RAPORT: <b>You have to register to ba able to see this link</b>
ANTIVIRUS: --lipsa--
DESCRIERE ADITIONALA: Folosesc un fps-booster, care contine o simpla manipulare a functiei SCR_Updatescreen pentru a da skip frame-urilor randate, in asa fel incat, intr-o oarecare masura, sa creasca FPS-ul in joc.
Acum, cand am scanat cu Wargods, mi-a aparut ca fiind Generic Cheat Detection.
La cerere iti pot trimite atat fisierul DLL cat si codul din el.
Interesul meu asupra acestui topic este urmatorul: sa poti verifica absolut tot ce este nevoie atat la dump cat si la fisierul respectiv, pentru a-l putea exclude din lista celor detectate.
Daca asta nu esti dispus sa faci, din cine stie ce motive, m-ar interesa, ulterior verificarii si scanarii, sa spui si sa declari faptul ca fisierul respectiv nu contine altceva inafara de fps-boosting, in asa fel incat sa-l flagezi in wargods ca fiind orice altceva, dar nu "cheat", ceea ce nu-l reprezinta.

Astept raspunsul tau, sunt dispus sa-ti ofer orice informatie necesara.

LINK DUMP MEMORIE CS: <b>You have to register to ba able to see this link</b>
Parola de la arhiva o voi trimite in privat, daca pot.
Mersi.

Ma indoiesc ca este legitim ceea ce folosesti tu de indata ce:

nu este public, cel putin eu nu-l gasesc, nici macar binarul sau vreo documentatie/site ce sa ii descrie functionalitatea
are metode antidebug/antireverse
string-uri xorate
cod pe alocuri obfuscat
mai important nu contine doar "o simpla manipulare a functiei SCR_Updatescreen" pentru ca vine la pachet cu mult mai multe features
etc.


Astept codul sursa, pe privat, nu are rost sa imi pierd timpul sa ma uit peste binar si sa ii fac reverse pentru ca puteam face asta reparand ce am extras din dump-ul de memorie. Am o intuitie ca foloseste bucati din codul sursa a cheat-urilor.

Nu este public, este privat, il avem doar 3 persoane.
Asupra restului detaliilor nu voi comenta decat faptul ca, sunt sigur, atat eu cat si developerul, ca DLL-ul respectiv nu are nicio alta functie inafara de 2 comenzi: cl_fpsboost - cl_fpsboost_offset

Ti-am trimis in privat fisierul si informatiile.

Codul sursa ce mi l-ai dat este luat de aici (<b>You have to register to ba able to see this link</b>) (si este public, evident) si nicidecum nu este complet comparand cu fisierul fps.dll. Daca codul sursa de mai sus este build-uit, nu are cum sa rezulte un binar de aproape 162KB.

N-are rost sa stau sa analizez binarul, am decriptat doar cateva string-uri obfuscate in el:


"144353454b505555061d0e11706f7322" --> " version: 0.0.1a"
"1457435e545d1a5f5d495b0560" --> " build date: "
"145853444b585d5e" --> " message"
"146816" --> " ] "
"405a5150545c5954524e515325" --> "toggleconsole"
"4252435e0a175e5750" --> "vgui2.dll"
"4252435e165d5657" --> "vgui.dll"
"43525a644f584a79495b585a3232" --> "wglSwapBuffers"
"474218535455" --> "sw.dll"
"4c4d4e4f404142040302014738393a3b3c3d7978777675" --> "xxxxxxx????xxxxxxx?????"
"5006525e55175e5750" --> "d3dim.dll"
"5359605e5d4e4a544e49" --> "glViewport"
"535975585456480f5a" --> "glColor4f"
"5359755b5d5848" --> "glClear"
"536a46644c4c5e52531d574c60713a66344f" --> "g_pStudio is 0x%p\n"
"536a46647b6b656e4c595f4b2512213121202867213a6a7b34 683e45" --> "g_pSCR_UpdateScreen is 0x%p\n"
"536a4672565e5355591d574c60713a66344f" --> "g_pEngine is 0x%p\n"
"5741" --> "ct"
"57595f52564d145f5051" --> "client.dll"
"5a41525b54175e5750" --> "ntdll.dll"
"5a545b52" --> "name"
"5b4553595f55090912595253" --> "opengl32.dll"
"5c4218535455" --> "hw.dll"
"6050575a71575c54" --> "TeamInfo"
"63505a5457545f1b" --> "Welcome "
"665045524c716f7f" --> "ResetHUD"
"674055545d4a5c4e5051471f352f2e2c2521232342" --> "Succesfully unloaded\n"
"67504271776f" --> "SetFOV"
"675644525d577c5a5858" --> "ScreenFade"
"6f146b1751574c5a50545a1f2d2e26362820662f29272e2729 616e3d352527213a303277362c36372c292c7f13040743" --> "[!] invalid module handle, returned nullptr see "
"6f146b175b564f575853194b60272b2d206523292f20242e6c 3d21263e2537217a" --> "[!] couldnt find engine pointer."
"6f146b175b564f575853194b60272b2d206561123b2c38063f 2a0c2e23347208650871772836333528382c71" --> "[!] couldnt find UserMsgBase [1] pointer."
"6f146b175b564f575853194b60272b2d206561123b2c38063f 2a0c2e23347208660871772836333528382c71" --> "[!] couldnt find UserMsgBase [2] pointer."
"6f146b175b564f575853194b60272b2d206561143c3c2e2223 1d3a3d7771223c3d3b22322a77" --> "[!] couldnt find StudioPtr pointer."
"6f146b175b58541c481d58562e25" --> "[!] cant find"
"6f146b175d4b48544e1d5d5e35262a37642d29282320242c6c 6a1b3c35231f20337276312d37392f353230" --> "[!] error caught hooking UserMsg function"
"6f146b175e584e5a501d5b4d322e30" --> "[!] fatal error"
"705057435074495c" --> "DeathMsg"
"73545b526d70145f5051" --> "GameUI.dll"
"73545b527b56544853515b0f7072" --> "GameConsole003"
"774044605d584a5452" --> "CurWeapon"
"775a435b5c571d4f1c5b5751246105222920" --> "Couldnt find Game"
"775a435b5c571d4f1c5b575124612d33212b212b7b7b642f20 21626f24232b732620383931373d7b28353b7f07000f0644" --> "Couldnt find opengl32.dll, try running the game "
"7a4165524c70545d534f535e34282d2d102d3422292d" --> "NtSetInformationThread"
"7f706274706c6a" --> "KETCHUP"


Sunt suficiente chestii, cu cele mentionate anterior, cat sa fie specific doar cheat-urilor. Ti-as sugera sa-l stergi cat mai rapid si sa nu-l mai bagi pe Steam, inainte ca ei sa iti dea ban VAC.

LE: Acum vad pe profilul tau

1 VAC ban on record | Info
15 day(s) since last ban

:)

Da, banul a fost datorita altor chestii injectate si testate.
Cat despre ce ai aratat tu, alea sunt ramasite, pe ici pe colo, aparent de la baza, care a fost luata probabil dintr-un cheat altfel fara de care, DLL-ul nu ar putea merge pentru ca ar fi fost nevoit sa faca una de la zero, care in fond clar nu merita.
Cum am mai spus: singurul lucru functional atat extern cat si intern este "fps-boosterul".
Daca are rost sau nu sa continui decriptarea sau ce crezi ca te-ar ajuta sa intelegi ce contine mai exact tu decizi, insa in momentul de fata nu exista niciun fel de dovada clara si concisa cum ca fisierul respectiv contine vreun cheat functional.
Cat despre resturi de cheat, cel mai probabil sunt si mai multe, atat timp cat, cum am spus, baza a fost luata cel mai probabil de la un cheat functional.

Edit: intre timp se incearca crearea unei baze noi, pentru a testa metoda fara nicio urma de "cheat", revin cu rezultatul testului Wargods.

Nu sunt doar ramasite, sunt efectiv hook-uri active atat in engine cat si in opengl32. Daca nu ar fi fost utilizate, compiler-ul (ce are optimizarile enabled [by default in release]) le-ar fi scos automat, iar fisierul tau a fost compilat in modul release.

Aveati SkipFrames deja facut de cineva (public din 24.12.2020). Voi ati luat codul sursa de la el si ati mai adaugat stuff (09.01.2021). Inclusiv o buna parte din acele strings criptate.

Detectia ramane, nefiind caz de false-positive.

Intre timp am vazut ca ai luat si informatiile de la injectorul nostru Lunar si l-ai bagat in wg ca sa fie detectat. :)))

O sa revin cu informatii dupa ce vom scana cu Skip frames curat, poti lasa topicul deschis ca sa nu incep altul.

As aprecia daca ai putea sa-mi maresti / scoti limita de teste pe unique id-ul respectiv din testari, cel putin temporar, mersi.

*facepalm*


Intre timp am vazut ca ai luat si informatiile de la injectorul nostru Lunar si l-ai bagat in wg ca sa fie detectat. :)))

Nu am facut update, totul se realizeaza automat. Ma indoiesc ca este "injectorul vostru", cand ati luat si integrat SkipFrames si v-ati dat drept autorul lui fara macar sa recunoasteti asta... tipic romanesc...

Iar numarul maxim de rapoarte pe zi nu se maresc la nimeni.

LE: Versiunea aia este injector este detectata inca din 22.11.2020.

"Tipic romanesc" este si faptul ca incepi deja sa deviezi de la subiect pe o cale care nu-si are rostul, in fata persoanei gresite, afirmand de altfel chestii care nu au nicio relevanta, logica sau sens.
Lunar este un injector scris si publicat de catre "visiboi", prin "injectorul nostru" ma refeream la faptul ca era injectorul pe care-l foloseam noi la testele wargods. Trebuie sa intelegi, daca tot esti atat de inteligent, faptul ca eu sunt responsabil de ceea ce scriu, nu de ceea ce intelegi tu.
De asemenea, nu stiu unde sau cine s-a dat drept autorul "Skipframes", astept sa-mi arati tu unde, in orice fel, am spus eu ca noi am CREAT ( nu folosit ) aceasta metoda, cu toate ca eu personal am fost printre primii oameni care a folosit un DLL cu acel cod undeva prin anul 2018, rushensky fiind doar un intermediar care l-a facut public, nicidecum creatorul original.

Si ca sa completez ideea faptului ca ai un fals-pozitiv, FIY: si skip-frame-ul facut de la zero, fara nimic aditional, are aceeasi detectie.

Mai departe de atat, ca sa fiu "tipic romanesc", poti inchide topicul, poate o sa revin cand o sa scrii si o sa te exprimi corect si vei invata sa vorbesti frumos.

Auzi ma la el, pe langa faptul ca esti prins cu pisica in sac mai ai si tupeul sa comentezi. Du-te tare, iar cu ocazia asta ia si o carte de limba si literatura romana si invata cum sa te exprimi.

:gtfo:

:locked: