Hackshield & Anti-Hack Bypass By Narvikz

Narvikz · May 31, 2015

RIP HackShield & Packers

Este bypass dá Hook nas seguintes funções:

- ReadProcessMemory

- CreateThread

- PeekNamedPype

- CreateToolhelp32Snapshot

- FindWindow

- OpenProcess

- TerminateProcess

- EnumProcesses

- DestroyWindow

- Process32First

- Process32Next

Grande parte era desnecessário, ainda dei hook a outras funções embora não alterasse nada, não são relevantes.

E ainda especialmente:

- NtOpenProcess

- NtQuerySystemInformation

Tudo localmente (restrito ao processo do metin2).

Isto destrói completamente as técnicas de deteção do HackShield e packers usados no metin2.

Eu avisei que um dia faria algo semelhante.

R. I. P. METIN2

DICUSS

Download

VirusTotal

Arcadalla · May 31, 2015

Vou testar depois, muitoooooooooooo obrigado. :corasaum: :kitty:

xXBoyDarkXx · May 31, 2015

no pt não deixa injetar outras dll's

tipo injeto 2 dll's a tua e a do hack e não injeta a do hack

Narvikz · May 31, 2015

no pt não deixa injetar outras dll's

tipo injeto 2 dll's a tua e a do hack e não injeta a do hack

Não tenho o client do PT, mas se a minha injeta então exprimenta emular a função LoadLibrary para carregar o outro módulo, costuma funcionar quando os anti cheats fazem isso. Acho estranho a minha funcionar e essa não.

Isto não foi feito a pensar no PT no entanto.

xXBoyDarkXx · May 31, 2015

Não tenho a source do cheat logo não posso emular a função mas obrigado na mesma e exelente trabalho :D

Narvikz · May 31, 2015

Não tenho a source do cheat logo não posso emular a função mas obrigado na mesma e exelente trabalho :D

Usa um injector que tenha um método chamado "manual mapping".

Vou sacar o PT e ver como funciona o HS dos oficiais e faço algo especifico para ele.

xXBoyDarkXx · May 31, 2015

Obrigadão ;)

Narvikz · May 31, 2015

Obrigadão ;)

E esta? Hehehehe.

xXBoyDarkXx · June 1, 2015

A cena é que tipo bypass impede que injetamos outra coisa, por exemplo se injetar a tua dll juntamente com o mod do kramer por exemplo a tua dll injeta mas o mod não.

PS: Sabes como correr o metin2 sem passar pelo launcher porque se renomear o .bin para .exe dá erro 20001 e se meter "start metin2client.bin" não dá visto que estou no windows 8.1

Obrigado desde já ;)

Narvikz · June 1, 2015

A cena é que tipo bypass impede que injetamos outra coisa, por exemplo se injetar a tua dll juntamente com o mod do kramer por exemplo a tua dll injeta mas o mod não.

PS: Sabes como correr o metin2 sem passar pelo launcher porque se renomear o .bin para .exe dá erro 20001 e se meter "start metin2client.bin" não dá visto que estou no windows 8.1

Obrigado desde já ;)

Faz um pseudo launcher que utilize a função CreateProcess da Windows API.

Não deveria impedir de injetar o que quer que seja. Este novo bypass mexe com muito menos funções e funciona na mesma.

Este bypass que vês dá hook a funções do kernel como NtQueryVirtualMemory, NtQuerySystemInformation, NtOpenProcess.

Aparentemente isto não remove todos os vetores de deteção visto ter tido de usar uma técnica de Process Hollowing para eliminar o último vetor de deteção, e que basicamente é a shenanigans que faço aí com o cheat engine, quando perceber que vetor é esse limpo-o e público, mas por agora é completamente impossível o HackShield detectar seja que ferramenta externa for com essa combinação de métodos.

xXBoyDarkXx · June 1, 2015

podes dar-me um exemplo de um launcher assim? eu já tentei mas dá sempre erro

Obrigado ^^

Narvikz · June 1, 2015

https://msdn.microsoft.com/en-us/library/windows/desktop/ms682425%28v=vs.85%29.aspx

xXBoyDarkXx · June 1, 2015

Já consegui mas continua a dar erro 20001, o código é este:

#include <Windows.h>
#include <tchar.h>

#include <iostream>
using namespace std;

int main()
{
	STARTUPINFO si = {};
	si.cb = sizeof si;

	PROCESS_INFORMATION pi = {};
	const TCHAR* target = _T("C:\\Program Files (x86)\\GameforgeLive\\Games\\PRT_por\\Metin2\\metin2client.bin");

	if (!CreateProcess(target, 0, 0, FALSE, 0, 0, 0, 0, &si, π))
	{
		cerr << "CreateProcess failed (" << GetLastError() << ").\n";
	}
	else
	{
		cout << "Waiting on process for 5 seconds.." << endl;
		WaitForSingleObject(pi.hProcess, 5 * 1000);
		/*
		if ( TerminateProcess(pi.hProcess, 0) ) // Evil
		cout << "Process terminated!";
		*/
		if (PostThreadMessage(pi.dwThreadId, WM_QUIT, 0, 0)) // Good
			cout << "Request to terminate process has been sent!";

		CloseHandle(pi.hProcess);
		CloseHandle(pi.hThread);
	}

	cin.sync();
	cin.ignore();

	return 0;
}

[DEV]Runah · June 8, 2015

ON: É realmente uma boa ideia mas facilmente bloqueável.

Meio-Off: Próximo patch do Nexus2 irá bloquear este bypass (mensagem apenas informativa).

Segunda forma:

Narvikz · June 8, 2015

E a postagem acima de mim ficará para sempre como um marco da ignorância e estupidez dos managers dos s de metin2 em Portugal.

Parabéns por fazeres história Runah.

Sign In

Chatbox

Hackshield & Anti-Hack Bypass By Narvikz

21 posts in this topic

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites