Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 617
- Реакции
- 16
Реверс свежих апдейтов SCP:SL превратился в увлекательный квест для тех, кто любит ковыряться в защите. Последние обновления античита в игре принесли с собой плотную упаковку и виртуализацию, которая ставит в тупик стандартные методы анализа.
Что имеем по факту:
Когда пытаешься вытащить сигнатуры сканирования памяти или поведенческие паттерны под такой защитой, обычные хуки на сетевые функции часто вообще не триггерятся или не влияют на поток данных. Это наталкивает на мысли либо о кастомных обертках над OpenSSL, либо о том, что трафик подготавливается глубоко внутри виртуализированных функций.
Вопрос в том, стоит ли сейчас тратить время на поиск полноценного решения для девиртуализации или есть смысл пробовать аппаратные брейкпоинты (HW Breakpoints) на обращения к структурам данных, которые античит строит перед отправкой?
Если кто-то ковырял именно сетевой протокол в последних билдах SCP:SL, было бы круто услышать мысли по поводу того, как они завязываются на HWID и какие именно данные о системе летят в пакетах. По сути, Themida здесь выступает лишь как щит, но сама логика детекта все равно должна где-то пересекаться с чистым кодом или стандартными API.
Интересно, кто-то пробовал идти через трассировку выполнения в кастомных эмуляторах или сразу лезть в расшифровку cURL-запросов через перехват контекста SSL?
Что имеем по факту:
- Попытки инжектить мануал-мап на ранних этапах инициализации античита для хука Windows API дают мало инфы. Слепое хуканье в данном случае — это оверхед, который не захватывает логику детектов.
- Сетевой трафик активен, что подтверждается хуками на send в ws2_32.dll, но данные идут зашифрованными. В статике (IDA Pro) видны референсы на OpenSSL, cURL и Crypto-библиотеки.
- Основная проблема — код защищен Themida 3 Virtualization. В IDA мы видим фрагментированную логику, которая не дает построить нормальный граф выполнения (true execution flow).
Когда пытаешься вытащить сигнатуры сканирования памяти или поведенческие паттерны под такой защитой, обычные хуки на сетевые функции часто вообще не триггерятся или не влияют на поток данных. Это наталкивает на мысли либо о кастомных обертках над OpenSSL, либо о том, что трафик подготавливается глубоко внутри виртуализированных функций.
Попытки классического динамического анализа упираются в Themida. Девиртуализация такого уровня сложности — задача не на один вечер, и часто проще искать точки входа в обход виртуалки. Однако если сигнатуры детектов лежат внутри защищенных секций, без понимания логики интерпретатора Themida достать их будет крайне тяжело.
Вопрос в том, стоит ли сейчас тратить время на поиск полноценного решения для девиртуализации или есть смысл пробовать аппаратные брейкпоинты (HW Breakpoints) на обращения к структурам данных, которые античит строит перед отправкой?
Если кто-то ковырял именно сетевой протокол в последних билдах SCP:SL, было бы круто услышать мысли по поводу того, как они завязываются на HWID и какие именно данные о системе летят в пакетах. По сути, Themida здесь выступает лишь как щит, но сама логика детекта все равно должна где-то пересекаться с чистым кодом или стандартными API.
Интересно, кто-то пробовал идти через трассировку выполнения в кастомных эмуляторах или сразу лезть в расшифровку cURL-запросов через перехват контекста SSL?
