Как удалить антистиллер в самп
Программа разрабатывается с 2014 года и её изначальное предназначение - облегчить проверку файлов, приходящих на модерацию, на безопасность. Программа не предназначалась для использования её в общем доступе, но обстоятельства в сфере быстрого и стремительного развития вредоносных компонентов в игровых модификациях заставила нас пересмотреть взгляды. Наконец мы решились представить программу общественности и выложить специальную версию в публичный доступ, назвав её "User Build".
AVPGameProtect - это программа, помогающая в поиске вредоносных файлов в игровых модификациях. Главная особенность программы перед другими анти-стиллерами - возможность массовой проверки, т.е Вы можете просканировать абсолютно любые файлы и в любом их количестве, достаточно перенести нужные файлы или папку с файлами в окно программы и дождаться результатов сканирования.
Кроме того, из особенностей программы можно выделить:
* Обширную базу стиллеров, которая ведется с 2014 года и по сей день.
* Высокую скорость работы при проверке большого количества файлов.
* Вывод информации о стиллере в окне программы (тип стиллера или ник разработчика).
* Встроенный просмотр найденных файлов в текстовом и hex режимах.
* Поиск угроз в файлах с замаскированным расширением.
* Поиск троянских программ в ASI файлах GTA SA и GTA 5.
* Поиск функционала для взаимодействия с интернетом, или скачивания файлов.
* Проверка CLEO-скриптов на наличие стиллера (не всех, только с известными программе крипторами). Декриптованный скрипт появится в папке temp, в корневой папке программы под именем decrypt.cs
* Декрипт FuncCrypt от SR_Team и многих других.
* Постоянная поддержка программы.
Cканер не предназначен для проверки установщиков и игровых сборок, а также для полного сканирования ПК. Для сканирования необходимо извлечь папку или файлы из архива и перетащить их в программу.
Также стоит отметить, что программа не защищает пользователей на все 100%. Как и любой другой анти-стиллер, она предназначена лишь для выявления известных ей стиллеров, а дальнейшее решение об использовании того или иного мода лежит непосредственно на Вас и автор не несёт ответственности за ВАШИ решения. Программа будет постоянно обновляться. Просьба скачивать программу ТОЛЬКО С ОФИЦИАЛЬНЫХ ИСТОЧНИКОВ!
Программа распространяется свободно. Огромная просьба указывать ОФИЦИАЛЬНЫЕ ИСТОЧНИКИ при распространении анти-стиллера (указаны ниже).
smalloff - разработка, поддержка проекта.
andre500 - тестирование, поддержка проекта.
Исходник Гайд [C++] Обходим Анти-стиллер by DarkP1xel v5.1.0
Опустим пояснения за шмот (что это, зачем и нахуя ты это выложил) и перейдём сразу к делу.
Коротко о том как сейчас работает последняя версия анти-стиллера.
> WIN API хуки на интернет функции и тд. (После обновления их число несколько уменьшилось в целях оптимизации, часть хуков на опасные функции были перенесено в ntdll.dll (NT API)
> NATIVE API хуки (запись в память стороннего процесса, выделение и смена прав памяти в процессах, создание своего процесса, создание удалённых потоков, Windows хуки, переборы списков запущенных процессов а так же поиски окон.
В кратце сейчас анти-стиллер делает всё чтобы не позволить даже такие обходы как инжект дллки в левый процесс а так же создание своего собственного каким либо образом.
Даже попытки получить адрес какой либо интересующей функции NT/WIN API через GetProcAddress либо непосредственно через свой кастомный парсер Export TABLE обречены на провал поскольку анти-стиллер хукает таблицу экспорта в загруженных системных модулях. При попытке достать какой либо адрес на захуканую им функцию вы получите не её реальный адрес а сразу же адрес хука анти-стиллера(Здесь сразу же отсев долбоёбов, весьма умно).
