miércoles, 20 de marzo de 2013

HackShield Pro K.O. EnelDLL Injector


¿Qué sería de este blog sin mi kit de Inspector Gadget? ¡Pues eso! absolutamente nada. Si no viniera de higos a brevas, a marearos con mis paranoicas montañas rusas de pensamientos posiblemente superfluos, ¡aquí no quedaba ni Dios!

Esta entrada ¡cómo no!, venía labrándose desde aquellos tiempos, en los que mimetizado con lo que sería la esquina de la clase de redes, en aquella corta estancia de mis andanzas colegiales, encontraba un pasatiempos que hoy me daría algo que contar.

Por internet, hemos visto información muy interesante sobre cómo realizar modificaciones en las direcciones de memoria de juegos online, aunque en ninguna de ellas, se vio información de cómo evadir aplicaciones Anti-Hackers conocidas como PunkBuster o HackShield Pro.

Pues bien, en aquellos tiempos nocturnos de viciadas sin fin, o de clases aburridas… siempre terminé topándome con un juego llamado WarRock. Entre nosotros podemos decir, que es una fusión entre el conocido Counter Strike y el gigantesco Battlefield, aunque por suerte este juego es gratuito, o al menos su adquisición.

Hace varios años, la seguridad del juego estaba en manos de PunkBuster, una aplicación que evitaba que los usuarios malintencionados, modificasen las direcciones de memoria, desde ciertas aplicaciones externas conocidas. Lo más parecido al funcionamiento de una antivirus. Aplicaciones como Cheat Engine, valían de mucho para realizar este tipo de “Chetos”.

Actualmente, el motor Anti-Hackers, está en manos de HackShield Pro, algo más potente en el momento de su salida y con nuevas tecnologías para evitar a ese tipo de personas, que se dedican en juegos online, a incluir ciertos super-poderes en juegos bélicos. Tales como tener munición ilimitada, atravesar paredes, ver a través de las mismas o incluso a realizar saltos de más 3000 metros… nada, lo normal.

Sin más royo que contaros, he vuelto a ser el niño de antes, ahora sí, tratando de investigar de qué manera HackShield Pro, detecta las aplicaciones que proveen de "super-poderes" a los personajes. He montado un pequeño recuadro con tres simples pruebas con mis aplicaciones en Visual Basic 6, intentando zurrar al proceso WarRock.exe.


A modo Fucker, me he dado cuenta de que a HackShield Pro, no le gusta un pelo el Visual Basic 6, algo que veo normal, ya que hace años absolutamente toda la información para realizar este tipo de modificaciones, estaba escrita con este lenguaje… así que fue una forma de forzar a los usuarios “hackers”, a migrar su sabiduría a otros lenguajes. Cosa que no cayeron, es en la utilización de Packers/Crypters. Con lo que demuestra que HackShield Pro se basa en detecciones por firmas y no mediante métodos heurísticos avanzados, como por ejemplo, el tipo de librerías que cargan los binarios atacantes. Nada nuevo… visto el funcionamiento de ciertos antivirus, esto debe de ser peor.

Algo que se le ocurrió a las comunidades de foreros, que realizan este tipo de trucos, es la idea de que mediante Inyecciones DLL, podrían cargar el contenido del “main“ de una librería dinámica, con el objetivo de que las aplicaciones que modifiquen la memoria, procedan directamente del proceso el cual vigila HackShield Pro.

¿Y cómo inyectar la librería con HackShield Pro delante de las mismísimas narices del juego?

Pues nada tan sencillo como hacerlo antes de que el Anti-Hackers, se cargue por completo, ya que su motor no monitoriza posibles inyecciones de código, si no se ha cargado en su totalidad. En este corto transcurso de tiempo, es posible inyectar en memoria sobre el proceso del juego.

Así que para no dejar de lado como hicieron todos los foreros a mi querido Visual Basic 6, he preparado una aplicación que permite realizar inyecciones de librerías compiladas en C++ y la he cifrado con un Crypter Runtime compilado en Delphi. La he bautizado con el nombre de EnelDLL Injector.

