные античиты. (семпл FaceIt)

на все ответ перехват) ты так в логах светится будешь как новогодняя ёлка. PsSet* и obregistercallbacks и любые твои движения видно прекрасно.

Я про то, что бы запустить этот античит самостоятельно. CreateProcess с флагом CREATE_SUSPENDED, если конкретно. Туда суём нашу игрушку и размораживаем главный поток, в итоге наш код выполнится до инициализации. Ну и после этого можно патчить код, если накрыто протектором то ставим цикл который ждёт пока код распакуется в памяти.

 

[iDReeM]

Я про то, что бы запустить этот античит самостоятельно. CreateProcess с флагом CREATE_SUSPENDED, если конкретно. Туда суём нашу игрушку и размораживаем главный поток, в итоге наш код выполнится до инициализации. Ну и после этого можно патчить код, если накрыто протектором то ставим цикл который ждёт пока код распакуется в памяти.

я уже писал об этом в гайде схожего направления, проблема здесь в том, что пришлось бы эмулировать работу до самого старта защищаемого объекта, который неприменно вычислит овнера античита (процесс папик основатель), так как неприменно потребуется интеграция модуля защиты в клиент защищаемого объекта, иначе синхронизации с сервер сайдом не произойдет и фигушки ты на сервер игры войдешь. Еще бывают случаи, довольно часто, когда компоненты античита обмениваются между друг другом инфой, иногда это мап файл, иногда локальный тсп пакетник, не получит инфы - ты спалился. Античиты гаденькие.

 

[Arting]

я уже писал об этом в гайде схожего направления, проблема здесь в том, что пришлось бы эмулировать работу до самого старта защищаемого объекта, который неприменно вычислит овнера античита (процесс папик основатель), так как неприменно потребуется интеграция модуля защиты в клиент защищаемого объекта, иначе синхронизации с сервер сайдом не произойдет и фигушки ты на сервер игры войдешь. Еще бывают случаи, довольно часто, когда компоненты античита обмениваются между друг другом инфой, иногда это мап файл, иногда локальный тсп пакетник, не получит инфы - ты спалился. Античиты гаденькие.

Ну тут опять же всё от античита зависит, но суть в том, что нет того, чего нельзя обойти)

 

[iDReeM]

Ну тут опять же всё от античита зависит, но суть в том, что нет того, чего нельзя обойти)

обойти патчгуард в виндовс 10.

 

[Arting]

обойти патчгуард в виндовс 10.

Пожалуйста, авторизуйтесь для просмотра ссылки.

Эта шняга разве не робит? :thinking:
Или я не так понял что то?

 

[iDReeM]

Пожалуйста, авторизуйтесь для просмотра ссылки.

Эта шняга разве не робит? :thinking:
Или я не так понял что то?

это не даст тебе полных гарантий, патч гуард вшит в ядро самой ОС

 

[True_Scamer]

Надеюсь след. гайдом будет не то как их снять и вернуть обратно эти хуки.
Не стоит всем смертным об этом знать. Особенно тут.

 

[iDReeM]

Надеюсь след. гайдом будет не то как их снять и вернуть обратно эти хуки.
Не стоит всем смертным об этом знать. Особенно тут.

это похоже на сарказм.

 

[True_Scamer]

это похоже на сарказм.

Это похоже на просьбу не давать планктону инфу такого рода.