Обман VAC && MD5 spoofing

[RockHammer]

Добрый день.

Нашел на просторах интернета одну приблудину, которая может помочь в обходе VAC.

Как и было сказано в этой теме - VAC это всего лишь "ищейка" а не античит, и ищет эта ищейка результат работы других умных дядек.

VAC ищет md5 хешы читов, которые уже обработали сотрудники steam && vac. 

А эта приблудинка будет портить им жизнь. Даже если ваш чит есть в паблике - то можно оттянуть его появление в базах vac.

- Q: Что делает эта софтинка?

- A: Она приписывает в заголовок .exe || .dll файла указанное количество байтов || мегабайтов, делая md5 хеш уже отличным от предыдущего значения. Придется серьезно помучится чтобы обнаружить преступника у которого внешность меняется.

- Q: В ней есть вирус?

- A: Да. Он сожжет твой комп, повесит на тебя кредит и должит в фмс что ты беглый азиат, работающий на стройке полевой медсестрой, лол

 

Небольшая идейка от меня:

Итак, эта софтинка не защищена и написана на C# (инфа соточка). Можно разбить её и выдрать те куски кода, где она дописывает в заголовок байты.

- Q: Что с этим делать? 

- A: Создать свой загрузчик. Залить на FTP вашу .dll 'ку и написать инжектор, который будет загружать её из облака в секретное место, хукает её заголовок на рандомное кол-во байт, подгружает в процесс в режиме стелс. Ну и далее удаляются все следы. 

Кто-то хотел взломать VAC?  Вот вам солюшен, вполне реальный и выполнимый.

 

Скачать софтину

ВирусТотал

[источник] 

Изменено 7 марта, 2015 пользователем RockHamer

[Garik66]

RockHamer

Выложи что нибудь своё рабочее написанное и думаю что тебе, как и Dison предложат Treiner Maker

[RockHammer]

RockHamer

Выложи что нибудь своё рабочее написанное и думаю что тебе, как и Dison предложат Treiner Maker

 

А это не рабочее? Рабочее ведь. К тому же, я не знаю что писать. 

Я вполне могу написать чит на с++, но чит этот будет лишь на нупы. Если бы умел делать инъекцию на с++ то давно бы загадил форум своими работами.

Изменено 7 марта, 2015 пользователем RockHamer

[ARM4ND0]

Это конечно круто, но иногда надо на дату посмотреть - Июль 2014.

Вряд ли создатели VAC настолько тупые)

[Coder]

- A: Создать свой загрузчик. Залить на FTP вашу .dll 'ку и написать инжектор, который будет загружать её из облака в секретное место, хукает её заголовок на рандомное кол-во байт, подгружает в процесс в режиме стелс. Ну и далее удаляются все следы. 

 

Тогда уж лучше не сохранять ее на диск, а инжектить прямо из оперативной памяти.

[RockHammer]

Это конечно круто, но иногда надо на дату посмотреть - Июль 2014.

Вряд ли создатели VAC настолько тупые)

Солюшен есть в топике, процетирую:

 

Итак, эта софтинка не защищена и написана на C# (инфа соточка). Можно разбить её и выдрать те куски кода, где она дописывает в заголовок байты.

Софтинку можно декомпилировать вычленить из неё сам принцип инъекции байтов в заголовок, написать свой аналог уже на готовый лад (я про загрузчик).

 

Тогда уж лучше не сохранять ее на диск, а инжектить прямо из оперативной памяти.

Тут я не совсем еще продумал. Ведь нужно будет загруженную из облака дллку как-то "дополнить" байтами, чтобы md5 сбить... Вот нужно это еще доработать, как сделать так чтобы на диске не появлялась и в тоже время какое-то временное хранилище выделить...

У меня была мыслишка: выделять место в самом себе под неё. Т.е. в нашем загрузчике алокать место под загружаемый либ, оттуда и проводить все операции, изнутри себя. Но это пока только мысли.

Изменено 7 марта, 2015 пользователем RockHamer

[Coder]

Тут я не совсем еще продумал. Ведь нужно будет загруженную из облака дллку как-то "дополнить" байтами, чтобы md5 сбить... Вот нужно это еще доработать, как сделать так чтобы на диске не появлялась и в тоже время какое-то временное хранилище выделить...

У меня была мыслишка: выделять место в самом себе под неё. Т.е. в нашем загрузчике алокать место под загружаемый либ, оттуда и проводить все операции, изнутри себя. Но это пока только мысли.

dll-ка загружается напрямую в оперативную память с сервера, а после запускается любой полиморфник или рандомизатор, проще некуда.

[Garik66]

А это не рабочее? 

Я имел ввиду выбери пару интересных игрушек и напиши под них таблицу для CE или трейнер (что ещё круче будет) с 7 - 10 опциями.

 

 

Я вполне могу написать чит на с++, но чит этот будет лишь на нупы. 

Если посмотришь мои скрипты, то там в основном используются (думаю как и у других) только три инструкции: CMP, MOV и NOP.

[RockHammer]

Я имел ввиду выбери пару интересных игрушек и напиши под них таблицу для CE или трейнер (что ещё круче будет) с 7 - 10 опциями.

 

Если посмотришь мои скрипты, то там в основном используются (думаю как и у других) только три инструкции: CMP, MOV и NOP.

