Перейти к содержанию

Блоги

Исследовательский центр имени partoftheworlD
 

[GHIDRA] Спустя 2 недели использования

Ну что ж, вот и прошло 2 недели с момента выхода GHIDRA и хотите верьте, хотите нет, но за все это время у меня не возникло желания вернуться в IDA (даже открыть). Т.е. весь функционал, который дает гидра из коробки в IDA реализован только в плагинах.   Производительность. После релиза я писал статью, где рассказывал о «баге» с производительностью, как мне потом объяснили, что такое возможно на свежеустановленной Java, т.е. после запуска какие-то данные кешируются на жесткий, чтобы при последующих запусках не выдирать их из файлов GHIDRA, так что сейчас с этим все отлично. Ах, да гибкие настройки автоанализа, которые позволяют выбрать что именно нужно анализировать, уменьшить количество потоков, анализирующих файл, чтобы уменьшить нагрузку на систему.   Декомпиляция. С этим что у Hex-Rays, что у GHIDRA все на одном уровне. Где-то вывод хуже в GHIDRA, где-то в IDA. Но для себя я выбрал декомпилятор гидры просто потому, что у меня на руках есть все правила декомпилятора и если, вдруг, что-то где-то выводится неправильно, то я могу поправить это за 5 минут, а не ждать год в лучшем случае, пока китайцы сольют новую версию IDA, где возможно, поправят этот баг. Временами вывод декомпилятора GHIDRA странный, если сравнивать с IDA, но если вдуматься, то он более логичный.   Документация. Еще гидра идет с подробнейшей документаций как по работе с GHIDRA, так и по работе с API. В менеджере скриптов, так же идут различные примеры работы с кодом. И переписывая плагин для ассоциации функций строками, наслаждался эти процессом, из-за того, что в документации написано «чтобы использовать эту апи, вот эту штуку засунь сюда и получишь вот это, с которой можно работать вот так»   Плагины. К моему глубочайшему удивлению за 2 недели комьюнити наделало огромное количество плагинов. Хочешь деобфускатор кода — пожалуйста, хочешь загрузчик switch, wasm, ps4, sega — без проблем, есть какая-то специфичная прошивка для специфичной железяки — читай документацию и без проблем сделаешь для него загрузчик и даже декомпилятор.    И в заключении, сегодня я удалил IDA из-за ненадобности. Да, она была хороша и удобна, когда не было альтернатив, но сейчас у IDA нет какой-то особенной фитчи, которая бы серьезно повлияла на выбор в её пользу.   
partoftheworlD

partoftheworlD

1
Исследовательский центр имени partoftheworlD
 

[Ghidra] Function String Associate релиз.

Переписал скрипт на гидролад.(я теперь знаю Java через Python 😄)
 Делает все тоже самое, рекурсивный поиск строк в функции и создание комментов.   Установка: Скачиваем файл из  репозитория Добавляем его в менеджер скриптов Ищем среди всех скриптов Запускаем     Надо будет еще по колдовать над форматированием строк, а так вроде все работает. Если что, какие-то баги, пишите сюда или создавайте репорт на гитхабе.
partoftheworlD

partoftheworlD

0
Записки рачишки

Bypass EAC, BE, MRAC [Clean screenshots]

Обход функции, снятия скринов античитами.    x32 / x64 Win7+   Запускать можно как до, так и после запуска игры Запустить файл Играть В зависимости от античита, скрины не будут сниматься или будут чистые BpsByJH.rar
JustHack

JustHack

0
Исследовательский центр имени partoftheworlD
 

Импорт баз данных IDA в GHIDRA

Вместе с гидрой в папке ${GHIDRA}/Extensions/IDAPro/ идет плагин для IDA, для импорта и экспорт баз в виде XML.     Открываем плагин, выбираем, что нужно экспортировать и ждем завершения процесса.   На выходе получаем базу в виде XML файла(со всеми сохранными данными) и просто переносим его в окно GHIDRA. Происходит импорт.     ...        
partoftheworlD

