HWID ban

Zmień komputer najlepszy sposób, nie ominiesz tego nawet zmianą dysku xd

W dniu 12.07.2018 o 18:07, Nite napisał:

format nic ci nie da

o prosze dał i gram sobie mam 26stopien krnety 🙂 więc polecam format zrobic

Czyli nie miałes bana na hwid. format nie zmienia Ci hwid..

24 minuty temu, Nite napisał:

Czyli nie miałes bana na hwid. format nie zmienia Ci hwid..

format zmienia hwid

2 godziny temu, cmazet napisał:

format zmienia hwid

Zacznijmy od tego że nie ma czegoś takiego jak szczegółowa definicja HWID. Format zmienia niektóre identyfikatory natomiast na pewno nie zmienia żadnego sprzętowego identyfikatora (HWID - HardWare ID)

W dniu 17.07.2018 o 17:05, biom4561 napisał:

Na ciul Formata robic jezeli ban jest nawet na identyfikator procesora?..Zastanówcie się

trochę w tym racji, ale format jest mimo wszystko potrzebny

W dniu 12.07.2018 o 18:07, Nite napisał:

format nic ci nie da

zależy, jak zmieni dysk to powinno być dobrze.

Podam wam informację co robią ogólnie te antyczity:

[DeobfuscateWString] context: 1d4b4bf900, context + 0x260: 2d key: 0, string: SOFTWARE\Microsoft\Windows NT\CurrentVersion, ret address: 8aa1d1
[DeobfuscateWString] context: 1d4b4bf900, context + 0x260: 39 key: 1, string: InstallDate, ret address: 8aa1ed
[DeobfuscateWString] context: 1d4b4bf900, context + 0x260: 45 key: 2, string: InstallTime, ret address: 8aa209
[DeobfuscateWString] context: 1d4b4bf900, context + 0x260: 50 key: 3, string: BuildLabEx, ret address: 8aa225

używają powyższych kluczy rejestru do identyfikacji użytkownika. W tym wypadku format je wszystkie zmieni

[DeobfuscateString] context: 1d4b4bf900, context + 0x262 17, key: 5, string: GetSystemFirmwareTable, ret address: 8aa71a
[DeobfuscateString] context: 1d4b4bf900, context + 0x262 27, key: 7, string: DeviceIoControl, ret address: 8aa736

używają powyższych WinAPI, pierwsze najprawdopodobniej do pobrania struktury SMBIOS.

DeviceIoControl wywołują na uchwycie do dysku twardego, pobierają w ten sposób numer seryjny.

[DeobfuscateString] context: 1d4b4bf900, context + 0x262 15, key: 1, string: SetupDiGetClassDevsW, ret address: 8aabbc
[DeobfuscateString] context: 1d4b4bf900, context + 0x262 37, key: 4, string: SetupDiGetDeviceRegistryPropertyW, ret address: 8aabd8
[DeobfuscateString] context: 1d4b4bf900, context + 0x262 1a, key: 0, string: SetupDiGetDevicePropertyW, ret address: 8aad37
[DeobfuscateString] context: 1d4b4bf900, context + 0x262 36, key: 7, string: SetupDiGetDeviceInstanceIdW, ret address: 8aad53
[DeobfuscateString] context: 1d4b4bf900, context + 0x262 1d, key: 11, string: SetupDiDestroyDeviceInfoList, ret address: 8ab436
[DeobfuscateString] context: 1d4b4bf900, context + 0x262 33, key: 6, string: SetupDiEnumDeviceInfo, ret address: 8ab452
[DeobfuscateWString] context: 1d4b4bf900, context + 0x260: 330013 key: 3, string: \\.\PhysicalDriveX, ret address: 8adaa2
[DeobfuscateWString] context: 1d4b4bf900, context + 0x260: 330006 key: 4, string: ROOT\, ret address: 8ae005

tych nie mam pojęcia po co używają, nie chciało mi się sprawdzać.

[DeobfuscateString] context: 1d4a19e8f0, context + 0x262 c620000001c80012, key: 11, string: EnumDeviceDrivers, ret address: 89dc92
[DeobfuscateString] context: 1d4a19e8f0, context + 0x262 c620000001c8002b, key: 7, string: GetDeviceDriverBaseNameW, ret address: 89dcae
[DeobfuscateString] context: 1d4a19e8f0, context + 0x262 c620000001c80044, key: 4, string: GetDeviceDriverFileNameW, ret address: 89dcca

tego używają do pobierania jakiśch informacji o urządzeniach, nie wiem jakich. Jak chcesz wiedzieć to patrz niżej.

Dla zainteresowanych dorzucam listę okien które dadzą bana, kicka:

[DeobfuscateWString] context: 1d4a19eaf0, context + 0x260: 1c80029000d key: 7, string: Cheat Engine, ret address: 8a4a6b
[DeobfuscateWString] context: 1d4a19eaf0, context + 0x260: 1c800290012 key: 2, string: IDA , ret address: 8a4aab
[DeobfuscateWString] context: 1d4a19eaf0, context + 0x260: 1c80029001a key: 0, string: ReClass, ret address: 8a4ae8
[DeobfuscateWString] context: 1d4a19eaf0, context + 0x260: 1c800290021 key: 7, string: x64dbg, ret address: 8a4b28
[DeobfuscateWString] context: 1d4a19eaf0, context + 0x260: 1c800290028 key: 11, string: x32dbg, ret address: 8a4b68
[DeobfuscateWString] context: 1d4a19eaf0, context + 0x260: 1c80029002f key: 3, string: Scylla, ret address: 8a4ba8
[DeobfuscateWString] context: 1d4a19eaf0, context + 0x260: 1c80029003e key: 6, string: Struct Builder, ret address: 8a4be8
[DeobfuscateWString] context: 1d4a19eaf0, context + 0x260: 1c80029004f key: 3, string: Extreme Injector, ret address: 8a4c28

A to lista procesów za które dostaniecie bana/kicka:

[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 410015 key: 3, string: cheatengine-i386.exe, ret address: 8a3170
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 41002c key: 5, string: cheatengine-x86_64.exe, ret address: 8a319c
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 410038 key: 10, string: reclass.exe, ret address: 8a31c8
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 410046 key: 14, string: reclass64.exe, ret address: 8a31f4
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 410056 key: 7, string: reclass.net.exe, ret address: 8a3220
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 410060 key: 2, string: xenos.exe, ret address: 8a324c
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 41006c key: 1, string: xenos64.exe, ret address: 8a3278
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 41007f key: 5, string: xenos injector.exe, ret address: 8a32a4
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 410097 key: 0, string: extreme injector v3.exe, ret address: 8a32cd
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 4100ae key: 8, string: noeye_injector_x64.exe, ret address: 8a32fb
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 4100c0 key: 2, string: noeyeinjector.exe, ret address: 8a3327
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 4100d1 key: 6, string: memeinjector.exe, ret address: 8a3353
[DeobfuscateWString] context: 1d4a19e690, context + 0x260: 4100df key: 2, string: swifthack.exe, ret address: 8a337f

Powyższe logi wygenerowałem samodzielnie, nie ma innego researchu na ten temat ale róbcie z tym co chcecie. 

-ret address to przesunięcie (offset) wewnątrz aktualnej wersji binarki, jak kogoś interesuje to może sobie sprawdzić wywołanie w IDA i jak dany string jest używany.

-Context to jakaś ichna struktura przechowująca bzdury,

-context + 0x260 to klucz rotujący o rozmiar poprzedniego deszyfrowanego stringa potrzebny do deszyfracji a 

-key to klucz XOR do deszyfracji.

Z doświadczenia powiem, że HWID bana (którego w naszym gronie nazywamy buskick'iem) naprawiłem już kilkukrotnie. Spoofuje SMBIOS, numer seryjny głównego dysku + format. Warto również sprawdzić na innym komputerze czy nie macie IP bana.

https://www.virtualhardwares.com/English/index.html

Pod tym linkiem jest program, który znalazłem na UC. Pozwala on na zmiane większości rzeczy po których można zidentyfikować komputer. Jest jeszcze pare trików ale nimi podzielę się może innym razem.

Pozdrawiam i następnym razem oszczędźcie sobie lakoniczne bzdury jak nie wiecie o czym piszecie.

Ten program działa 2 dni.Przy tym  banuje naprzykład w Csgo lub PUBG.Nie polecam tego uzywac gdy macie jakies gry ze steama, lub wylaczcie steama przy graniu

@biom4561 ja zrobiłem format i dostsałem unbana w fortnite

Albo w 2017 roku, albo nie miałes perma tylko ip ;)..Przeczytaj sobie troche na easyac jak działa ich system banowania.Sa tam min. ID Procesora , karty graficznej itp..A ten drugi anty cheat zapomniałem nazwy.Banował tylko dysk.A ID dysku zmienia sie po zformatowanie systemu.I chyba jeszcze MAC.I niech tu nie pierdzieli głupot ze zmienia sie ID procesora i podzespołów , bo system jest postawiony na dysku , i to sie formatuje.Niektore rzeczy sie tylko zmieniaja..

Zobacz sobie HWID przed formatem i po formacie. Jest całkiem inny.