Форум администраторов игровых серверов - Показать сообщение отдельно - Адреналин и смарт сотрудничают? Или убытки лета двигают людей на крайности?

Alay · 01.08.2017, 10:32

Как не странно, у адриналина есть адреса в имидже которые не меняли своего значения во всех релизных сборках. По крайней мере на win7 и win10. Чекаем перед запуском клиента все процессы на значение в этом адресе. Если находим. process.kill(); Все это можно сделать даже на управляемом языке. Меняя шифрацию чтобы без данного протектора на сервер не зашло.
Лично я сделал так. Есть маленький апдейтер который подрубается к серверу авторизации, устанавливает шифрованое соединение с "мудреной" передачей ключей (разбиение ключа по нескольким местам в нескольких пакетах). Потом скачивает по сети assembly с логикой протектора (напрямую в память) которая по скачиванию запускается. Который уже по нажатию кнопки start чекает все процессы. Все сборки поверх еще обфусцированны и замакоронены eziris'om последней версии.
пример макарошки

Код:

 YXEqALEvXd6T0Z6yNW.Va40BySTFHHbMgagfi(num24, YXEqALEvXd6T0Z6yNW.TZg2dUVBoeO8ZWjmNf((object) binaryReader));
                                                                                    num23 = 355;
                                                                                    goto label_261;
label_372:
                                                                                    numArray2[19] = (byte) (33 + 64);
                                                                                    num23 = 11;
                                                                                    goto label_261;
label_373:
                                                                                    num2 = 15 + 21;
                                                                                    num1 = 321;
                                                                                    continue;
label_376:
                                                                                    num35 = 0;
                                                                                    num23 = 292;
                                                                                    goto label_261;
label_377:
                                                                                    numArray6[4] = (byte) num7;
                                                                                    num23 = 132;
                                                                                    goto label_261;
label_378:
                                                                                    numArray6[3] = (byte) num7;
                                                                                    num23 = 139;
                                                                                    goto label_261;

На которую декриптера сейчас в свободном доступе нет. Короче говоря, тот кто захочет чтобы у него не работал бот - сделает. Ну а если совсем просто то можно без хуков сетевой части клиента, тупо проксировать и перешифровывать трафик на стороне протектора (сам апдейтер и протектер написаны на c#)
А даже если Pcoder изменить значения адресов, всегда можно найти другой) а так как у нас протектор автоматом качается при каждом запуске, и остается возможность "горячей" замены кода, то как только вышло обновление - можно сразу же поменять алгоритм. А самое интересно что антивирусы не обращают вообще никакого внимания на данный апдейтер, единственное, что если в манифесте будет требовать права админа (а они нужны) то парочку антивирей поругаются на fulltrust. Чисто ради интереса с нодом пробывал таким образом подргужать самописный кейлоггер. Никаких визгов антивиря не возникло.

01.08.2017, 10:32	#80
Alay Пользователь Регистрация: 23.09.2016 Возраст: 30 Сообщений: 142 Отблагодарили 9 раз(а) Рейтинг мнений: -7	Re: Адреналин и смарт сотрудничают? Или убытки лета двигают людей на крайности? Как не странно, у адриналина есть адреса в имидже которые не меняли своего значения во всех релизных сборках. По крайней мере на win7 и win10. Чекаем перед запуском клиента все процессы на значение в этом адресе. Если находим. process.kill(); Все это можно сделать даже на управляемом языке. Меняя шифрацию чтобы без данного протектора на сервер не зашло. Лично я сделал так. Есть маленький апдейтер который подрубается к серверу авторизации, устанавливает шифрованое соединение с "мудреной" передачей ключей (разбиение ключа по нескольким местам в нескольких пакетах). Потом скачивает по сети assembly с логикой протектора (напрямую в память) которая по скачиванию запускается. Который уже по нажатию кнопки start чекает все процессы. Все сборки поверх еще обфусцированны и замакоронены eziris'om последней версии. пример макарошки Код: YXEqALEvXd6T0Z6yNW.Va40BySTFHHbMgagfi(num24, YXEqALEvXd6T0Z6yNW.TZg2dUVBoeO8ZWjmNf((object) binaryReader)); num23 = 355; goto label_261; label_372: numArray2[19] = (byte) (33 + 64); num23 = 11; goto label_261; label_373: num2 = 15 + 21; num1 = 321; continue; label_376: num35 = 0; num23 = 292; goto label_261; label_377: numArray6[4] = (byte) num7; num23 = 132; goto label_261; label_378: numArray6[3] = (byte) num7; num23 = 139; goto label_261; На которую декриптера сейчас в свободном доступе нет. Короче говоря, тот кто захочет чтобы у него не работал бот - сделает. Ну а если совсем просто то можно без хуков сетевой части клиента, тупо проксировать и перешифровывать трафик на стороне протектора (сам апдейтер и протектер написаны на c#) А даже если Pcoder изменить значения адресов, всегда можно найти другой) а так как у нас протектор автоматом качается при каждом запуске, и остается возможность "горячей" замены кода, то как только вышло обновление - можно сразу же поменять алгоритм. А самое интересно что антивирусы не обращают вообще никакого внимания на данный апдейтер, единственное, что если в манифесте будет требовать права админа (а они нужны) то парочку антивирей поругаются на fulltrust. Чисто ради интереса с нодом пробывал таким образом подргужать самописный кейлоггер. Никаких визгов антивиря не возникло.