Модератор
- Статус
- Оффлайн
- Регистрация
- 10 Дек 2018
- Сообщения
- 513
- Реакции
- 71
Дампанул и поковырял protobuf-схемы VGC. Версия vanguard/1.18.2-25+20260501.225940, гейтвей /vanguard/v1/gateway. Кредиты ow9kj1w за базу.
Что реально интересно:
Ссылка на полный код:
Вывод:
Схема восстановлена почти полностью. AuthenticationRequest — 15 полей, HeartbeatRequest — 6 полей. LDAP-импорты странные для игрового античита, возможно для корпоративной среды.
Братва кто пробовал эмулировать protobuf-запросы без полного SDK? Интересует именно DeviceInfo и вложенные CpuInfo/GpuInfo.
Что реально интересно:
- AuthenticationRequest тянет 15 полей: machine_id, game_token, machine_token, game_id, session_id, плюс app_info и device_info
- DeviceInfo внутри собирает OSInfo, CpuInfo, GpuInfo, MemoryInfo — полный дамп железа
- HeartbeatRequest ходит с access_token, timestamp, active_tasks, status, metrics и ready
- В бинаре нашлись внутренние VanguardSDK-сообщения: ConnectMessage (ID 100), LoginMessage (101), MatchStartMessage (103), DisconnectMessage (2)
- Секция .grfn1 размером 50 мб — скорее всего обфускация с VM/MBA
- OpenSSL внутри с certificate pinning и поддержкой TLS 1.3
- Есть SetFirmwareEnvironmentVariableW — лезут в UEFI/BIOS для fingerprinting
Код:
// AuthenticationRequest field 3 — uint32, tag 0x18
if ( *(_DWORD *)(v5 + 216) ) {
*(_BYTE *)i = 24; // (3 << 3) | 0
// varint encoding...
}
// Хелперы:
// text_133EA0 @ 0x564833EA0 — валидатор полей
// text_DB650 @ 0x5647DB650 — сериализатор строк
// text_133770 @ 0x564833770 — сериализатор вложенных сообщенийСсылка на полный код:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Вывод:
Схема восстановлена почти полностью. AuthenticationRequest — 15 полей, HeartbeatRequest — 6 полей. LDAP-импорты странные для игрового античита, возможно для корпоративной среды.
Братва кто пробовал эмулировать protobuf-запросы без полного SDK? Интересует именно DeviceInfo и вложенные CpuInfo/GpuInfo.
Последнее редактирование:
