Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Legacy imba Protect.
#1
Cześć chłopaki. Jest pewien facet, który nazywał się "Breaker", prawdopodobnie z Rosji, który zrobił dobrą ochronę przed rdzą.   Ochrona składa się z 1) głównego pliku RustProtect.dll (zaciemnionego) 2) Zmodyfikowanego zestawu - CSharp.dll 3) zmodyfikowanego ulink.dll   Przypuszczam, że Assembly-Chsharp.dll został właśnie zmodyfikowany, aby zainicjować RustProtect. Nie mam pojęcia, co to jest ulink.dll   Najbardziej interesujące jest RustProtect.dll I rozjaśnił go, więc teraz może być analizowany w odbłyśniku. Możesz zobaczyć, że pobiera bajtowy strumień RustProtect.core z serwera i wywołuje Assembly.load     Kod:   public static void OnConnect (ciąg znaków, port int) {spróbuj {Enabled = false; NetCrypt = null; EncryptionKey = null; Debugowanie = środowisko. Wiersz poleceń . Zawiera ("-debug"); Netlog = Środowisko. Wiersz poleceń . Zawiera ("-netlog"); NetClient = new Network (adres URL, port); if (NetClient. Connected) {NetClient. SendPacket (Network. PacketType. Firstpass, Network. PacketFlag. None, null); NetPacket = NetClient. Odbierz (0x7d0L); if ((NetPacket, Received && (NetPacket, Type == Network, PacketType, Response)) && (((byte) (NetPacket, Flags & Network, PacketFlag. Compressed)) == 1)) {Enabled = NetPacket. Przeczytaj <bool> (); if ((NetPacket. Length> 0L) && Enabled) {byte [] buffer; Szyfrowanie = NetPacket. Przeczytaj <bool> (); if (NetPacket, GetFile (out buffer) .Efekty ("RustProtect.Core", StringComparison. CurrentCultureIgnoreCase)) {spróbuj {if (((bufor! = null) && (bufor. Length> 0)) && Metoda. Initialize (Assembly) Załaduj (bufor))) {obiekt [] args = nowy obiekt [] {adres URL, port, bufor}; Metoda . Invoke ("RustProtect.Protection.Initialize", args); if (Szyfrowanie) {EncryptionKey = Metoda. Wywołaj ("RustProtect.Protection.EncryptionKey"). AsByteArray; } if ((EncryptionKey! = null) && (EncryptionKey, Length == 0x40)) {NetCrypt = new Network. NetEncryption (EncryptionKey); } Enabled = true; }} catch (Exception) {Enabled = false; }}}} NetClient. Dispose (); }} catch (wyjątek wyjątku) {Debugowanie. LogError (wyjątek: ToString ()); }}   Ten przerażający gówno wymaga administracyjnych przywilejów. Może zrobić bana sprzętowego, wysłać zrzut ekranu do serwera (administrator powiedział mi to w skype, więc nie jest to 100% informacji) ALE 100% informacji jest to, że w jakiś sposób monitoruje pamięć (może skanowanie podpisów) i wykrywa wszystkie wstrzyknięte kody, takie jak zawroty głowy / tytan lub jakeD oszukują w mgnieniu oka. Rozłącza 1 sekundę po wstrzyknięciu jakiejkolwiek użytecznej rzeczy.   + Monitoruje spójność plików gry i samej siebie przez md5 hashowanie i wysyłanie go na serwer. Jeśli zmodyfikuję 1 bajt dowolnego pliku gry = rozłącz się z komunikatem | <Pliki Gamefiles zostały zmodyfikowane> |     Więc pytania: 1) Czy istnieje jakaś prosta lub prawie prosta metoda na zrzucenie tego rustprotect.core for anlyze? Może tworzyć pamięć? Lub zmodyfikować ten plik dll, aby nie zainicjować strumienia bajtów, ale zapisać go w formacie zrozumiałym dla odbłyśnika.   2) Czy istnieje metoda ukrywania wtrysku i ładunku w pamięci. Lub sposób na ominięcie tej strasznej ochrony. Próbowałem zaciemnić Dizzyclienta. Net obfuscator zmienił nazwy wszystkich przestrzeni nazw, metod i nazwy samej biblioteki DLL, ale to bzdura WYKRYWA IT !!!   PS dołączanie plików ochrony -nope-   Lol, otrzymane ostrzeżenie o zewnętrznym łączu O_o, więc nowa UC nie jest bezpieczna http://www.unknowncheats.me/forum/downlo...e&id=18226
Reply
#2
Plik Zatwierdzona SHA256 : B33B4FC1A58BBCAC46945FD70D45FA57177442A8136A7AB82355DF3461A84818 - RustProtect.dll SHA256 : 0B72FE637B34A401725A43883A21885D4AC8FFD7ABE840EDA4349DFF3450938C - RustProtect oczyszczone ( deobfuscated ) .dll SHA256 : B9AEA75BE34C5BF3660C7CCAA91A1CFF95FDE583F6E7D8638ED59573A1DA8120 - uLink.dll zainteresowany Jak analizować pliki? Kliknij tutaj, aby się dowiedzieć. Notatka moderatora Tylko do celów odwracania Usunąłem także plik Assembly-CSharp.dll z plików, aby ludzie nie przypadkowo załadowali tego gówna.
Reply




Users browsing this thread: 2 Guest(s)