Нет, ты не понял. Нупы - это \x90 байты. Я могу просто записывать эти байты в память по заданным адресам. Кстати, адреса могу аобкой сделать, навыки имеются. Но чтобы инъекцию сделать - нужно... Не знаю что нужно. В том и беда

P.s. в одной из тем мне отвечали как это делается, но сейчас я уже потерял эту тему. Даже теги не помню, для поиска...

[Garik66]

А в СЕ ассемблере неужели ничего не сможешь написать? Примеров много..

[RockHammer]

А в СЕ ассемблере неужели ничего не сможешь написать? Примеров много..

СЕ не фонтан... На с++ возможностей больше в разы.

[Garik66]

СЕ не фонтан... На с++ возможностей больше в разы.

Тогда удачи в C++ -ном взломе.

[RockHammer]

Тогда удачи в C++ -ном взломе.

Спасибо

Осталось чуть-чуть до полного "погружения" в с++ )

Задраить люки!

[Matroix123]

если уже сделал vac bypass, что от меня хочешь ? почему пишешь в пм как создать VAC BYPASS? )

[RockHammer]

если уже сделал vac bypass, что от меня хочешь ? почему пишешь в пм как создать VAC BYPASS? )

Я ищу новые способы взлома. Что плохого в желании само совершенствоваться?

[keng]

Обсуждать личку на всеобщем обозрении - не очень прилично.

[RockHammer]

Обсуждать личку на всеобщем обозрении - не очень прилично.

поддерживаю.

[gmz]

мего софтина .нет говнокодеры как всегда ПОРАЖАЮТ идиотизмом, добавил автор кучу нулей - всеее 100% ундетектед Lol

 

это что бонус?

************** Exception Text **************
System.ComponentModel.Win32Exception (0x80004005): Application not found
   at System.Diagnostics.Process.StartWithShellExecuteEx(ProcessStartInfo startInfo)
   at System.Diagnostics.Process.Start()
   at System.Diagnostics.Process.Start(ProcessStartInfo startInfo)
   at Byte_Changer___v1._3.Main_Form.p_lugu_Click(Object sender, EventArgs e)
   at System.Windows.Forms.Control.OnClick(EventArgs e)
   at System.Windows.Forms.Control.WmMouseUp(Message& m, MouseButtons button, Int32 clicks)
   at System.Windows.Forms.Control.WndProc(Message& m)
   at System.Windows.Forms.Control.ControlNativeWindow.OnMessage(Message& m)
   at System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
   at System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)
 

 

************** Exception Text **************

System.IO.IOException: The file 'C:\Users\test\Desktop\aaaaaa.dll' already exists.
   at System.IO.__Error.WinIOError(Int32 errorCode, String maybeFullPath)
   at System.IO.File.InternalCopy(String sourceFileName, String destFileName, Boolean overwrite, Boolean checkHost)

....

[Coder]

мего софтина .нет говнокодеры как всегда ПОРАЖАЮТ идиотизмом, добавил автор кучу нулей - всеее 100% ундетектед Lol

Чего еще стоило ожидать от подобного рода программы? Это ж не полиморфник или что-то в этом духе)

[RockHammer]

мего софтина .нет говнокодеры как всегда ПОРАЖАЮТ идиотизмом, добавил автор кучу нулей - всеее 100% ундетектед Lol

Отвергаешь? Предлагай! 

Не предлагаешь? Помалкивай!

Я нашёл то, что считаю эффективным. Если тебя эта программа не устраивает - то просто проходи мимо. Ищи свою.

Изменено 28 марта, 2015 пользователем NullAlex

[Garik66]

Отвергаешь? Предлагай!  Не предлагаешь? Помалкивай!

Поставь себе в девиз. Хорошо звучит!!! (Плюсану).

 

ЗЫ: Но перестаньте копировать полностью сообщение (уже писал здесь об этом), копируйте только то, что нужно, тем более Xipho добавил очень удобный инструмент:

Добавил фишку - если выделяете какой-то текст в посте чьем-либо, сразу же всплывает окно с возможностью скопировать имя или цитировать выделенное. Мне кажется, удобно.

 

[RockHammer]

перестаньте копировать полностью сообщение

Ok) Просто я с ноута сижу и с тачпада это надо изловчиться, чтобы выделить какой-то текст)

[gmz]

Отвергаешь? Предлагай! 

Не предлагаешь? Помалкивай!

Я нашёл то, что считаю эффективным. Если тебя эта программа не устраивает - то просто проходи мимо. Ищи свою.

вак не настолько примитивный что бы его уделали такой фигней

[RockHammer]

вак не настолько примитивный что бы его уделали такой фигней

You are make mistake. VAC это не актичит вовсе. Это простая ищейка. 

По крайней мере читы он ищет именно таким образом.

В играх же, чтобы его обойти, нужно просто скрывать следы своего прибывания. Я думал, это очевидно. А вот чтобы твой "идеальный" чит не спалили админы, что называется, вручную - то нужно перестраховаться с инфицированием файла и дописыванием в заголовок несколько килобайт.

 

P.s. на счет скрытия чита (замены WinAPI функций) я еще мало что знаю. Как только оживет мой ПК - постараюсь что-нибудь с этим сделать.

Изменено 27 марта, 2015 пользователем RockHamer

[serega11134]

VAC  как и другой античит не чего не видет  если нет в базе, ИГРАЕМ уже два года . Главное собрать на своем ПК и не давать не кому!!!!!!!! И не внедрятся в процесс а читать из него.

Изменено 28 марта, 2015 пользователем serega11134