Cheat - Wykrywalność

Cześć, mam pytanie, czy proces csgo nie wykrywa, że inny proces ma do niego uchwyt i wykonuje operacje takie jak ReadProcessMemory i WriteProcessMemory? Bo to troche dziwne jest jakby nie wykrywał, a z drugiej strony jak wykrywa to z miejsca vac powinien lecieć. Jak to jest?

AFAIK wykrywa i ban leci jesli sygnatura jest w ich db.

INB4 sygnatura nie jest jedna na caly cheat.

Sygnatura czyli rozumiem, że wykrywa jak używany kod jest w ich db 1:1, a po lekkiej modyfikacji kodu juz jest ud. Troche tez bez sensu bo mogloby wykrywać po samej próbie nadpisania komorki pamięcie z "nieznanego" procesu. Dlaczego to tak nie działa? 😄

Spytaj sie Valve dlaczego tak to nie działa, bo my nic nie możemy z tym zrobić

17 godzin temu, Wasylo napisał:

Sygnatura czyli rozumiem, że wykrywa jak używany kod jest w ich db 1:1, a po lekkiej modyfikacji kodu juz jest ud. Troche tez bez sensu bo mogloby wykrywać po samej próbie nadpisania komorki pamięcie z "nieznanego" procesu. Dlaczego to tak nie działa? 😄

Wiesz ile jest na ziemii software które tak działa? to tak działać nie może. Chyba nie chciałbyś żeby Twój nowy antywirus powodowałby VAC na Twoim koncie, a po miesiącu pisze do ciebie valve ze przeprasza cofa blokadę i dodaje antywirus do listy zaufanych programów. XD

Zeby jak jakis legitny proces to zrobi, user nie dostal bana pewnie...

@Hacky Legitny proces? Wydaje mi sie, że programistycznie można zdefiniować jakie procesy/moduły mają dostęp do danych komórek pamięci. A każdy inny proces po próbie nadpisania jakiejś komórki aktywuje vaca, albo przynajmniej wysyła jakis raport do valve. Bo jaki legitny proces modyfikując dane innego procesu ma dobre zamiary?

@expl0it A to antywirusy modyfikują komórki pamięci innych procesów? Bo co innego czytać ich zawartość.

4 minuty temu, Wasylo napisał:

Wydaje mi sie, że programistycznie można zdefiniować jakie procesy/moduły mają dostęp do danych komórek pamięci.

3 godziny temu, expl0it napisał:

Wiesz ile jest na ziemii software które tak działa?

Kwestie dodawania recznie software do whitelisty poruszyl juz expl0it...

Ale ten nowy antywirus czy inny program, żeby powodował vaca musiałby modyfikować cos w procesie csa. A robi to? Jak tak to w jakim celu?

Cytat

Wydaje mi sie, że programistycznie można zdefiniować jakie procesy/moduły mają dostęp do danych komórek pamięci.

Nie. Nie można. Można hookować jakiekolwiek funkcje z WinAPI do procesu ale to nic nie da bo wystarczy napisać bypass i wrzucić do internetu.

Cytat

A każdy inny proces po próbie nadpisania jakiejś komórki aktywuje vaca, albo przynajmniej wysyła jakis raport do valve. 

VAC aktywny jest cały czas, a że raport do VALVe wysyła to akurat raporty do VALVe wysyłane są cały czas

4 godziny temu, Wasylo napisał:

@Hacky Bo jaki legitny proces modyfikując dane innego procesu ma dobre zamiary?

No i co Ci da ta whitelista procesów jak taki legitny proces też można do niego wstrzyknąć bibliotekę i wykonywać moduł czita z niego? Już są takie czity, a właściwie były takie próby, ale prawda jest taka, że nic to nie daje a VALVe nie jest głupie i nie będzie dodawać jakichś bzdurnych zabezpieczeń które ominie każdy paster.

A no i 

„Wydaje mi sie, że programistycznie można zdefiniować jakie procesy/moduły mają dostęp do danych komórek pamięci.” 

gdyby tak było to byśmy teraz mieli Über mutacje niezniszczalnych przez żadne AV wirusów

10 godzin temu, expl0it napisał:

gdyby tak było to byśmy teraz mieli Über mutacje niezniszczalnych przez żadne AV wirusów

No nie bardzo, musiał byś najpierw uruchomić program, który później załaduje sterownik, a av ustrzeże Cię właśnie przed tym. Do tego antyvirusy korzystają z Minifiltrów(więcej info: https://docs.microsoft.com/en-us/windows-hardware/drivers/ifs/file-system-minifilter-drivers)

22 godziny temu, Wasylo napisał:

 Wydaje mi sie, że programistycznie można zdefiniować jakie procesy/moduły mają dostęp do danych komórek pamięci.

Służą do tego callbacki OB_OPERATION_HANDLE_CREATE oraz OB_OPERATION_HANDLE_DUPLICATE, dzięki nim można decydować jaki proces może uzyskać uchwyt i z jakimi uprawnieniami.

Wiele antycheatów z tego korzysta.

https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/content/wdm/ns-wdm-_ob_pre_operation_information

17 godzin temu, expl0it napisał:

No i co Ci da ta whitelista procesów jak taki legitny proces też można do niego wstrzyknąć bibliotekę i wykonywać moduł czita z niego? 

Da bardzo dużo. Trzeba jedynie odpowiednio dobrać uprawnienia jakie dany proces ma dostać. Zauważ, że w grach z battleeye'em/eac'em możesz bez problemu używać większość programów do nagrywania, do tego overwolfa i inne, które wstrzykują coś do procesu gry. A czegoś takiego jak ty opisałeś nie da rady zrobić. Bo jak spróbujesz załadować własną dllkę z whitelistowanego procesu to i tak zostanie ona wyłapana przez AC bo na łądowane moduły do gry też są whitelisty.

Coś takiego mogłoby zadziałać w przypadku procesów systemowych, tylko, że one też nie zawsze mają wszystkie wymagane uprawnienia, a do niektórych nie masz dostępu z poziomu r3. 

Oo, @mactec się wypowiedział, można zamykać 😄