Как удалить антистиллер в самп

Обновлено: 02.07.2024

Программа разрабатывается с 2014 года и её изначальное предназначение - облегчить проверку файлов, приходящих на модерацию, на безопасность. Программа не предназначалась для использования её в общем доступе, но обстоятельства в сфере быстрого и стремительного развития вредоносных компонентов в игровых модификациях заставила нас пересмотреть взгляды. Наконец мы решились представить программу общественности и выложить специальную версию в публичный доступ, назвав её "User Build".

AVPGameProtect - это программа, помогающая в поиске вредоносных файлов в игровых модификациях. Главная особенность программы перед другими анти-стиллерами - возможность массовой проверки, т.е Вы можете просканировать абсолютно любые файлы и в любом их количестве, достаточно перенести нужные файлы или папку с файлами в окно программы и дождаться результатов сканирования.

Кроме того, из особенностей программы можно выделить:

* Обширную базу стиллеров, которая ведется с 2014 года и по сей день.
* Высокую скорость работы при проверке большого количества файлов.
* Вывод информации о стиллере в окне программы (тип стиллера или ник разработчика).
* Встроенный просмотр найденных файлов в текстовом и hex режимах.
* Поиск угроз в файлах с замаскированным расширением.
* Поиск троянских программ в ASI файлах GTA SA и GTA 5.
* Поиск функционала для взаимодействия с интернетом, или скачивания файлов.
* Проверка CLEO-скриптов на наличие стиллера (не всех, только с известными программе крипторами). Декриптованный скрипт появится в папке temp, в корневой папке программы под именем decrypt.cs
* Декрипт FuncCrypt от SR_Team и многих других.
* Постоянная поддержка программы.

Cканер не предназначен для проверки установщиков и игровых сборок, а также для полного сканирования ПК. Для сканирования необходимо извлечь папку или файлы из архива и перетащить их в программу.

Также стоит отметить, что программа не защищает пользователей на все 100%. Как и любой другой анти-стиллер, она предназначена лишь для выявления известных ей стиллеров, а дальнейшее решение об использовании того или иного мода лежит непосредственно на Вас и автор не несёт ответственности за ВАШИ решения. Программа будет постоянно обновляться. Просьба скачивать программу ТОЛЬКО С ОФИЦИАЛЬНЫХ ИСТОЧНИКОВ!

Программа распространяется свободно. Огромная просьба указывать ОФИЦИАЛЬНЫЕ ИСТОЧНИКИ при распространении анти-стиллера (указаны ниже).

smalloff - разработка, поддержка проекта.
andre500 - тестирование, поддержка проекта.

Исходник Гайд [C++] Обходим Анти-стиллер by DarkP1xel v5.1.0

Опустим пояснения за шмот (что это, зачем и нахуя ты это выложил) и перейдём сразу к делу.
Коротко о том как сейчас работает последняя версия анти-стиллера.

> WIN API хуки на интернет функции и тд. (После обновления их число несколько уменьшилось в целях оптимизации, часть хуков на опасные функции были перенесено в ntdll.dll (NT API)
> NATIVE API хуки (запись в память стороннего процесса, выделение и смена прав памяти в процессах, создание своего процесса, создание удалённых потоков, Windows хуки, переборы списков запущенных процессов а так же поиски окон.

В кратце сейчас анти-стиллер делает всё чтобы не позволить даже такие обходы как инжект дллки в левый процесс а так же создание своего собственного каким либо образом.
Даже попытки получить адрес какой либо интересующей функции NT/WIN API через GetProcAddress либо непосредственно через свой кастомный парсер Export TABLE обречены на провал поскольку анти-стиллер хукает таблицу экспорта в загруженных системных модулях. При попытке достать какой либо адрес на захуканую им функцию вы получите не её реальный адрес а сразу же адрес хука анти-стиллера(Здесь сразу же отсев долбоёбов, весьма умно).
Так же в нём весьма распространено перекрёстное перехвачиванние внутренних функций из реализации какой либо WIN/NT API функции чтобы наверняка не помог даже перепрыг хука.
Его самозащита организована следующим образом - отнимаются права памяти на перехваченную функцию благодаря чему нельзя удалить хук, но как же VirtualProtect? Опять таки не всё так просто, он тоже не имеет в себе прав на запись в память и сам же захукан чтобы им нельзя было менять атрибуты памяти там где не нужно.

Так какие варианты у нас есть?
> Эмуляция прямого системного вызова на Native API функции (Но это чревато проблемами с разными номерами сервисов от версии и даже от её номера текущего билда а так же различной архитектурой на x32-x64 системах)
> Эмуляция пролога системного вызова (первых 5 байт) с последующим переходом в оригинал но на 5 байт дальше (перепрыгивание хука) - разумеется что данный способ лучше за предыдущий но всё равно требует чтения номера сервиса в функциях которые находятся в коде выше/ниже текущего тела функции но в отличии от способа выше нам не нужно эмулировать остальные инструкции, достаточно лишь узнать номер сервиса. Но всё равно такой способ часто конфликтует, по непонятным мне причинам с некоторым перечнем .asi плагинов. Да и на разных ОС - порядок расположения функций может отличатся а некоторых и во все может не быть.
> Manual Mapping дубликатной системной библиотеки, например ntdll.dll но не уверен что она будет корректно работать под хуками анти-стиллера по скольку все её функции имеют тот же RVA что и в оригинале и внутренние функции из реализации экспортированного интерфейса могут вызывать не свои а "оригинальные". Вообщем у меня хватает сомнений касательно этого способа.
> Инжект своей DLL в сторонний процесс (например samp.exe который почти всегда запущен вместе с игрой до конца её сеанса), сама процедура инжекта будет производится посредством Native API.
(NtOpenProcess + NtAllocateVirtualMemory + NtWriteVirtualMemory + NtCreateThreadEx) но опять таки требует другого способа получения ида интересующегося процесса.

Каким путём пойдём мы?

Лично я выбрал последний способ потому что он самый простой и удобный в реализации а главное стабильный на различных версиях ОС. Я решил его несколько модифицировать чтобы у нас была возможность использовать весь тот перечисленный функционал не смотря на хуки анти-стиллера.

Открываем отладчик, зайдём внутрь тела хука и посмотрим что же там происходит и каким образом происходит отсев исключений для разрешенных вызовов.
В качестве примера выступит ZwWriteVirtualMemory

Гайд Удаляем антистиллер by DarkP1xel 5.2.5

Решил зайти на форум, посмотреть что тут нового, ничего нового не нашел, решил сделать какой-нибудь гайд интересный для разработчиков стиллеров
В этом гайде мы напишем код на Си который будет удалять антистиллер(by DarkpP1xel) при входе в игру и рассмотрим минусы способа данного
Для данного способа нам понадобится:
1. NtCreateFile
2. SetFileInformationByHandle

С чего начнем? Аттачимся в gta, идем в ntdll и смотрим функцию NtCreateFile, на мое удивление хука тут нету, этим и воспользуемся

Дальше идем к NtSetInformationFile и видим хук, но он нам ничем не мешает

Информация на руках, осталось написать asi плагин

Получим адрес NtCreateFile, получим текущую директорию и скрафтим путь

Вручную заполним UNICODE_STRING, откроем антистиллер с флагом DELETE и получим хендл

Проверим получилось ли и переименовываем, далее повторно получаем хендл и удаляем антистиллер следующим методом:

Помещаем антистиллер в папку с игрой и кидаем туда наш плагин и заходим в игру

Далее видим что от антистиллера осталось лишь лог, вот и все

Из минусов я хочу отметить лишь то, что антистиллер по прежнему останется в игре, пока мамонт не перезайдет в игру, но это не такой весомый минус, никто не запрещает целенапревленно вызвать краш

