Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 507
- Реакции
- 13
Здарова, реверсеры. Решил поковырять One Piece Bounty Rush в Стиме, но наткнулся на классическую стену от XignCode3.
Ситуация такая: пытаюсь прокинуть скрытый Cheat Engine (UDCE) через кернел-драйвер. Вроде всё по канонам — драйвер скрыт, CE замаскирован, но при попытке аттача к процессу игры начинается свистопляска. В окне памяти висит статус Execute / Read Only, а если скроллить чуть выше — вместо данных сплошные знаки вопроса (?? ?? ?? ??).
Что имеем по факту:
Судя по всему, античит жестко стрипает хендлы или блокирует доступ через ObRegisterCallbacks. Даже если драйвер дает доступ, XC3 умудряется подменять или скрывать реальные страницы памяти, оставляя нас с бесполезным Read-Only.
Кто-нибудь сталкивался с такой защитой именно в OPBR? Есть подозрение, что обычного паблик-метода скрытия CE тут мало, и нужно копать в сторону полноценного RPM/WPM через драйвер в обход стандартного интерфейса CE.
Интересно, как XC3 сейчас реагирует на кастомные драйверы и не прилетает ли мануалбан за сам факт присутствия подозрительного девайса в системе.
Ситуация такая: пытаюсь прокинуть скрытый Cheat Engine (UDCE) через кернел-драйвер. Вроде всё по канонам — драйвер скрыт, CE замаскирован, но при попытке аттача к процессу игры начинается свистопляска. В окне памяти висит статус Execute / Read Only, а если скроллить чуть выше — вместо данных сплошные знаки вопроса (?? ?? ?? ??).
Что имеем по факту:
- Игра: One Piece Bounty Rush (Steam-версия);
- Античит: XignCode3;
- Инструментарий: Cheat Engine + Kernel Driver для скрытия.
Судя по всему, античит жестко стрипает хендлы или блокирует доступ через ObRegisterCallbacks. Даже если драйвер дает доступ, XC3 умудряется подменять или скрывать реальные страницы памяти, оставляя нас с бесполезным Read-Only.
Скорее всего, проблема в правах доступа (Access Mask). Когда античит видит попытку открытия хендла, он сбрасывает флаги до минимальных, которых не хватает для нормального скана. Либо драйвер работает не совсем корректно с процессами под защитой XC3.
Кто-нибудь сталкивался с такой защитой именно в OPBR? Есть подозрение, что обычного паблик-метода скрытия CE тут мало, и нужно копать в сторону полноценного RPM/WPM через драйвер в обход стандартного интерфейса CE.
Интересно, как XC3 сейчас реагирует на кастомные драйверы и не прилетает ли мануалбан за сам факт присутствия подозрительного девайса в системе.