Эксклюзив Неактуально Избранное ASI AntiStealer

[Magnore]

Запускаю самп, крашит(понятно, что AS не пускает из за чего то). Про silent aim знаю, но была старая версия AS, с ней игра запускалась и проблем не было, седне новую версию поставил, стала вылетать гта. Что делать? Удалять s.aim? И кроме него, есть еще что то?

 

[DarkP1xel]

Запускаю самп, крашит(понятно, что AS не пускает из за чего то). Про silent aim знаю, но была старая версия AS, с ней игра запускалась и проблем не было, седне новую версию поставил, стала вылетать гта. Что делать? Удалять s.aim? И кроме него, есть еще что то?

Удаляй: D:\GTA San Andreas MultiPlayer\SAMPFUNCS\SilentAIM_v15.sf.
Вирус.

 

[Magnore]

Удаляй: D:\GTA San Andreas MultiPlayer\SAMPFUNCS\SilentAIM_v15.sf.
Вирус.

После удаления все равно AS не пускает в игру.

 

[DarkP1xel]

После удаления все равно AS не пускает в игру.

Может быть у тебя ShadowPlay включён?

 

[Magnore]

Может быть у тебя ShadowPlay включён?

Вот и я в логе увидел, но я подумал не в этом дело, т.к. он не включен.

 

[DarkP1xel]

Таир ты хукнул RtlCreateUserProcess но забыл за RtlCreateUserProcessEx которым можно обойти анти-стиллер в два щелчка.
И вот тебе ещё перечень функций которыми можна обойти v4.9.5
> NtUserFindWindowEx можно использовать как аналог FindWIndow.
> NtUserBuildHwndList как функа выше но парсит список HWND окон от всех процессов.
> NtSetWindowsHookEx - Аналог SetWindowsHookEx
> NtSetWindowsHookAW - Аналог SetWindowsHookEx
Так же тебе стоит знать что все функции с kernelbase.dll практически аналогичны kernel32.dll и можно ими пользоваться не взирая на антистиллер потому что ты хукаешь только kernel32.dll ну во всяком случае на вин10 у меня практически все функи с неё без проблем вызывались а вот на вин7 крашило почему-то.
Порядок цепочки вызовов то такой: WIN API -> kernel32.dll -> kernelbase.dll -> ntdll.dll
И в этой цепочке kernelbase твоё слабое звено =)

В общем я решил посмотреть то, что ты написал.
Во первых я посмотрел на RtlCreateUserProcessEx и не обнаружил эту функцию даже в экспортах.
Во вторых при получения Proc'a у KernelBase ты будешь перекинут на мои хуки для функций из Kernel32 и мне успешно удалось вызывать KernelBase на Windows 7.
Что касается четырёх функций которые ты мне написал - исправлю и добавлю еще парочку.

 

[Vampir661]

|>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<|
|> | AntiStealer | V4.9.5 | By DarkP1xel | .LOG File | <|
|> Official Web-Site: https://blast.hk/ <|
|> Subscribe to my YouTube Channel: https://vk.cc/5PCsTe <|
|> Official Topic: https://blast.hk/threads/16018/ <|
|> KEEP CALM AND SMOKE SOME WEED <|
|> !AntiStealer LOADED! <|
|>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<|

