[Release] Anti-Cheat DLL - *Lite* (Anti Injection)

[TyFox]

Heyho, ich habe mir überlegt hier eine Kleinigkeit als einstieg zu releasen!
Dann wollen wir mal schauen, was ich anzubieten habe:
- Eine anti Injection DLL!

Was könnt ihr damit machen?
Ganz einfach, das injecten von Hacks verhindern!

Lite? Gibt es auch eine andere Version?
Die gibt es in der tat, unter Umständen kommt die noch mal dazu.

Wie funktioniert es?
Es blockiert alle Ladefunktionen für DLLs!

Wie wende ich das an?
Das ist nicht mehr so einfach.
Ihr müsst dafür sorgen, dass der Client die DLL automatisch lädt. (*.mix würde funktionieren, ist allerdings nicht zu empfehlen)
Zusätzlich wäre es sinnvoll, die DLL an die Client bin zu binden, damit die Datei nicht verändert werden kann.

Warum sollte ich dir vertrauen?
Ich verlange nicht, dass mir jemand vertraut.
Ich kann nur sagen, die Datei ist sauber.
Das wird auch der VirusTotal link bestätigen!

Download?
()

libgcc_s_dw2-1.dll wurde nicht gefunden!


Es gibt trotzdem Hacker auf meinem Server!
Und jetzt? Was erwartet man von einer _kostenlosen Lite Version_?
Dass die wirklich alles und jeden aufhält?

Ich denke das sollte fürs erste reichen.

[[Cyberos]]

supi toll

['oShet]

Mach einfach source pub?

[.Chuck]

Sphinx meinte, wenn mann den Prozess eingefroren startet ist deine DLL noch nicht geladen und somit kann man immernoch Injecten.
Daher bringt die DLL nichts...


Soweit ich weiss gibts sogar auf elitepvpers einen Injector von music oder Padmak der das kann.


Gruss
.Chuck

€dit:

You are teh real Boss, Brudii..

Irgendwie find ich die DLL nicht so toll....
Da hat es voll die unnötigen Sachen drin die sowieso niemand interessieren und dann noch
sowas, wozu soll denn das hier gut sein? Fame....? (Den TItel des Metin2 Fensters ändern) :

PHP Code:

 if ( GetCurrentProcessId() == v35 )
    {
      memset(&v34, 0, 0x400u);
      GetWindowTextA(v28, &v34, 1024);
      if ( !strstr(&v34, " - TyFox Anti-Cheat") )
      {
        v29 = &v34;
        do
        {
          v31 = *(_DWORD *)v29;
          v29 += 4;
          v30 = ~v31 & (v31 - 16843009) & 0x80808080;
        }
        while ( !v30 );
        v32 = (unsigned __int16)(v30 & 0x8080) == 0;
        if ( !(v30 & 0x8080) )
          v30 = (unsigned int)v30 >> 16;
        if ( v32 )
          v29 += 2;
        v33 = (int)&v29[-((_BYTE)v30 >= (unsigned __int8)-(_BYTE)v30) - 3];
        *(_DWORD *)v33 = 1411394848;
        *(_DWORD *)(v33 + 4) = 2020558457;
        *(_DWORD *)(v33 + 8) = 1953382688;
        *(_DWORD *)(v33 + 12) = 1749233001;
        *(_DWORD *)(v33 + 16) = 7627109;
        SetWindowTextA(v28, &v34);
      }
    }
// .rdata:622430B6 aTyfoxAntiCheat db ' - TyFox Anti-Cheat',0 ; DATA XREF: sub_62241260+370o 


Als ob jemand möchte, dass überall und auf jedem Client dein Name steht.
Hadii

[TyFox]

Quote:

Originally Posted by .Chuck

Sphinx meinte, wenn mann den Prozess eingefroren startet ist deine DLL noch nicht geladen und somit kann man immernoch Injecten.
Daher bringt die DLL nichts...


Soweit ich weiss gibts sogar auf elitepvpers einen Injector von music oder Padmak der das kann.


Gruss
.Chuck

€dit:

You are teh real Boss, Brudii..

Irgendwie find ich die DLL nicht so toll....
Da hat es voll die unnötigen Sachen drin die sowieso niemand interessieren und dann noch
sowas, wozu soll denn das hier gut sein? Fame....? (Den TItel des Metin2 Fensters ändern) :

PHP Code:

 if ( GetCurrentProcessId() == v35 )
    {
      memset(&v34, 0, 0x400u);
      GetWindowTextA(v28, &v34, 1024);
      if ( !strstr(&v34, " - TyFox Anti-Cheat") )
      {
        v29 = &v34;
        do
        {
          v31 = *(_DWORD *)v29;
          v29 += 4;
          v30 = ~v31 & (v31 - 16843009) & 0x80808080;
        }
        while ( !v30 );
        v32 = (unsigned __int16)(v30 & 0x8080) == 0;
        if ( !(v30 & 0x8080) )
          v30 = (unsigned int)v30 >> 16;
        if ( v32 )
          v29 += 2;
        v33 = (int)&v29[-((_BYTE)v30 >= (unsigned __int8)-(_BYTE)v30) - 3];
        *(_DWORD *)v33 = 1411394848;
        *(_DWORD *)(v33 + 4) = 2020558457;
        *(_DWORD *)(v33 + 8) = 1953382688;
        *(_DWORD *)(v33 + 12) = 1749233001;
        *(_DWORD *)(v33 + 16) = 7627109;
        SetWindowTextA(v28, &v34);
      }
    }
// .rdata:622430B6 aTyfoxAntiCheat db ' - TyFox Anti-Cheat',0 ; DATA XREF: sub_62241260+370o 


Als ob jemand möchte, dass überall und auf jedem Client dein Name steht.
Hadii

Natürlich ist das kein voller Schutz! Daher auch Liteversion.

Ist das mit dem Titel etwa ein Problem für dich?
Bitte entschuldige, aber ich darf doch wohl meinen Namen in etwas rein schreiben, das eh kaum jemand beachtet?

['oShet]

Quote:

Originally Posted by TyFox

Natürlich ist das kein voller Schutz! Daher auch Liteversion.

Ist das mit dem Titel etwa ein Problem für dich?
Bitte entschuldige, aber ich darf doch wohl meinen Namen in etwas rein schreiben, das eh kaum jemand beachtet?

*lite version*
wie soll denn ne volle version aussehen?
JEDER clientschutz ist lite...

[TyFox]

Quote:

Originally Posted by 'oShet

*lite version*
wie soll denn ne volle version aussehen?
JEDER clientschutz ist lite...

Dir ist schon klar, dass man auch code ausführen kann, bevor eigentlich etwas ausgeführt werden soll?
Ist relativ einfach!

[.Chuck]

Quote:

Originally Posted by TyFox

Natürlich ist das kein voller Schutz! Daher auch Liteversion.

Ist das mit dem Titel etwa ein Problem für dich?
Bitte entschuldige, aber ich darf doch wohl meinen Namen in etwas rein schreiben, das eh kaum jemand beachtet?

Du kannst mit deiner einfach garnichts erreichen...

Die DLL ist ab diesem Zeitpunkt ein guter schutzt wenn sie mindestens 5% der wichtigen Client funktionen ersetzt und somit
ein teil des Client wird.

Ich mein was bringt es die DLL im Client zu haben.
Ich beende Sie und lass den Client weiterlaufen und hab dann keine Probleme überhaupt was zu injecten.
Und ausserdem wenn der Prozess eingefroren ist beim Start ist deine DLL noch nicht geladen.
Da kann ich dann auch schon injecten.


Was beinhaltet denn die Vollversion?


Gruss
.Chuck

[TyFox]

Quote:

Originally Posted by .Chuck

Du kannst mit deiner einfach garnichts erreichen...

Die DLL ist ab diesem Zeitpunkt ein guter schutzt wenn sie mindestens 5% der wichtigen Client funktionen ersetzt und somit
ein teil des Client wird.

Ich mein was bringt es die DLL im Client zu haben.
Ich beende Sie und lass den Client weiterlaufen und hab dann keine Probleme überhaupt was zu injecten.
Und ausserdem wenn der Prozess eingefroren ist beim Start ist deine DLL noch nicht geladen.
Da kann ich dann auch schon injecten.


Was beinhaltet denn die Vollversion?


Gruss
.Chuck

Die Vollversion beinhaltet das laden bevor man überhaupt den Prozess freezen kann, Memory checks und noch einige checks für externen Zugriff.
Alles in allem trotzdem noch knackbar, aber nicht mehr so einfach!

[xCPx]

Quote:

Originally Posted by TyFox

Die Vollversion beinhaltet das laden bevor man überhaupt den Prozess freezen kann, Memory checks und noch einige checks für externen Zugriff.
Alles in allem trotzdem noch knackbar, aber nicht mehr so einfach!

Also das finde ich persönlich jetzt geil
Also den Spruch.
Deine Dll wird erst dann geladen, wenn der Jeweilige Admin sie einfügt.
Und selbst dann, kann man einen Client eingefroren starten, wodurch erstmal garnichts geladen wird außer der Header. Dann die Dll die man will injecten und dann starten---> Voila deine dll bringt 0, da ich soweit ich das sehe keine Laufzeit Prüfung hat.

[.Alpha.]

Quote:

Originally Posted by xCPx

Also das finde ich persönlich jetzt geil
Also den Spruch.
Deine Dll wird erst dann geladen, wenn der Jeweilige Admin sie einfügt.
Und selbst dann, kann man einen Client eingefroren starten, wodurch erstmal garnichts geladen wird außer der Header. Dann die Dll die man will injecten und dann starten---> Voila deine dll bringt 0, da ich soweit ich das sehe keine Laufzeit Prüfung hat.

Er redet von der Pro Version und nicht von der Lite Version hier ...

[xCPx]

Quote:

Originally Posted by .Nova.

Er redet von der Pro Version und nicht von der Lite Version hier ...

Ja aber Injecten an sich kann man trotzdem nie zu 100% verhindern.
Selbst seine Pro version muss iwie eingebunden werden, und solange sie nicht wirklich wichtige Funktionen der Exe ersetzt, kann das laden der dll beispielsweiße noch bevor sie geladen wird ausgenoppt werden.

[TyFox]

Quote:

Originally Posted by xCPx

Ja aber Injecten an sich kann man trotzdem nie zu 100% verhindern.
Selbst seine Pro version muss iwie eingebunden werden, und solange sie nicht wirklich wichtige Funktionen der Exe ersetzt, kann das laden der dll beispielsweiße noch bevor sie geladen wird ausgenoppt werden.

Da die DLL durch die Memory checks (Checksums -> Heartbeats) wichtig ist, muss die geladen sein. Code zum verhindern des Injectens kann man dann wunderbar in der DllMain ausführen lassen, die - welch wunder - direkt beim laden ausgeführt wird (auch da gibt es eine Möglichkeit, noch BEVOR die DllMain aufgerufen wird, eigenen Code auszuführen).
Dann nehmen wir einfach mal an, dass die DLL in der IAT landet, schon haben wir einen Client der ohne nicht richtig laufen würde.

[Endless.]

Naja der Anticheat hat evtl. nur nen Sinn für Switchbots..
Wie es mit CheatEngine aussieht weiss ich nicht, aber wir sind mitlerweile eh soweit
das man keine DLL's mehr braucht.. 80% Aller Clients sind nicht sicher genug vorm Modding und daher können die meisten eh den python Switcher reinhauen..

Also war jetzt nurn Beispiel der Switcher..

Wer Speedhacken möchte hat bei den neuen Server ja eh schon verloren, und ja..
Bevor wir diese DLL wirklich richtig drin haben.. ist der nächste Müll schon draussen, um ein Serverspaß zu Nichte zu machen

[Stαgє6]

Naja nicht schlecht aber weis ich selber schon alles brauchen nur die die keine erfahrung haben ^^