[C++] Hook Scanner

Премиум
Статус
Оффлайн
Регистрация
25 Авг 2017
Сообщения
557
Реакции[?]
220
Поинты[?]
0
я видел версии которые это делали на латиноамериканском клиенте пб (кайбо), у них там на клиенте больше 100 хуков в r3 весело от модуля xTrap в сборке 2к15, потом античит сменили на XignCode 2к16 из бюджетных соображений. А знатока мне загонять не надо, я в глаза не долбился и прекрасно знаю что пишу.
Я не загонялся под знатока. Просто поинтересовался, правда ли это. Насчёт хука я и не знал даже.
 
Я лучше тебя
Участник
Статус
Оффлайн
Регистрация
31 Июл 2017
Сообщения
383
Реакции[?]
448
Поинты[?]
1K
Значит херовый кодер я.Инфы по читам дохера,а вот античит никто делать не хочет.Не 1 статьи нормальной нету по минимальной защите
открою секрет тебе, дружок, античиты выстраивают исходя из предельных возможностей инфы по читам. создавать противодействие не так уж и сложно. вопрос в том что делает этот так именуемый "чит", и как ему помешать.

Да и в том дело, что минимальной защиты не достаточно, защиты много не бывает, я видел игры где впаяно по 2 античита поверх, 1 внутри и 1 на серверсайде (и того 4 античита на 1 игру) у всех клиентских куча своих проверок, драйвера, но их все равно ебут. Античитерскую дичь надо делать в стронг режиме. Я уже занимался этой парашей, на выходе получил свой SEGuard, научил его контролировать все дескрипторы/файлы/потоки/модули/память в процессе, спокойно палит инжект с драйвера и с обычных инжекторов от CRT до mmap, сканеры сигнатур, екстернал читы и прочий мусор, мораль в том что этот античит нигде не пригодился и я забросил проект.
 
Разработчик
Статус
Оффлайн
Регистрация
23 Авг 2017
Сообщения
171
Реакции[?]
474
Поинты[?]
1K
Я уже занимался этой парашей, на выходе получил свой SEGuard, научил его контролировать все дескрипторы/файлы/потоки/модули/память в процессе, спокойно палит инжект с драйвера и с обычных инжекторов от CRT до mmap, сканеры сигнатур, екстернал читы и прочий мусор
Обидно наверное будет если все эти проверки пропатчить в самом античите :4Head:
 
Я лучше тебя
Участник
Статус
Оффлайн
Регистрация
31 Июл 2017
Сообщения
383
Реакции[?]
448
Поинты[?]
1K
Обидно наверное будет если все эти проверки пропатчить в самом античите :4Head:
на такие случаи я брал ключевые регионы памяти по определенным критериям, ставил на них PAGE_READONLY и вешал анализатор на VEH, во время патча проверок традиционно возникала ошибка доступа (ключевое EXECUTE..........) она анализировалась в VEH и опозновала легитимен ли код, в случае с наличие модификации - нет))))))
А если оперировать из драйвера, то AddSecureMemoryCacheCallback сделает все подобные попытки палевными.
 
Разработчик
Статус
Оффлайн
Регистрация
23 Авг 2017
Сообщения
171
Реакции[?]
474
Поинты[?]
1K
на такие случаи я брал ключевые регионы памяти по определенным критериям, ставил на них PAGE_READONLY и вешал анализатор на VEH, во время патча проверок традиционно возникала ошибка доступа (ключевое EXECUTE..........) она анализировалась в VEH и опозновала легитимен ли код, в случае с наличие модификации - нет))))))
А если оперировать из драйвера, то AddSecureMemoryCacheCallback сделает все подобные попытки палевными.
А что мешает VirtualProtectEx сделать :thinking:
В любом случае можно все эти патчи сделать до инициализации античита, и при необходимости некоторую часть инициализации вырезать, и пропатчить места которые к примеру чекают установлен ли драйвер, и прочее, ну суть ты понял думаю.
 
Я лучше тебя
Участник
Статус
Оффлайн
Регистрация
31 Июл 2017
Сообщения
383
Реакции[?]
448
Поинты[?]
1K
А что мешает VirtualProtectEx сделать :thinking:
В любом случае можно все эти патчи сделать до инициализации античита, и при необходимости некоторую часть инициализации вырезать, и пропатчить места которые к примеру чекают установлен ли драйвер, и прочее, ну суть ты понял думаю.
суть то понятна, только тут есть загвоздка)
все современные античиты:
1) проверяют свою целостность - при несоответствии хеш сумм (файла)/наличии проверки исполняемого контента (см мою тему изи семпл)
2) синхронизируются с серверсайдом - (без подтверждения легитимности клиента от сервера - не сойти с берега в плаванье гаминга)))00 )
 
Разработчик
Статус
Оффлайн
Регистрация
23 Авг 2017
Сообщения
171
Реакции[?]
474
Поинты[?]
1K
суть то понятна, только тут есть загвоздка)
все современные античиты:
1) проверяют свою целостность - при несоответствии хеш сумм (файла)/наличии проверки исполняемого контента (см мою тему изи семпл)
2) синхронизируются с серверсайдом - (без подтверждения легитимности клиента от сервера - не сойти с берега в плаванье гаминга)))00 )
1) Можно мануально запускать античит (если это представляется возможным), либо хукать всякие NtCreateFile'ы, если знать где происходит проверка, либо на худой конец патчить сами проверки))0 (которые написаны на подобии твоего семпла)
2) Ну тут уже перехват и подмена пакетов))0
 
Я лучше тебя
Участник
Статус
Оффлайн
Регистрация
31 Июл 2017
Сообщения
383
Реакции[?]
448
Поинты[?]
1K
1) Можно мануально запускать античит (если это представляется возможным), либо хукать всякие NtCreateFile'ы, если знать где происходит проверка, либо на худой конец патчить сами проверки))0 (которые написаны на подобии твоего семпла)
обычно, хороший античит стартует до игры, кто первый встал того и тапки и первым делом он может накрыть сам себя, а уже потом запускать игру и интегрироватся к ее среде или же ожидать запуска от пользователя и на старте перехватывать процесс, накрывая в пути, как к слову и делают турнирные античиты. (семпл FaceIt)
2) Ну тут уже перехват и подмена пакетов))0
на все ответ перехват) ты так в логах светится будешь как новогодняя ёлка. PsSet* и obregistercallbacks и любые твои движения видно прекрасно.
 
Разработчик
Статус
Оффлайн
Регистрация
23 Авг 2017
Сообщения
171
Реакции[?]
474
Поинты[?]
1K
обычно, хороший античит стартует до игры, кто первый встал того и тапки и первым делом он может накрыть сам себя, а уже потом запускать игру и интегрироватся к ее среде или же ожидать запуска от пользователя и на старте перехватывать процесс, накрывая в пути, как к слову и делают турнирные античиты. (семпл FaceIt)

на все ответ перехват) ты так в логах светится будешь как новогодняя ёлка. PsSet* и obregistercallbacks и любые твои движения видно прекрасно.
Я про то, что бы запустить этот античит самостоятельно. CreateProcess с флагом CREATE_SUSPENDED, если конкретно. Туда суём нашу игрушку и размораживаем главный поток, в итоге наш код выполнится до инициализации. Ну и после этого можно патчить код, если накрыто протектором то ставим цикл который ждёт пока код распакуется в памяти.
 
Я лучше тебя
Участник
Статус
Оффлайн
Регистрация
31 Июл 2017
Сообщения
383
Реакции[?]
448
Поинты[?]
1K
Я про то, что бы запустить этот античит самостоятельно. CreateProcess с флагом CREATE_SUSPENDED, если конкретно. Туда суём нашу игрушку и размораживаем главный поток, в итоге наш код выполнится до инициализации. Ну и после этого можно патчить код, если накрыто протектором то ставим цикл который ждёт пока код распакуется в памяти.
я уже писал об этом в гайде схожего направления, проблема здесь в том, что пришлось бы эмулировать работу до самого старта защищаемого объекта, который неприменно вычислит овнера античита (процесс папик основатель), так как неприменно потребуется интеграция модуля защиты в клиент защищаемого объекта, иначе синхронизации с сервер сайдом не произойдет и фигушки ты на сервер игры войдешь. Еще бывают случаи, довольно часто, когда компоненты античита обмениваются между друг другом инфой, иногда это мап файл, иногда локальный тсп пакетник, не получит инфы - ты спалился. Античиты гаденькие.
 
Разработчик
Статус
Оффлайн
Регистрация
23 Авг 2017
Сообщения
171
Реакции[?]
474
Поинты[?]
1K
я уже писал об этом в гайде схожего направления, проблема здесь в том, что пришлось бы эмулировать работу до самого старта защищаемого объекта, который неприменно вычислит овнера античита (процесс папик основатель), так как неприменно потребуется интеграция модуля защиты в клиент защищаемого объекта, иначе синхронизации с сервер сайдом не произойдет и фигушки ты на сервер игры войдешь. Еще бывают случаи, довольно часто, когда компоненты античита обмениваются между друг другом инфой, иногда это мап файл, иногда локальный тсп пакетник, не получит инфы - ты спалился. Античиты гаденькие.
Ну тут опять же всё от античита зависит, но суть в том, что нет того, чего нельзя обойти)
 
Я лучше тебя
Участник
Статус
Оффлайн
Регистрация
31 Июл 2017
Сообщения
383
Реакции[?]
448
Поинты[?]
1K
Разработчик
Статус
Оффлайн
Регистрация
23 Авг 2017
Сообщения
171
Реакции[?]
474
Поинты[?]
1K
Я лучше тебя
Участник
Статус
Оффлайн
Регистрация
31 Июл 2017
Сообщения
383
Реакции[?]
448
Поинты[?]
1K
Пользователь
Статус
Оффлайн
Регистрация
26 Окт 2017
Сообщения
520
Реакции[?]
95
Поинты[?]
2K
Надеюсь след. гайдом будет не то как их снять и вернуть обратно эти хуки.
Не стоит всем смертным об этом знать. Особенно тут.
 
Я лучше тебя
Участник
Статус
Оффлайн
Регистрация
31 Июл 2017
Сообщения
383
Реакции[?]
448
Поинты[?]
1K
Похожие темы
Ответы
4
Просмотры
2K
Сверху Снизу