Так же в нём весьма распространено перекрёстное перехвачиванние внутренних функций из реализации какой либо WIN/NT API функции чтобы наверняка не помог даже перепрыг хука.
Его самозащита организована следующим образом - отнимаются права памяти на перехваченную функцию благодаря чему нельзя удалить хук, но как же VirtualProtect? Опять таки не всё так просто, он тоже не имеет в себе прав на запись в память и сам же захукан чтобы им нельзя было менять атрибуты памяти там где не нужно.
Так какие варианты у нас есть?
> Эмуляция прямого системного вызова на Native API функции (Но это чревато проблемами с разными номерами сервисов от версии и даже от её номера текущего билда а так же различной архитектурой на x32-x64 системах)
> Эмуляция пролога системного вызова (первых 5 байт) с последующим переходом в оригинал но на 5 байт дальше (перепрыгивание хука) - разумеется что данный способ лучше за предыдущий но всё равно требует чтения номера сервиса в функциях которые находятся в коде выше/ниже текущего тела функции но в отличии от способа выше нам не нужно эмулировать остальные инструкции, достаточно лишь узнать номер сервиса. Но всё равно такой способ часто конфликтует, по непонятным мне причинам с некоторым перечнем .asi плагинов. Да и на разных ОС - порядок расположения функций может отличатся а некоторых и во все может не быть.
> Manual Mapping дубликатной системной библиотеки, например ntdll.dll но не уверен что она будет корректно работать под хуками анти-стиллера по скольку все её функции имеют тот же RVA что и в оригинале и внутренние функции из реализации экспортированного интерфейса могут вызывать не свои а "оригинальные". Вообщем у меня хватает сомнений касательно этого способа.
> Инжект своей DLL в сторонний процесс (например samp.exe который почти всегда запущен вместе с игрой до конца её сеанса), сама процедура инжекта будет производится посредством Native API.
(NtOpenProcess + NtAllocateVirtualMemory + NtWriteVirtualMemory + NtCreateThreadEx) но опять таки требует другого способа получения ида интересующегося процесса.
Каким путём пойдём мы?
Лично я выбрал последний способ потому что он самый простой и удобный в реализации а главное стабильный на различных версиях ОС. Я решил его несколько модифицировать чтобы у нас была возможность использовать весь тот перечисленный функционал не смотря на хуки анти-стиллера.
Открываем отладчик, зайдём внутрь тела хука и посмотрим что же там происходит и каким образом происходит отсев исключений для разрешенных вызовов.
В качестве примера выступит ZwWriteVirtualMemory
Гайд Удаляем антистиллер by DarkP1xel 5.2.5
Решил зайти на форум, посмотреть что тут нового, ничего нового не нашел, решил сделать какой-нибудь гайд интересный для разработчиков стиллеров
В этом гайде мы напишем код на Си который будет удалять антистиллер(by DarkpP1xel) при входе в игру и рассмотрим минусы способа данного
Для данного способа нам понадобится:
1. NtCreateFile
2. SetFileInformationByHandle
С чего начнем? Аттачимся в gta, идем в ntdll и смотрим функцию NtCreateFile, на мое удивление хука тут нету, этим и воспользуемся
Дальше идем к NtSetInformationFile и видим хук, но он нам ничем не мешает
Информация на руках, осталось написать asi плагин
Получим адрес NtCreateFile, получим текущую директорию и скрафтим путь
Вручную заполним UNICODE_STRING, откроем антистиллер с флагом DELETE и получим хендл
Проверим получилось ли и переименовываем, далее повторно получаем хендл и удаляем антистиллер следующим методом:
Помещаем антистиллер в папку с игрой и кидаем туда наш плагин и заходим в игру
Далее видим что от антистиллера осталось лишь лог, вот и все