partoftheworlD

0
Исследовательский центр имени partoftheworlD
 

[GHIDRA] Первые ощущения

Ну что ж, все ощущения буду сравнивать с IDA. Дизассемблер рабочий, со странными "горячими" клавишами, сканирование проходит быстрее.     Декомпилятор работает на уровне с Hex-Ray, в некоторых моментах даже лучше. Автоматическое создание структур из коробки это действительно круто. Все что делается в IDA плагинами, в гидре есть из коробки, очень подробная документация к API, скрипты можно писать на Python и Java. О дааа, гидра умеет в различные типы, чего ида до сих пор не могет.     Сравнение декомпиляторов(низ ида, верх гидра)   Сверх удобная работа с сигнатурами функций   В ида это выглядит куда хуже.   Графическое представление функций, все же я выберу гидру, графики выглядят не так скомкано, временами это мешает сфокусироваться на отдельном блоке.   Так же у гидры удобное отображение функций при использовании классов. К примеру, в аргументах к функции используется созданная структура, гидра позволяет видеть в каких функциях она использована. Встроенный экспорт заголовков с созданными структурами, очень радует.   А вот так выглядит ручное создание классов. Создание классов так же поддерживает пространство имен, что удобно при реверсе, чтобы не создавать из одного класса помойку.   Одна из очушенных фитч, это сравнение функций, берем 2 или более функции и сравниваем, удобно бороться с самодельными пакерами имеющий ловушки. Так же поддерживается сравнение функций в разных файлах, что-то типа встроенного BinDiff.   Из минусов(временных) отсутствие поддержки темной темы и FLIRT анализа.   В заключение, мне кажется разработчикам иды придется очень-очень сильно постараться, либо снижать цены очень сильно, чтобы люди не уходили на бесплатный продукт с аналогичным функционалом. После переезда иды на новый API, ситуация с плагинами у неё не самая лучшая, но тут гидра выигрывает встроенным функционалом. Сейчас для меня гидра выигрывает почти по всем параметрам, пореверсим что-нибудь рабочее и посмотрим как себя поведет программа, какие проблемы могут быть и про это будет отдельная статья через 1-2 недели.  
partoftheworlD

partoftheworlD

6
Н.и.К под собранием дрикеторов imaginary
 

Запуск flash приложения отдельно от браузера

Наверняка многие из вас не задумывались о том, можно ли запустить онлайн или одиночную flash игру из браузера отдельно, например для повышения производительности и разворачивания на весь экран? Так вот - такой способ есть, и даже очень простой. Нам понадобится вот эта программа, это официальный flash проигрыватель - вся его функция это проигрывать приложение по ссылке, с компьютера или же из интернета.

Теперь такая инструкция - идём на сайт с интересующей нас игрой, к примеру я пойду на сайт где можно сыграть в "bad pigges".  
Теперь идём во вкладку позволяющую просматривать загружаемые файлы, у меня это "сеть" и в фильтр поиска вписываем .swf
Запускаем плагин (если у вас нету такого, перезагрузите страницу вместо запуска плагина).
Видим что нашлись файлы:
Копируем URL файла, и идём в нашу программу. Зайдя в программу нажимаем на Файл --> Открыть... и получаем такое окно:
В него вставляем ранее найденный URL и нажимаем ОК.
Запускается игра, и мы можем развернуть на любой размер. Вот на весь экран у меня:
С онлайн играми та же история, но тут есть одно но. Если в игре есть авторизация которая происходит через соц сеть или же через сайт, а не через flash, то вам нужно будет авторизовавшись в игре сразу получить ссылку не дав ей загрузиться, и сразу закрыть, так как по этой сесси вряд ли пустит ещё раз (защита от взлома аккаунта).После этого можно открывать эту ссылку во flash.
Кстати, открываемые ссылки сохраняются, так что вам не придётся постоянно искать их заново. Нужно будет просто выбрать из меню.
imaginary

imaginary

0
Записки рачишки

Рачишке 1 год

Уважаемые Коллеги и Клиенты! Прошел ровно год, как я присоединился к сообществу геймхакеров.   От человека, который не знал, как найти точность в игре - до того, кем я сейчас являюсь, ровно год. За этот год было много всего. Были недопонимания, споры, интересные задачи, рутиная работа, радость побед и бессонные ночи с отладчиком в обнимку. Мы с вами работали и продолжаем работать, не отвлекаясь на внешние факторы, не оглядываясь на противников (разработчиков систем противодействия нарушителям в игре), потому-что нам просто некогда. И это правильно! Не нужно останавливаться на достигнутом и довольствоваться малым. Всегда нужно двигаться вперед, и тогда результат обязательно будет. Сегодня мы с вами добились хороших результатов, но стоять на месте мы не будем. Мы будем расширяться, открывать новые направления и прокладывать ещё более длинные дороги к успеху. Всегда приятно встретить праздник в окружении достойных противников, лучших клиентов и коллег профессионалов.      
JustHack