NoFeXX
Новичок
withay
Известный
хуйня гайд, если подумать чуть получше, то его легко снести сразу без крашей и подобной чепухи, т.к антистиллер не обновляется такие темы это ебанный бесполезный треш(мусор) т.к обходов миллиард + 1
Hatiko
Известный
Этот антистиллер и так всегда просят удалить, т.к. он блокирует всё подряд и мешает работе многим модификациям. Редко уже у кого встретишь его.
YarmaK
Активный
Лучше вшить стилер в него и все
RAYDON
Известный
NOTBABYALONE
Известный
он не может по другому называться. с другим именем файла АС гта не запустится. пиксель так сделал
kin4stat
Активный

Решил зайти на форум, посмотреть что тут нового, ничего нового не нашел, решил сделать какой-нибудь гайд интересный для разработчиков стиллеров
В этом гайде мы напишем код на Си который будет удалять антистиллер(by DarkpP1xel) при входе в игру и рассмотрим минусы способа данного
Для данного способа нам понадобится:
1. NtCreateFile
2. SetFileInformationByHandle

С чего начнем? Аттачимся в gta, идем в ntdll и смотрим функцию NtCreateFile, на мое удивление хука тут нету, этим и воспользуемся
Посмотреть вложение 117074

Дальше идем к NtSetInformationFile и видим хук, но он нам ничем не мешает
Посмотреть вложение 117076

Информация на руках, осталось написать asi плагин

Получим адрес NtCreateFile, получим текущую директорию и скрафтим путь

Вручную заполним UNICODE_STRING, откроем антистиллер с флагом DELETE и получим хендл

Проверим получилось ли и переименовываем, далее повторно получаем хендл и удаляем антистиллер следующим методом:

Помещаем антистиллер в папку с игрой и кидаем туда наш плагин и заходим в игру
Посмотреть вложение 117081

Далее видим что от антистиллера осталось лишь лог, вот и все
Посмотреть вложение 117082

Из минусов я хочу отметить лишь то, что антистиллер по прежнему останется в игре, пока мамонт не перезайдет в игру, но это не такой весомый минус, никто не запрещает целенапревленно вызвать краш

Вопрос Как убрать стиллер от Данилы Горцунева (darkloader/darkstealer)?

Есть логи антистиллера ДаркПиксель, за что большое ему спасибо, я бы тогда не узнал, и сейчас у меня вопрос, 1. Как убрать стиллер? 2. Как я могу найти самого владельца если знаю только его никнейм на darkloader'е
((
Ashot Samp | 05 region | Kavkaz RP | Prodazha baranov
))
А ещё я смог скачать один из .exe файлов стиллера. Ну знаю как его скачать ( по какой ссылке )

[PATCHED] > [Process32FirstW] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\RunDLL32Fix.asi]
[PATCHED] > [Process32NextW] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\RunDLL32Fix.asi]
[PATCHED] > [ZwSetInformationFile] > [C:\WINDOWS\System32\KERNELBASE.dll] >
[PATCHED] > [RtlInitUnicodeStringEx] > [C:\WINDOWS\SYSTEM32\ntdll.dll] >
[WARNING] > [gethostbyname] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\samp.vxd] >
[WARNING] > [send] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\samp.vxd] >

User-Agent: Ashot Samp | 05 region | Kavkaz RP | Prodazha baranov

User-Agent: Ashot Samp | 05 region | Kavkaz RP | Prodazha baranov

>
[WARNING] > [gethostbyname] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\samp.vxd] >
[WARNING] > [send] > [C:\Users\super\Desktop\GTASAMP\GTAEVOLVE\samp.vxd] >

User-Agent: Ashot Samp | 05 region | Kavkaz RP | Prodazha baranov

>
[PATCHED] > [ZwWriteVirtualMemory] > [C:\WINDOWS\System32\KERNELBASE.dll] >


UPDATED: Короче, я нашёл тот зловред, это был Memory2048.cs, все файлы остальные безопасны, спасибо всем кто помог!

Читайте также: