а причем тут хром? вообще тема о том как обойти детект антивтрусов у исполняемых программ
-
Обратная связь: [email protected]
Наш канал в telegram: https://t.me/ru_sfera
Группа VK: https://vk.com/rusfera
Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации
Подделываем электронную подпись Microsoft Corporation
- Автор темы Антоха
- Дата начала
- Регистрация
- 18.05.2014
- Сообщения
- 425
- Репутация
Сорри за оффтоп, как я понял отсюда ->
Драйвер можно подписать таким тестовым сертификатом, но система даст его запустить всеравно только из под bcdedit.exe –set TESTSIGNING ON ?
Неужели нет никакого способа сделать локально для винды сертификат валидным? (Про известные эксплойты знаю, интересует именно возможность сделать локально подпись у драйвера валидной)
Ps Пытался сделать так ->
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Драйвер можно подписать таким тестовым сертификатом, но система даст его запустить всеравно только из под bcdedit.exe –set TESTSIGNING ON ?
Неужели нет никакого способа сделать локально для винды сертификат валидным? (Про известные эксплойты знаю, интересует именно возможность сделать локально подпись у драйвера валидной)
Ps Пытался сделать так ->
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
но почемуто не валидная подпись всеравно
Последнее редактирование:
- Регистрация
- 03.06.2012
- Сообщения
- 6 202
- Репутация
@MIXA066, привет, рад видеть тебя на форуме.)))
Чит делаешь ?
Не, легально через подмену подписи никак не подписать, т.к. нужен валидный сертификат.
Но можно прогрузить через другой драйвер, вот пример:
Позволяет загрузить драйвер, через драйвер виртуалбокса, сам хочу попробовать, пишу кернел-мод руткит, короче как будет время время, интересно попробовать разные методы прогрузки драйвера...
Вот ещё способы прогрузки драйверов:
Вот манн, как пользоваться уязвимостями:
Чит делаешь ?
Не, легально через подмену подписи никак не подписать, т.к. нужен валидный сертификат.
Но можно прогрузить через другой драйвер, вот пример:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Позволяет загрузить драйвер, через драйвер виртуалбокса, сам хочу попробовать, пишу кернел-мод руткит, короче как будет время время, интересно попробовать разные методы прогрузки драйвера...
Вот ещё способы прогрузки драйверов:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Вот манн, как пользоваться уязвимостями:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
- Регистрация
- 18.05.2014
- Сообщения
- 425
- Репутация
Привет) Да, чит. Я сейчас дсефиксом пользуюсь, но что у него, что у метода через паленые драйвера (типо capcom) проблема в том, что античиты, которые включаются с запуском системы и работают до ее завершения не дают их просто заюзать. Похоже покупать придется сертификат
- Регистрация
- 03.06.2012
- Сообщения
- 6 202
- Репутация
Привет) Да, чит. Я сейчас дсефиксом пользуюсь, но что у него, что у метода через паленые драйвера (типо capcom) проблема в том, что античиты, которые включаются с запуском системы и работают до ее завершения не дают их просто заюзать. Похоже покупать придется сертификат
Они палят флаг ntoskrnl!g_CiEnabled, а может и ещё что...
Покупать смысла нет, если пишешь на паблик, античиты быстро добавят твой ЦП в блеклист и усё...)))
- Регистрация
- 18.05.2014
- Сообщения
- 425
- Репутация
Они палят флаг ntoskrnl!g_CiEnabled, а может и ещё что...
Покупать смысла нет, если пишешь на паблик, античиты быстро добавят твой ЦП в блеклист и усё...)))
Очевидно что не имеет смысла покупать сертификат под паблик, как минимум не окупится)
- Регистрация
- 03.06.2012
- Сообщения
- 6 202
- Репутация
Ну на продажу также, современные античиты, как-то определяют наличие читов и блокируют цифровые подписи, со временем...
Я не особо в теме, но интересно для "черных дел", как прогрузить руткит, поэтому читал, что прогружают через уязвимости + в самом чите какие-то средства скрытия используют, короче сложно всё-там.
Так просто написание драйвера недостаточно сейчас.
Я не особо в теме, но интересно для "черных дел", как прогрузить руткит, поэтому читал, что прогружают через уязвимости + в самом чите какие-то средства скрытия используют, короче сложно всё-там.
Так просто написание драйвера недостаточно сейчас.
- Регистрация
- 18.05.2014
- Сообщения
- 425
- Репутация
На сколько мне известно единственный способ здесь - купить софт и вручную задетектить ту же подпись) Я не думаю что они могут делать какие-то дампы памяти, отсылать и потом анализировать.
- Регистрация
- 03.06.2012
- Сообщения
- 6 202
- Репутация
Думаю есть технологии узнать есть-ли у игрока чит, вот у меня уже так на вскидку простые методы детекта читов, которые не скрывают себя в системе:
1. Почему-бы не проверить, какие драйвера в принципе присутствуют в системе, какие не известные античиту, уже отправлять на проверку, проверить присутствие драйвера не проблема в целом.
Именно поэтому лучше использовать уязвимости.
2. Думаю есть методики как-раз проверять дампы памяти, ну и далее по сигнатурам уже определять есть-ли чит.
Поэтому тут и использовать уязвимости уже недостаточно, нужно как-то морфить код самого драйвера, как вариант использовать виртуальные машины.
Использование виртуальных машин, вроде спасает сейчас.
Примерно так мне сказал человек, который познал дзен в читах, я особо не в теме, но античиты сейчас покруче антивирусов, сложно там все...
Но опять-таки, смотря для чего ты делаешь чит, может там и нет таких навороченных античитов.
Ещё как мне сказали у тех-кто делает читы сейчас, разделение:
1)Спецы, кто делает сам чит.
2)Спецы, кто этот чит скрывает в системе.
Это даже разные спецы, с разным уровнем знаний...)))
- Регистрация
- 18.05.2014
- Сообщения
- 425
- Репутация
Получается я познал дзен читов)
Не очень понял, уязвимости сводятся в любом случае к тому что драйвер запускается в системе. Поэтому драйвер с подписью уж точно выглядит легитнее чем загруженный эксплойтом.
1. Во первых по gdpr это как минимум не законно - пересылать какието дампы с компьютера юзеров. Во вторых - драйверов просто бесконечно много сейчас, да, можно по сигнатуре задетектить драйвер определенного чита, но сначала придется его купить и зареверсить.
2. Как по мне очень преувеличено. Просто трукодиры занимающиеся читами (особенно СНГ) очень любят набивать значимости себе. Как пример могу привести проект в 17 году у меня был чит для PUBG
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
античит BattleEye. Чит на драйвере был. Ну в общем работал он полгода где-то. Есп один раз ушло в детект под конец, радар был лайфтайм UD. Я уверен 99% ESP ушел в детект потому что купивший слил разработчикам. Я продавал по такой схеме ~ 10 человек юзают одну версию драйвера и клиента, следующие 10 человек другую. Ну вот и единственные копии которые ушли в детект (там под конец уже было) были у 3 человек. У всех остальных групп точно такой же чит был undetect.Закрыть пришлось потому что гении из пабга начали выкатывать обновы каждый час и на UC перестали оффсеты выкладывать) Для меня добыча этих оффсетов темный лес (до сих пор не умею
), да и игра надоела (изначально для себя делал), ну и в общем сам обход работает до сих пор, просто нужно оффсеты исправить.Ну в общем это все к тому, что по факту античиты - автоматика они не могут взять и начать детектить заморфеный драйвер/клиент вдруг снихуя.
PS У конкурентов читы отлетали буквально каждую неделю. Это к слову о мощности античита. Тогда, вроде и сейчас даже пабг 1 по онлайну в мире. Но типо вот простое разделение версий чита спокойно спасает от ручных детектов, даже если купят и сольют - ну будет 10 банов, все остальные юзеры останутся в андетекте.
Последнее редактирование: