Обход драйверных анти-читов

Тема в разделе "Интересные статьи", создана пользователем HexByte, 16 мар 2019.

  1. HexByte

    HexByte
    Expand Collapse
    Новичок

    Регистрация:
    2 ноя 2018
    Сообщения:
    13
    Симпатии:
    0
    В этой статье я расскажу как обойти любой драйверный анти-чит.

    Есть User Mode и Kernel Mode

    Это как пользователь и администратор.

    Пользователь не может - забанить администратора, потому что у него нет этих привилегий.
    Администратор может сделать с пользователем - все что угодно, забанить например.

    Надеюсь - теперь понятно, чем они отличаются.
    Смотрим сюда

    [​IMG]

    Это не строение нашей планеты :D

    По стандарту вы находитесь на зелёной границе, пользовательского доступа.
    Чем глубже вы получаете доступ в систему - тем вы ближе к ядру.

    Анти-читы на примере Warface и Crossfire - используют защиту на уровне ядра.
    Это позволяет защищаться от инъекций в память игры на уровне юзера.

    Чтобы обойти данную защиту - достаточно дать вашему приложению доступ к ядру.

    Написать драйвер можно - но сложно. Ещё сложнее сделать идеальный драйвер под все системы.

    Как сделать инъекцию без сторонних программ?
    1.Через оверлей shadow play, bandicam и все что позволяет показывать FPS.
    2.Через видео карту Nvidia.
    3.Через драйвера которые взаимодействуют с игрой.
     
  2. QuestionMark

    QuestionMark
    Expand Collapse
    Новичок

    Регистрация:
    30 окт 2018
    Сообщения:
    10
    Симпатии:
    1
    "Забанить" немного неверная аналогия.
    Тут скорее всего различия в вызываемых функциях и доступу к физической памяти. По сути об этом лучше в книжке Windows Internals 7-го издания почитать, нежели на форуме тему делать.

    Название статьи как и эта строка немного неверны.
    Допустим ты не сможешь обойти тот же BE/EAC просто находясь на нулевом кольце. Для их обхода тебе придется отпуститься еще ниже.
    Помимо этих колец есть еще гипервизор и SMM(что являет собой по сути последнюю линию).
    Для большинства проектов использующих BE/EAC используют гипервизоры по привелегиями превосходящие тот же ринг0.

    Нельзя ответить на вопрос "как обойти ЛЮБОЙ драйверный античит". Каждый античит работает по разному и использует разные методы детектирования. Да и вообще проблема больше не в методе инжекта в игру, а как долго ты сможешь оставаться андетект в ней. Это касается всех интернал читов.
     
  3. HexByte

    HexByte
    Expand Collapse
    Новичок

    Регистрация:
    2 ноя 2018
    Сообщения:
    13
    Симпатии:
    0
    Я это разжёвывал для новичков, приводя примеры.
    А так я согласен с тобой.

    Есть ещё способ выгрузки мрака, но я его освещать не буду. В силу его приватности))

    Любой драйвер можно обойти поломать/заморозить/выгрузить и тому подобное. Изучается драйвер, методы защиты и пишется свой обход. Я с тобой согласен. Каждая защита уникальна, и просто обойти её через нулевое кольцо не всегда получается.
     
  4. QuestionMark

    QuestionMark
    Expand Collapse
    Новичок

    Регистрация:
    30 окт 2018
    Сообщения:
    10
    Симпатии:
    1
    Не знаю, что там за способ, однако это все равно бесполезно. Исходя из наличия "пульса" у драйвера (общения с серверной частью/другое проявление активности) смысла в этом мало, только если ты не эмулируешь полностью отправлемые данные от драйвера(к драйверу).

    А разница между обычной выгрузкой и эмуляцией существена, да и особо толку в этом мало, когда ты можешь обойти проверки по другому. У мэйловцев ринг0 для галочки, как по мне. Ибо те трики, которые юзает их драйвер -- бред для р0.