Вопрос Обход eac

[f1nk175]

Всем ку, после отдыха от пастинга на rust вновь пришел сюда. И я захотел делать чит под оффициалку, external само собой
Вот вопрос: как eac детектит что в системе есть драйвер не очень крутой, если мы маппим его через условный kdmapper, или через bootkit(redlotus, etc)
Я знаю что есть какие-то трейсера, pdb cache(или как его)
А ну и ещё: сильно ли сертификат влият на андетект? Ну типо если я буду запускать подписанный драйвер через sc start, будет ли андетект?
И есть ли щас смысл от external на eac?

 

[juKola]

Всем ку, после отдыха от пастинга на rust вновь пришел сюда. И я захотел делать чит под оффициалку, external само собой
Вот вопрос: как eac детектит что в системе есть драйвер не очень крутой, если мы маппим его через условный kdmapper, или через bootkit(redlotus, etc)
Я знаю что есть какие-то трейсера, pdb cache(или как его)
А ну и ещё: сильно ли сертификат влият на андетект? Ну типо если я буду запускать подписанный драйвер через sc start, будет ли андетект?
И есть ли щас смысл от external на eac?

kdmapper артефакты оставляет, по ним и детектит, остальное можно почистить чтобы был уд.
CVE-2019-16098 и подобные проверяются. нестандартные IRP тоже важный фактор.

external имеет смысл если сумеешь сделать визуалы в отдельном окне без хуков, инжекта библиотек и записи памяти

 

[f1nk175]

kdmapper артефакты оставляет, по ним и детектит, остальное можно почистить чтобы был уд.
CVE-2019-16098 и подобные проверяются. нестандартные IRP тоже важный фактор.

external имеет смысл если сумеешь сделать визуалы в отдельном окне без хуков, инжекта библиотек и записи памяти

а можешь подробнее? или где есть инфа об этом

 

[juKola]

а можешь подробнее? или где есть инфа об этом

PsLoadedModuleList - kdmapper должен удалять свою запись из этого списка.
еак вызывает NtQuerySystemInformation и мб парсит PspCidTable, HandleTableь - там должен быть твой драйвер.
потом ci.dll. будет жаловаться на отсутствие подписи.
потом хеши. будет смотреть секции относительно своей константы (база собирается из безопасных драйверов).
CVE-2019-16098 / CVE-2020-15392
еак в своем кеше PDB или по сигнатурам знает, как выглядит уязвимый, но легитимный драйвер (вроде gdrv.sys или procmon.sys). он специально ищет их в памяти.
если находит - сразу бан, потому что эти драйверы не должны быть загружены в защищенной игре.
если находит драйвер, который похож на такой, но изменен (например, в него вшит шеллкод для отключения еак) - это тоже детект по сигнатуре.
IRP: у каждого драйвера есть мажоры, обычно ntoskrnl. если там твои функции в cr3 - ban.
ещё kdmapper не регает бэки: создание потоков, образы и т.д., но хз на счёт этого.

 

[honorbuddy]

собрались как то хакеры еак обходить

 

[morphe-ya]

Вот вопрос: как eac детектит что в системе есть драйвер не очень крутой, если мы маппим его через условный kdmapper, или через bootkit(redlotus, etc)

1. детект вектор KdMapper'a заключается в прямом аллоке RWX страницы с огромным размером.
2. бекапы уязвимого драйвера лежат в физической памяти => сиг скан
3. огромная база данных, твой драйвер может быть в детекте только из-за:
1. похожего кода ( выполнение одних и тех же действий )
2. выполнение заведомо детект вещей в самом драйвере ( создание системного потока, создание девайса ( => лог в PsLoadedModuleList / EtwTiLogDriverObjectLoad ) ( а при попытке удаления из PsLoadedModuleList => бсод по причине Critical Structure Corruption ( A.K.A PatchGuard ) )
( а также еще по ряду причин, не буду их перечислять )

никакой разницы не будет между кдмаппером или буткитом, если ты делаешь хоть что-то из этого списка

 

[zedorios]

2. выполнение заведомо детект вещей в самом драйвере ( создание системного потока, создание девайса ( => лог в PsLoadedModuleList / EtwTiLogDriverObjectLoad ) ( а при попытке удаления из PsLoadedModuleList => бсод по причине Critical Structure Corruption ( A.K.A PatchGuard ) )
( а также еще по ряду причин, не буду их перечислять )

сис поток и создание девайса есть и в легитных драйверах

 

[TheXSVV]

сис поток и создание девайса есть и в легитных драйверах

только вот они легитные, а ты - нет

 

[Albertrunner]

Всем ку, после отдыха от пастинга на rust вновь пришел сюда. И я захотел делать чит под оффициалку, external само собой
Вот вопрос: как eac детектит что в системе есть драйвер не очень крутой, если мы маппим его через условный kdmapper, или через bootkit(redlotus, etc)
Я знаю что есть какие-то трейсера, pdb cache(или как его)
А ну и ещё: сильно ли сертификат влият на андетект? Ну типо если я буду запускать подписанный драйвер через sc start, будет ли андетект?
И есть ли щас смысл от external на eac?

eac`у всей душой и телом похуй на сертификат а вот kdmapper мейби засейвит акк на недельку две через bootkit не выйдет из норм вариков hyperv остается

 

[TheXSVV]

eac`у всей душой и телом похуй на сертификат

верю

kdmapper мейби засейвит акк на недельку

ахахаха, смешно "мейби" ты типа сам не знаешь?

через bootkit не выйдет

что не выйдет?

из норм вариков hyperv остается

а тут 100% андетект, да?))) RDTSC чеки это всё мимо, по приколу

 

[honorbuddy]

верю


ахахаха, смешно "мейби" ты типа сам не знаешь?


что не выйдет?


а тут 100% андетект, да?))) RDTSC чеки это всё мимо, по приколу

тайминги подделывать давно научились

 

[juKola]

eac`у всей душой и телом похуй на сертификат а вот kdmapper мейби засейвит акк на недельку две через bootkit не выйдет из норм вариков hyperv остается

Точно. По сути, ты сейчас описал всю эволюцию андетекта в 2024. Сертификат - это просто пропуск через DSE, а не невидимость для еака. Ему важнее что делает драйвер, а не кем подписан.
KDMapper и его аналоги - это как харакири сделать. Следы в PsLoadedModuleList, PDB-пути, кривые IRP - это триггер для бана. Да, на 1-2 недели может пронести, но это как повезёт.
Bootkit - уже серьезнее. Полный контроль на этапе загрузки дает больше возможностей для маскировки, но сложность реализации зашкаливает. Еак и это учится детектить через проверки UEFI/ACPI и тайминги.
Hyper-V сейчас король. Работа из-под хоста выносит тебя за зону детекта. Еак видит только виртуалку, а твой софт работает на реальном железе. Главное - убрать все следы виртуализации (тайминги, SMBIOS, драйверы).
Путь сейчас лежит либо в сторону идеальной чистки артефактов на уровне ядра, либо в сторону полной изоляции через гипервизор. Всё остальное - костыли

 

[TheXSVV]

тайминги подделывать давно научились

я высмеиваю его утверждение. ты посмотри, что он написал. да, подделывать научились я в курсе

 

[f1nk175]

спасибо всем тем кто отвечал
и ещё родился один вопрос:
как там на интернеле? там какие приколы есть
я знаю про прикол с протектом памяти(все юзермод инжекторы отпадают), ну вот допустим я ижнектнул дллку с помощью кернел инжектора с заведомо undetect драйвером. какие дальше приколы? я знаю что-то про вызовы, pdb, но очень размыто

 

[juKola]

спасибо всем тем кто отвечал
и ещё родился один вопрос:
как там на интернеле? там какие приколы есть
я знаю про прикол с протектом памяти(все юзермод инжекторы отпадают), ну вот допустим я ижнектнул дллку с помощью кернел инжектора с заведомо undetect драйвером. какие дальше приколы? я знаю что-то про вызовы, pdb, но очень размыто

главные проблемы после инжекта:

Бэки: твой инжект триггерит LoadImageNotify в ядре. Еак видит загрузку левой длл в процесс игры - бан. Нужно чистить/отключать эти колбэки до инжекта.
PDB и имена: еак сканирует список загруженных модулей. Левая dll с подозрительным именем или путем - детект. Нужно мапить DLL без имени или маскироваться под системную.
Syscalls: еак ставит хуки на ntdll (NtRead и др.). Прямой вызов api светит тебя. Работа через прямые сисколлы - лучшее, но их тоже научились детектить по аномалиям стека.
Скан памяти: еак ищет сигнатуры твоего кода, строки, патчи. Нужны сильная обфускация и шифрование.

Рабочий интернал в игре с еаком - это не инжект, а полное уничтожение следов: чистка колбэков + сисколлы + маскировка в памяти + обфускация. Публичные методы давно в банах