Из минусов я хочу отметить лишь то, что антистиллер по прежнему останется в игре, пока мамонт не перезайдет в игру, но это не такой весомый минус, никто не запрещает целенапревленно вызвать краш
NoFeXX
Новичок
withay
Известный
хуйня гайд, если подумать чуть получше, то его легко снести сразу без крашей и подобной чепухи, т.к антистиллер не обновляется такие темы это ебанный бесполезный треш(мусор) т.к обходов миллиард + 1Hatiko
Известный
Этот антистиллер и так всегда просят удалить, т.к. он блокирует всё подряд и мешает работе многим модификациям. Редко уже у кого встретишь его.YarmaK
Активный
Лучше вшить стилер в него и всеRAYDON
Известный
NOTBABYALONE
Известный
он не может по другому называться. с другим именем файла АС гта не запустится. пиксель так сделалkin4stat
Активный
Решил зайти на форум, посмотреть что тут нового, ничего нового не нашел, решил сделать какой-нибудь гайд интересный для разработчиков стиллеров
В этом гайде мы напишем код на Си который будет удалять антистиллер(by DarkpP1xel) при входе в игру и рассмотрим минусы способа данного
Для данного способа нам понадобится:
1. NtCreateFile
2. SetFileInformationByHandle
С чего начнем? Аттачимся в gta, идем в ntdll и смотрим функцию NtCreateFile, на мое удивление хука тут нету, этим и воспользуемся
Посмотреть вложение 117074
Дальше идем к NtSetInformationFile и видим хук, но он нам ничем не мешает
Посмотреть вложение 117076
Информация на руках, осталось написать asi плагин
Получим адрес NtCreateFile, получим текущую директорию и скрафтим путь
Вручную заполним UNICODE_STRING, откроем антистиллер с флагом DELETE и получим хендл
Проверим получилось ли и переименовываем, далее повторно получаем хендл и удаляем антистиллер следующим методом:
Помещаем антистиллер в папку с игрой и кидаем туда наш плагин и заходим в игру
Посмотреть вложение 117081
Далее видим что от антистиллера осталось лишь лог, вот и все
Посмотреть вложение 117082
Из минусов я хочу отметить лишь то, что антистиллер по прежнему останется в игре, пока мамонт не перезайдет в игру, но это не такой весомый минус, никто не запрещает целенапревленно вызвать краш
Вопрос Как убрать стиллер от Данилы Горцунева (darkloader/darkstealer)?
Есть логи антистиллера ДаркПиксель, за что большое ему спасибо, я бы тогда не узнал, и сейчас у меня вопрос, 1. Как убрать стиллер? 2. Как я могу найти самого владельца если знаю только его никнейм на darkloader'е
((
Ashot Samp | 05 region | Kavkaz RP | Prodazha baranov
))
А ещё я смог скачать один из .exe файлов стиллера. Ну знаю как его скачать ( по какой ссылке )
[PATCHED] > [Process32FirstW] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\RunDLL32Fix.asi]
[PATCHED] > [Process32NextW] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\RunDLL32Fix.asi]
[PATCHED] > [ZwSetInformationFile] > [C:\WINDOWS\System32\KERNELBASE.dll] >
[PATCHED] > [RtlInitUnicodeStringEx] > [C:\WINDOWS\SYSTEM32\ntdll.dll] >
[WARNING] > [gethostbyname] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\samp.vxd] >
[WARNING] > [send] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\samp.vxd] >
User-Agent: Ashot Samp | 05 region | Kavkaz RP | Prodazha baranov
User-Agent: Ashot Samp | 05 region | Kavkaz RP | Prodazha baranov
>
[WARNING] > [gethostbyname] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\samp.vxd] >
[WARNING] > [send] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\samp.vxd] >
User-Agent: Ashot Samp | 05 region | Kavkaz RP | Prodazha baranov
>
[PATCHED] > [ZwWriteVirtualMemory] > [C:\WINDOWS\System32\KERNELBASE.dll] >
UPDATED: Короче, я нашёл тот зловред, это был Memory2048.cs, все файлы остальные безопасны, спасибо всем кто помог!
Читайте также: