Обходим Active Anticheat

mars2107 · 10.12.2012, 22:01

Нам потребуется Kernel Detective v1.4.1 (скачаете сами, хак-прога ругаются антивирусы)

Буду писать на примере UA, работает с любым Active Anticheat (далее АА)

1. Запускаем АА и жмем "Войти" и "Запустить игру"

Скрин

[Ссылки могут видеть только зарегистрированные пользователи. ]

[Ссылки могут видеть только зарегистрированные пользователи. ]

2. Переходим в Kernel Detective во вкладку "System Service Descriptor Table" и ищем "NtQuerySystemInformation" (должен быть красным) жмем правой кнопкой мыши и выбираем "Restore Selected", если же нету, то жмем "Refresh" и проверяем снова.

Скрин

[Ссылки могут видеть только зарегистрированные пользователи. ]

Альтернативный способ: во вкладке "System Service Descriptor Table" жмем Ctrl + A (все выделяеться) далее правой кнопкой мыши и "Restore All"

3. Выполнено! Теперь ваш процесс игры виден в Диспетчере задач и с ним можно работать.

+ бонус

Не работаю кликеры? Действия аналогичны, только переходим во вкладку "System Service Descriptor Table" и жмем Ctrl + A (все выделяеться) далее правой кнопкой мыши по любой функции и "Restore All" мы разблокировали все WinAPI функции, в том числе и обработчик нажатия мыши.

P.S. на счет L2PH, у меня не запускается. Проблему так и не выяснил. Буду рад услышать ваши предложения.

-Emp- · 10.12.2012, 22:31

Цитата:

Сообщение от mars2107


	Нам потребуется Kernel Detective v1.4.1 (скачаете сами, хак-прога ругаются антивирусы)

Все конечно прикольно, но эта прога только для 32-bit...

Hippeys · 10.12.2012, 23:05

это только для XP 32 бита, на висте и выше это все бесполезно

Добавлено через 2 минуты
насчет l2ph, это тоже не поможет, потому что там шифрование сделано, пакетники вообще нельзя использовать

mars2107 · 10.12.2012, 23:21

На 32х любой идет, у меня семерка стоит. Для 64х можно попробовать GMER

Видео для примера: [Ссылки могут видеть только зарегистрированные пользователи. ]

Hippeys · 10.12.2012, 23:32

mars2107, это может работать только на хр 32 бита, потому что на висте и выше античит не хукает системные вызовы, и кернел детектив там невозможно использовать

-Emp- · 11.12.2012, 00:08

Цитата:

Сообщение от mars2107


	Для 64х можно попробовать GMER

К сожалению на видео тоже 32-битка...

Lyau · 11.12.2012, 10:58

Цитата:


	Теперь ваш процесс игры виден в Диспетчере задач и с ним можно работать.

А разве не видно процесса игры?
у меня не видно процесса античита

mars2107 · 11.12.2012, 11:47

Цитата:

Сообщение от Lyau


	А разве не видно процесса игры? у меня не видно процесса античита

Может все непонятки из-за разрядности системы идут. У меня 32х и мне не потестить на 64х. Но возможно что античит на 64х ведет себя по другому

Lyau · 11.12.2012, 12:01

Нашёл чем то похожую программу для х64. PowerTool файл немного по другому называется active64.sys Но пока не разобрался чем это может помочь....может кто додумается)

романо163 · 11.12.2012, 13:10

Кто нить смог запустить пх на [Ссылки могут видеть только зарегистрированные пользователи. ] ?? просьба в пм)

Hippeys · 11.12.2012, 14:05

а я о чем говорю, это тема никакой не обход. Античит на 32 битных системах скрывает процесс просто как вдобавок, открыть процесс из-под хайда это не обход, потому что защита в ядре работает и с юзермода ее нельзя отключить

mars2107 · 11.12.2012, 17:16

AA создает папку с файлами по пути C:\TEMP\active_temp

в ней два файла

active.sys удаляется
client_module.dll занят игрой, при попытке выгрузить синий экран вылетает.

как то тут может завязано все, ведь люди обходят.

captcher · 11.12.2012, 20:04

А это уже не работает?

Если кому интересно инфа про АА (возможно здесь не все верно): подгружается драйвер, из него вызывается 8 функций (IoDeviceControl). Драйвер скрывает процесс клиента, проверяет целостность некоторых файлов. Так же частично в драйвере генерируется ключ для обмена с сервером, который служит для авторизации (функции GenerateA, GenerateServerKey, GenerateAdditionalKey в юзермодной части). Еще из юзермодной части проверяются таблицы tcp-соединений - насколько я понимаю здесь АА пытается палить тулзы анализирующие и модифицирующие траффик.

mars2107 · 11.12.2012, 20:47

Цитата:

Сообщение от captcher


	А это уже не работает? Если кому интересно инфа про АА (возможно здесь не все верно): подгружается драйвер, из него вызывается 8 функций (IoDeviceControl). Драйвер скрывает процесс клиента, проверяет целостность некоторых файлов. Так же частично в драйвере генерируется ключ для обмена с сервером, который служит для авторизации (функции GenerateA, GenerateServerKey, GenerateAdditionalKey в юзермодной части). Еще из юзермодной части проверяются таблицы tcp-соединений - насколько я понимаю здесь АА пытается палить тулзы анализирующие и модифицирующие траффик.

Вот эти ключи, которые он генерирует. Если создать батник с использованием одного из ключа (вопрос как его отловить?) не одноразовым ли он будет?

Подскажите снифферы которые отлавливают в отдельных приложения трафик, может там можно отловить будет этот ключ на сервер?

captcher · 11.12.2012, 21:16

1) серверный AA формирует ключ и пересылает клиенту АА. Этот ключ каждый раз новый.
2) клиент АА на основе этого ключа формирует ответный ключ и отправляет серверу.
3) Если ответный ключ клиента верный (+ все остальные проверки), то АА закпускает клиент аиона.

Это упрощенная схема, в принципе, весь этот процесс можно реализовать у себя в программе. Если не путаю, то ответный ключ формируется на основе исходного ключа, контрольных сумм файлов (skills.pak, aion.bin и еще каких-то, что-то еще, но не помню уже)
Снифать это все можно любым удобным средством. Например, wireshark с фильтром по ip и портам.

Обходим Active Anticheat

Статьи и руководства по Aion