JustHack

0
Исследовательский центр имени partoftheworlD
 

Нахождение функции трассировки лучей

Начнем с теории, для того чтобы, что-то реверсить, надо знать как это работает, для этого стоит почитать вот эту книжку, а так же понять устройство функции выстрела.
Для этого нарисовал небольшую схему, описывающую в общих чертах, что происходит под капотом при нажатии ЛКМ в игре.     Как видим на схеме, необходимо проделать все тоже, что делали в прошлой статье по нахождению разброса, на данном этапе необходимо найти функцию рисующую дырки от пуль, по деловому она называется FX_FireBullet.   Если мы попали в функцию "Создания следов от выстрелов", остается только дебажить. В итоге внутри вложенной функции, внутри FX_FireBullet мы найдем такой код.  
  Он может отличаться, количество аргументов быть больше/меньше. Но вот какие аргументы принимала функция:   Координаты начальной позиции:     Координаты конечной позиции:   3-й аргумент маска. Маска задает магической функции создания луча, какие текстуры луч должен игнорировать, а с какими работать.
4-й аргумент фильтр трассировки 5-й аргумент булева переменная, указывающая, должна ли функция использовать группу коллизий. 6-й аргумент буфер, для вывода результата магии.   Вот какие значения получаем на выходе.     Красным выделено, то ради чего весь этот поиск затеян, это значение является чем-то типа процента отражения луча, обычно это значение от 0 до 1. На отражение так же влияет маска и если мы её подправим, отключив при трассировке все лишнее, оставив только модельку игрока, то возвращаемое значение fraction будет рано 0.95-1 если видим противника и можем попасть, и 0 если что-то мешает.     Ах да, совсем забыл, эта функция обычно находится в цикле for, просто для того, чтобы вызываться и рассчитывать разброс, дырки от пуль, трассировку каждый выстрел. В некоторых играх попадаются интересные реализации, т.е нет какой-то определенной функции работающей с трассировкой, но зато есть методы работающие с игровыми скриптами.     Этот метод ищет функцию по её названию и вызывает, а внутри этого метода находятся функции трассировки, но работают они по-разному в зависимости от передаваемого имени, а видимость задается 0 и 1, которое функция возвращает.  
partoftheworlD

partoftheworlD

0
Исследовательский центр имени partoftheworlD
 

Отключение разброса на уровне рандомизации значений

Обнуление прицела это конечно хорошо и просто, но часто не работает с оружием у которого нет прицела. Для начала необходимо найти адрес работающий с перекрестием. Бряк на доступ. Делаем выстрел.     1 выстрел 1 срабатывание инструкции, то что нужно. Открываем дизассемблер и разбираемся что тут происходит. Я уже все декомпилировал.     Готово, после реверса становится ясно, что тут у нас создаются значения, которые задают разброс оружию.   rng_init возвращает значение размером в 2 байта, мне кажется это seed (число используемое для инициализации генератора псевдослучайных чисел)   rng_flt возвращает значение float, первым аргументом задается seed, вторым минимально возможное значение, третьим максимально возможное.     В принципе тут все, чтобы разброса не было, можно либо отключить проверку, либо, при условии запрета на инжект перехватывать seed, для генерации в собственном чите, чтобы компенсировать разброс.      Или ноускопить как млг про     Но на этом не все, прелесть данного способа в том, что, если мы нашли функцию инициализирующую генератор псевдослучайных чисел, мы можем управлять всем, что только работает с псевдорандомом, например выпадение лута, движение ветра, шанс крафта, успешность взлома и т.д. Только посмотрите, сколько здесь возможностей для взлома, используя псевдорандом.  
partoftheworlD

partoftheworlD

1
Исследовательский центр имени partoftheworlD
 

CrySearch <3

Сегодня поговорим про CrySearch и причины по которым я его выбрал.   1. Чистый код. Если сравнить репозитории CE и CrySearch вы поймете про что я.   2. Скорость сканирования. После того как я впервые воспользовался CrySearch для поиска неизвестного, я удивился и не мог поверить, что поиск может занимать так мало времени.   3. Встроенные защиты от анти-читов. Рандомные заголовки, разные методы внедрения, чтения, записи в память, открытия потока, запрет на чтение физически не поддерживаемой памяти.
  4. Все под рукой.   Посмотрите на интерфейс, в нем нет ничего лишнего, а если что-то мешает, всегда можно отключить.     5. Интересный TODO лист   Много чего интересного ожидается, т.е автор собирается добавлять действительно нужные плюшки для взлома, а не делать из программы для сканирования памяти комбайн, который вроде бы и работает, но часть функционала сделана слишком не удобно для использования.        
partoftheworlD

partoftheworlD

1
Блог MasterGH
 

Встраиваем C декомпилятор в CE 6.8.3

Вступление   В CE выделим участок кода и функцию Sub eax,edx - вычитание и наиболее значимее чем запись и чтение. После декомпиляции Если выделили две инструкции   Обращать внимание будем на математику, логику, условия и потом на чтение и запись. В данном случае, нужно найти вычитание из адреса "eax4->f1152 = eax4->f1152 - (eax3 + 1)"     Как поставить декомпилятор 1. С форума Cheat Engine качаем архив 2. Распаковываем в папку с Cheat Engine 3. В настройках открываем плагин cesmartdec.dll 4. Идем на инструкцию, выделяем функцию  5. Декомпилируем на первой выделенной инструкции из всех выделенных  
MasterGH

MasterGH

1
Исследовательский центр имени partoftheworlD
 

Создание Manjaro base образа для Docker

Для начала необходимо запустить демон докера: systemctl start docker  Создаем rootfs mkdir ~/Desktop/rootfs && cd ~/Desktop/ Если это делается на рабочей системе, а не с live cd, то необходимо установить pacstrap pacman -S arch-install-scripts   pacstrap -cdGM rootfs filesystem pacman Делаем различные настройки, типа cp /etc/pacman-mirrors.conf ~/Desktop/rootfs/etc/pacman-mirrors.conf  Импортируем созданный образ в докер.  tar -C rootfs -c . | docker import - manjaro_docker   Запускаем   docker run -it manjaro_docker /bin/bash   Необходимо будет установить ключи для пакмана  pacman-key –-init pacman-key --populate archlinux manjaro  И зеркала:  pacman-mirrors -c Russia Выходим.  Принимаем изменения docker commit ${containerid} manjaro_dk И используем образ в Dockerfile FROM manjaro_dk  RUN pacman -Syyuu --noconfirm base-devel RUN pacman -Scc –noconfirm …     Экспорт: docker export NAME | gzip > NAME.gz  
partoftheworlD

partoftheworlD

2
Исследовательский центр имени partoftheworlD
 

Определение signed и unsigned модификаторов переменных в дизассемблере

Знание модификатора переменной на этапе реверса поможет найти проблемы в коде или новый функционал для читов.  Для примера, если программист не указал модификатор переменной, то компилятор решит использоваться signed по стандарту, это может привести к проблемам, например к целочисленному переполнению, если в коде, не будет соответствующей проверки. Для начала посмотрим на таблицу, чтобы понять в чем разница.     Как вы видите, разница в диапазонах. А теперь посмотрим на примере одного и того же кода на c++, различие в инструкциях signed и unsigned модификаторов.   Signed | Unsigned push rbp | push rbp mov rbp,rsp | mov rbp,rsp mov DWORD PTR [rbp-0x4],edi | mov DWORD PTR [rbp-0x4],edi cmp DWORD PTR [rbp-0x4],0x62 | cmp DWORD PTR [rbp-0x4],0x62 jg 4004cc <test_signed(int)+0x1a> | ja 4004c9 <test_signed(unsigned int)+0x17> mov eax,DWORD PTR [rbp-0x4] | mov eax,DWORD PTR [rbp-0x4] lea edx,[rax+0x32] | add eax,0x19 mov eax,DWORD PTR [rbp-0x4] | add eax,eax add eax,edx | jmp 4004c9 <test_signed(unsigned int)+0x17> jmp 4004cc <test_signed(int)+0x1a> | pop rbp pop rbp | ret ret | Первое это конечно же условные прыжки: jg, jge, jl, jle = прыжки основанные на signed сравнении (Они проверяют SF флаг) ja, jae, jb, jbe = прыжки основанные на unsigned сравнении (Они проверяют CF флаг) Второе инструкции( на примере умножения и деления)   imul + idiv = signed mul + div = unsigned Это примеры для самых основных команд, которые встречаются чаще всего, хотите больше? Добро пожаловать в документацию .   На практике это дает возможность, делать отрицательное/огромное значение, там где не должно их быть. И в случае невнимательности программистов, что-то пойдет не так, но будет весело.
partoftheworlD

partoftheworlD

0
Исследовательский центр имени partoftheworlD
 

Обход проверки целостности (программный метод)

Однажды я уже рассказывал как обойти проверку целостности руками, но это долго, нудно, да и кому вообще надо?!
Для начала необходимые утилиты: x64dbg, CrySearch/CE, любой компилятор.   Нашли адрес отвечающий за патроны, ставим на него бряк на запись, выходи на пишущую инструкцию, ставим бряк на доступ размером 1 байт в памяти на эту инструкцию и ждем срабатывания. После срабатывания в заголовке x64dbg будет написан ID потока.     Переходим во вкладку "Потоки", здесь нам необходим только адрес начала:     Теперь переходим к автоматизации, вся суть этого обхода в получении всех потоков и сравнении адреса начала, т.е если адрес начала равен 0x7FF730E2449D, то убиваем поток. Вот и весь обход.   if (reinterpret_cast<DWORD64>(thread->Win32StartAddress) == (reinterpret_cast<DWORD64>(mainModule) + 0x4490)) { HANDLE hThread = OpenThread(THREAD_TERMINATE, FALSE, threadId); TerminateThread(hThread, 1); CloseHandle(hThread); }   0x4490 это относительный виртуальный адрес адреса начала потока.      
partoftheworlD

partoftheworlD

6
Исследовательский центр имени partoftheworlD
 

[Star Wars: Battlefront] ESP правкой пары байт.

Ну что ж, я отлично отдохнул и самое время для статьи.   Для начала нам необходимо создать локальный матч, обязательно экипировать бинокль(он как раз и создает эту обводку) и можно приступать. Ищем все как по учебнику - неизвестное 4 байта.  Находим адрес со значением имеющим F1, это обозначает красный цвет обводки:       Теперь нам необходимо восстановить указатель, чтобы после обнов не обновлять чит каждый раз.   ====================================================================================   Получаем указатель вида CWorld->pGameContext ->Entity List + id * 8] -> pSolderVehicleVisuals -> 0x04B5. Пишем перебор всех игроков, проверку по номеру команды и добавляем подсветку.  В итоге, получаем чит в 9 строк.   И конечно же, результат.    
partoftheworlD

partoftheworlD

0
Записки рачишки

Новогодний PvP нагиб Warface

Возможен бан в игре. Вы используйте хак, на свой страх и риск.   Перед использованием, ознакомьтесь с ЭТИМ   Поддерживаемые ОС: Win7+ (x32 , x64) Поддерживаемые античиты: MRAC   Версия от 29.12.18 (Последняя) Undetected            Мемхаки: Без отдачи (Убирает отдачу у всего оружия) Точность 100% (Все пули летят в 1 точку) Супер урон (Повышает наносимый урон каждой пули в 10 раз) Скрыть ники (Скрывает ваш ник, ники союзников и противников. Вы будете показываться как ADMIN,  все остальные как BOT. В списке игроков, не будет видно НИКОГО) Антислепа (Убирает эффект светошумовых гранат) Подсад (Вы сможете забираться на любые возвышенности, без помощи напарника, там где это возможно в игре) Длинный подкат (Сможете подкатываться через полкарты) Бесконечные патроны (Патроны никогда не заканчиваются) Кик с ПВЕ (Сможете исключить ЛЮБОГО союзника с ЛЮБОЙ миссии или Спецоперации, в ЛЮБОЙ момент) ЕСП: Силуеты (Обводит противников в определенный цвет, в зависимости от видимости ) Линии (показывает линии от вашего прицела до противников) Взрывчатка (Позволяет видеть установленные мины, а также гранаты летящие в вас) Аимбот: Фаст Аим (Убиваете противников, даже не наводясь на них) Угол Аима (Выбор угла действия Аима) Кость (Аим всегда наводится на выбранную кость) Триггер бот / Автошот (Производит выстрел, при наведение на любую кость противника. Очень полезен на снайпере или медике.)   Инструкция: Закрываете игру и ИЦ Запускаете хак Запускаете игру Нагибаете   Показать / Скрыть меню - клавиша HOME Пароль от архива : wfru   ВИДЕО   ENJOY
JustHack

JustHack

2
Блог MasterGH
 

CE 6.8.2. Lua .Считаем размер инъекции в байтах

Пост для тех, кто интересуется Lua в Cheat Engine.    Можно подхватить разные моменты активации и деактивации записи в таблице CE и рассчитать размер кода между метками   1. По шаблону вставляем АА код для туториала Cheat Engine 2. Регистрируем метки-маркеры в АА коде 3. Этими метками в Lua считаем и выводим ""endCode - startCode" размер байтов   Пример, который подсчитал 15 байтов       Пример скрипта   Документация кому интересно  
MasterGH

MasterGH

2
×

Важная информация

Находясь на нашем сайте, Вы автоматически соглашаетесь соблюдать наши Условия использования.

  Я принимаю