Подделываем электронную подпись Microsoft Corporation


ivdic

Пользователь
Форумчанин
Регистрация
24.01.2018
Сообщения
4
Хром непроверяет подпись на валид.

позволяет избавится от сообщения в хроме, что файл вредоносный.)
а причем тут хром? вообще тема о том как обойти детект антивтрусов у исполняемых программ
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
Сорри за оффтоп, как я понял отсюда ->
Драйвер можно подписать таким тестовым сертификатом, но система даст его запустить всеравно только из под bcdedit.exe –set TESTSIGNING ON ?
Неужели нет никакого способа сделать локально для винды сертификат валидным? (Про известные эксплойты знаю, интересует именно возможность сделать локально подпись у драйвера валидной)
Ps Пытался сделать так -> но почемуто не валидная подпись всеравно
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 122
Репутация
8 238
@MIXA066, привет, рад видеть тебя на форуме.)))

Чит делаешь ?

Не, легально через подмену подписи никак не подписать, т.к. нужен валидный сертификат.

Но можно прогрузить через другой драйвер, вот пример:

Позволяет загрузить драйвер, через драйвер виртуалбокса, сам хочу попробовать, пишу кернел-мод руткит, короче как будет время время, интересно попробовать разные методы прогрузки драйвера...

Вот ещё способы прогрузки драйверов:



Вот манн, как пользоваться уязвимостями:

 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
Привет) Да, чит. Я сейчас дсефиксом пользуюсь, но что у него, что у метода через паленые драйвера (типо capcom) проблема в том, что античиты, которые включаются с запуском системы и работают до ее завершения не дают их просто заюзать. Похоже покупать придется сертификат Замолчи !!!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 122
Репутация
8 238
Привет) Да, чит. Я сейчас дсефиксом пользуюсь, но что у него, что у метода через паленые драйвера (типо capcom) проблема в том, что античиты, которые включаются с запуском системы и работают до ее завершения не дают их просто заюзать. Похоже покупать придется сертификат Замолчи !!!!!

Они палят флаг ntoskrnl!g_CiEnabled, а может и ещё что...Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!

Покупать смысла нет, если пишешь на паблик, античиты быстро добавят твой ЦП в блеклист и усё...)))
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
Они палят флаг ntoskrnl!g_CiEnabled, а может и ещё что...Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!

Покупать смысла нет, если пишешь на паблик, античиты быстро добавят твой ЦП в блеклист и усё...)))

Очевидно что не имеет смысла покупать сертификат под паблик, как минимум не окупится)
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 122
Репутация
8 238
Ну на продажу также, современные античиты, как-то определяют наличие читов и блокируют цифровые подписи, со временем...

Я не особо в теме, но интересно для "черных дел", как прогрузить руткит, поэтому читал, что прогружают через уязвимости + в самом чите какие-то средства скрытия используют, короче сложно всё-там.

Так просто написание драйвера недостаточно сейчас.
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
Ну на продажу также, современные античиты, как-то определяют наличие читов и блокируют цифровые подписи, со временем...
Так просто написание драйвера недостаточно сейчас.
На сколько мне известно единственный способ здесь - купить софт и вручную задетектить ту же подпись) Я не думаю что они могут делать какие-то дампы памяти, отсылать и потом анализировать.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 122
Репутация
8 238
На сколько мне известно единственный способ здесь - купить софт и вручную задетектить ту же подпись) Я не думаю что они могут делать какие-то дампы памяти, отсылать и потом анализировать.
Думаю есть технологии узнать есть-ли у игрока чит, вот у меня уже так на вскидку простые методы детекта читов, которые не скрывают себя в системе:

1. Почему-бы не проверить, какие драйвера в принципе присутствуют в системе, какие не известные античиту, уже отправлять на проверку, проверить присутствие драйвера не проблема в целом.
Именно поэтому лучше использовать уязвимости.

2. Думаю есть методики как-раз проверять дампы памяти, ну и далее по сигнатурам уже определять есть-ли чит.

Поэтому тут и использовать уязвимости уже недостаточно, нужно как-то морфить код самого драйвера, как вариант использовать виртуальные машины.

Использование виртуальных машин, вроде спасает сейчас.

Примерно так мне сказал человек, который познал дзен в читах, я особо не в теме, но античиты сейчас покруче антивирусов, сложно там все...

Но опять-таки, смотря для чего ты делаешь чит, может там и нет таких навороченных античитов.

Ещё как мне сказали у тех-кто делает читы сейчас, разделение:

1)Спецы, кто делает сам чит.
2)Спецы, кто этот чит скрывает в системе.

Это даже разные спецы, с разным уровнем знаний...)))
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
Думаю есть технологии узнать есть-ли у игрока чит, вот у меня уже так на вскидку простые методы детекта читов, которые не скрывают себя в системе:

1. Почему-бы не проверить, какие драйвера в принципе присутствуют в системе, какие не известные античиту, уже отправлять на проверку, проверить присутствие драйвера не проблема в целом.
Именно поэтому лучше использовать уязвимости.

2. Думаю есть методики как-раз проверять дампы памяти, ну и далее по сигнатурам уже определять есть-ли чит.

Поэтому тут и использовать уязвимости уже недостаточно, нужно как-то морфить код самого драйвера, как вариант использовать виртуальные машины.

Использование виртуальных машин, вроде спасает сейчас.

Примерно так мне сказал человек, который познал дзен в читах, я особо не в теме, но античиты сейчас покруче антивирусов, сложно там все...

Но опять-таки, смотря для чего ты делаешь чит, может там и нет таких навороченных античитов.

Ещё как мне сказали у тех-кто делает читы сейчас, разделение:

1)Спецы, кто делает сам чит.
2)Спецы, кто этот чит скрывает в системе.

Это даже разные спецы, с разным уровнем знаний...)))

Получается я познал дзен читов)
Не очень понял, уязвимости сводятся в любом случае к тому что драйвер запускается в системе. Поэтому драйвер с подписью уж точно выглядит легитнее чем загруженный эксплойтом.
1. Во первых по gdpr это как минимум не законно - пересылать какието дампы с компьютера юзеров. Во вторых - драйверов просто бесконечно много сейчас, да, можно по сигнатуре задетектить драйвер определенного чита, но сначала придется его купить и зареверсить.
2. Как по мне очень преувеличено. Просто трукодиры занимающиеся читами (особенно СНГ) очень любят набивать значимости себе. Как пример могу привести проект в 17 году у меня был чит для PUBG античит BattleEye. Чит на драйвере был. Ну в общем работал он полгода где-то. Есп один раз ушло в детект под конец, радар был лайфтайм UD. Я уверен 99% ESP ушел в детект потому что купивший слил разработчикам. Я продавал по такой схеме ~ 10 человек юзают одну версию драйвера и клиента, следующие 10 человек другую. Ну вот и единственные копии которые ушли в детект (там под конец уже было) были у 3 человек. У всех остальных групп точно такой же чит был undetect.
Закрыть пришлось потому что гении из пабга начали выкатывать обновы каждый час и на UC перестали оффсеты выкладывать) Для меня добыча этих оффсетов темный лес (до сих пор не умею :Mem26:), да и игра надоела (изначально для себя делал), ну и в общем сам обход работает до сих пор, просто нужно оффсеты исправить.

Ну в общем это все к тому, что по факту античиты - автоматика они не могут взять и начать детектить заморфеный драйвер/клиент вдруг снихуя.

PS У конкурентов читы отлетали буквально каждую неделю. Это к слову о мощности античита. Тогда, вроде и сейчас даже пабг 1 по онлайну в мире. Но типо вот простое разделение версий чита спокойно спасает от ручных детектов, даже если купят и сольют - ну будет 10 банов, все остальные юзеры останутся в андетекте.
 
Последнее редактирование:
Верх Низ