[PATCHED] > [FindWindowA] > [C:\Windows\system32\nvspcap.dll]
[PATCHED] > [FindWindowA] > [C:\Windows\system32\nvspcap.dll]
[PATCHED] > [GetEnvironmentVariableA] > [E:\Games\Grand Theft Auto - San Andreas\CLEO.asi] > {lpName: %TEMP%}
[PATCHED] > [GetEnvironmentVariableA] > [E:\Games\Grand Theft Auto - San Andreas\CLEO.asi] > {lpName: %TEMP%}
[PATCHED] > [GetEnvironmentVariableA] > [E:\Games\Grand Theft Auto - San Andreas\CLEO.asi] > {lpName: %TEMP%}
[WARNING] > [gethostbyname] > [E:\Games\Grand Theft Auto - San Andreas\samp.dll] > {name: DESKTOP-J06PPD5}
[WARNING] > [InternetOpenA] > [E:\Games\Grand Theft Auto - San Andreas\SAMPFUNCS.asi] > {lpszAgent: SAMPFUNCS v5.3.3 release #19 (SA-MP 0.3.7)}
[WARNING] > [InternetOpenUrlA] > [E:\Games\Grand Theft Auto - San Andreas\SAMPFUNCS.asi] > {lpszUrl: http://service.blasthack.net/sf_sta...29E5E822&x=B9909B053E5CD06910E320FA43440F5E5D}
[WARNING] > [WinHttpCreateUrl] > [C:\Windows\SYSTEM32\Winhttp.DLL] > {lpUrlComponents->lpszHostName: service.blasthack.net}
[WARNING] > [WinHttpCreateUrl] > [C:\Windows\SYSTEM32\Winhttp.DLL] > {lpUrlComponents->lpszHostName: service.blasthack.net}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\Wininet.DLL] > {lpUrlComponents->lpszHostName: service.blasthack.net}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\Wininet.DLL] > {lpUrlComponents->lpszHostName: service.blasthack.net}
[WARNING] > [GetAddrInfoExW] > [C:\Windows\SYSTEM32\Wininet.DLL] > {pName: service.blasthack.net}
[WARNING] > [InternetOpenA] > [E:\Games\Grand Theft Auto - San Andreas\SAMPFUNCS.asi] > {lpszAgent: SAMPFUNCS}
[WARNING] > [InternetConnectA] > [E:\Games\Grand Theft Auto - San Andreas\SAMPFUNCS.asi] > {lpszServerName: service.blasthack.net}
[WARNING] > [HttpOpenRequestA] > [E:\Games\Grand Theft Auto - San Andreas\SAMPFUNCS.asi] > {lpszObjectName: /sf_update.php?ver=19}


это стиллер или нет?

 

[DarkP1xel]

|>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<|
|> | AntiStealer | V4.9.5 | By DarkP1xel | .LOG File | <|
|> Official Web-Site: https://blast.hk/ <|
|> Subscribe to my YouTube Channel: https://vk.cc/5PCsTe <|
|> Official Topic: https://blast.hk/threads/16018/ <|
|> KEEP CALM AND SMOKE SOME WEED <|
|> !AntiStealer LOADED! <|
|>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<|

[PATCHED] > [FindWindowA] > [C:\Windows\system32\nvspcap.dll]
[PATCHED] > [FindWindowA] > [C:\Windows\system32\nvspcap.dll]
[PATCHED] > [GetEnvironmentVariableA] > [E:\Games\Grand Theft Auto - San Andreas\CLEO.asi] > {lpName: %TEMP%}
[PATCHED] > [GetEnvironmentVariableA] > [E:\Games\Grand Theft Auto - San Andreas\CLEO.asi] > {lpName: %TEMP%}
[PATCHED] > [GetEnvironmentVariableA] > [E:\Games\Grand Theft Auto - San Andreas\CLEO.asi] > {lpName: %TEMP%}
[WARNING] > [gethostbyname] > [E:\Games\Grand Theft Auto - San Andreas\samp.dll] > {name: DESKTOP-J06PPD5}
[WARNING] > [InternetOpenA] > [E:\Games\Grand Theft Auto - San Andreas\SAMPFUNCS.asi] > {lpszAgent: SAMPFUNCS v5.3.3 release #19 (SA-MP 0.3.7)}
[WARNING] > [InternetOpenUrlA] > [E:\Games\Grand Theft Auto - San Andreas\SAMPFUNCS.asi] > {lpszUrl: http://service.blasthack.net/sf_sta...29E5E822&x=B9909B053E5CD06910E320FA43440F5E5D}
[WARNING] > [WinHttpCreateUrl] > [C:\Windows\SYSTEM32\Winhttp.DLL] > {lpUrlComponents->lpszHostName: service.blasthack.net}
[WARNING] > [WinHttpCreateUrl] > [C:\Windows\SYSTEM32\Winhttp.DLL] > {lpUrlComponents->lpszHostName: service.blasthack.net}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\Wininet.DLL] > {lpUrlComponents->lpszHostName: service.blasthack.net}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\Wininet.DLL] > {lpUrlComponents->lpszHostName: service.blasthack.net}
[WARNING] > [GetAddrInfoExW] > [C:\Windows\SYSTEM32\Wininet.DLL] > {pName: service.blasthack.net}
[WARNING] > [InternetOpenA] > [E:\Games\Grand Theft Auto - San Andreas\SAMPFUNCS.asi] > {lpszAgent: SAMPFUNCS}
[WARNING] > [InternetConnectA] > [E:\Games\Grand Theft Auto - San Andreas\SAMPFUNCS.asi] > {lpszServerName: service.blasthack.net}
[WARNING] > [HttpOpenRequestA] > [E:\Games\Grand Theft Auto - San Andreas\SAMPFUNCS.asi] > {lpszObjectName: /sf_update.php?ver=19}


это стиллер или нет?

Да, в CLEO скрипте.

 

[deropleat]

Да, в CLEO скрипте.

Да нет, вроде бы стиллера именно нет. Пропатчены некоторые функции, но стиллера, по крайне мере я, там не вижу.

 

[Magnore]

Еще на одной гта проверил версию 4.3.0, она запускается, на этой же версии AS ,моя гта вылетает. А на ласт версии AS вылетают обе гташки, при том вторая вылетает моментально, а моя с черным экраном 4-5 сек и вылетает.

 

[DarkP1xel]

Да нет, вроде бы стиллера именно нет. Пропатчены некоторые функции, но стиллера, по крайне мере я, там не вижу.

Ты не видишь, а я вижу. %TEMP% получают стилеры в CLEO.

 

[Skitzoid]

блин рилл че лог пустой даунпо сборку скачал для средних слабых пк там лог пустой от чего мб?

 

[Vampir661]

Ты не видишь, а я вижу. %TEMP% получают стилеры в CLEO.

Проверил, именно на cleo от dapo show ругалось. Спасибо за ответ

 

[MAHEKEH]

отчего такой лог мб? это весь лог

Спойлер

|>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<|
|>        | AntiStealer | V4.9.5 | By DarkP1xel | .LOG File |        <|
|>               Official Web-Site: https://blast.hk/                <|
|>       Subscribe to my YouTube Channel: https://vk.cc/5PCsTe       <|
|>          Official Topic: https://blast.hk/threads/16018/          <|
|>                   KEEP CALM AND SMOKE SOME WEED                   <|
|>                        !AntiStealer LOADED!                       <|
|>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<|

[WARNING] > [gethostbyname] > [E:\

Тоже самое кстать.

 

[ЯedЯuM]

В общем я решил посмотреть то, что ты написал.
Во первых я посмотрел на RtlCreateUserProcessEx и не обнаружил эту функцию даже в экспортах.
Во вторых при получения Proc'a у KernelBase ты будешь перекинут на мои хуки для функций из Kernel32 и мне успешно удалось вызывать KernelBase на Windows 7.
Что касается четырёх функций которые ты мне написал - исправлю и добавлю еще парочку.

Дебагер меня наёбывает?)

Касательно кернель бейса, ты прав я протупил т.к некоторые функции ты хукнул ещё в ntdll.dll и целесообразнее хукать сразу в ней.
Но ты пропустил ещё пару хуков, например LoadLibrary можна обойти вызовом LdrLoadDll
Так же NtMapViewOfSection можна использовать для аналога Process32First / Process32Next (Аля обход твоего убиватора анти-снифера в стиллерах)