La aplicación muestra los procesos existentes y permite seleccionarlos, para realizar inyecciones manuales en los mismos, incluyendo previamente la ruta de la librería a inyectar.


Por otro lado, he incluido un modo automático el cual monitoriza en que momento el proceso es lanzado, para automáticamente inyectar la librería y cerrarse el programa. Este es cerrado de forma rápida, para evitar futuras detecciones basadas en firmas de parte de HackShield Pro.


Después de pegarme a palos con tasklist…


Y con ListDlls de sysinternals…


Salí de dudas en que la lectura de las librerías, estaba siendo protegida por HackShield. Pero si existía algo de lo que no podían escapar, es de Process Monitor.


No obstante, algunos desarrolladores de chetos dejan claro que el “main” de la librería pasó por el proceso.


Y nada como lucir un nivel 100 con tan solo un click… aunque en este caso todo quede entre nosotros... :)


Nada tan basto como, tirar una granada a una marabunta de texturas sobre un mismo punto, y matar a 20 de un golpe.


Ver con poderes infrarrojos, el escondite de cada enemigo.


O dar un salto bestial mientras todos quedan con cara de…



Descarga:

Pass: 4n0nym0us

PD: El ejecutable es altamente detectado por los antivirus, debido al Crypter. Pero no se asusten... está limpita :)

Saludos 4n4les! ;) 

28 comentarios:

  1. gran aporte parce . pero una pregunta ...yo he querido probar en un juego ,,pero no me permite minimizar ..si quiero minimizar simplemente me vota del juego y hace que no pueda modificar nada ...mejor dicho tocar la memoria conoces alguna tecnica bro ?

    ResponderEliminar
    Respuestas
    1. Muchas gracias! :)

      Tienes la opción de cerrar EnelDLL Injector cuando ha terminado su trabajo, yo te recomiendo que utilices el modo automático con cierre de aplicación incluido, de esta manera evitas que detecten la tool.

      Saludos!

      Eliminar
    2. no no , la tool el juego no la detecta . simplemente que luego de entrar al juego . para hacer cambios de memoria y hacer trampa . no me lo permite , debido a que el juego trae una proteccion llamada x-trap que no permite minimizar el juego , eso hace que no pueda modificar nada ..me entiendes ...un ejemplo . si quiero hacer trampa en el juego y quiero minimizar para ir probando y probando , no me lo permite simplemene se cierra el juego si lo minimizo ...tienes alguna tecnica para eso , te ha pasado ?

      en otros juegos si puedo hacer trampa , pero en este juego no digo el nombre ..si deseas te lo digo ...

      Eliminar
    3. Simplemente puedes utilizar la librería cargada, y embeberla dentro del directx o esperar a presionar ciertas teclas para que empiecen a funcionar los chetos, nada de aplicaciones externas al juego.

      Eliminar
  2. Pasiiito pasiiito, si quieres que echemos unas warrots te vas a tener que quitar ese chetiooooiiioOOIIIIICHHH IIICHHH IIICHHH

    buen post

    ResponderEliminar
  3. que pirata eres =P
    p.d. nos quedan dos dias :(

    ResponderEliminar
  4. Creo que ya sé quien eres! jejeje

    Saludos! ;)

    ResponderEliminar
  5. buenas, si tienes que meter mas de un dll, como se haria?
    gracias

    ResponderEliminar
  6. ahora hay que hacerle bypass al xtrap aqui te mando una imagen :D

    http://i48.tinypic.com/n5gfpt.jpg

    ayudame

    ResponderEliminar
    Respuestas
    1. Te recomiendo que inyectes la librería en el proceso del juego antes de que se inicie X-Trap. Creo que lo hiciste una vez cargado X-Trap y por eso es detectado... de igual manera, necesitarás una librería que apunte a las direcciones de memoría estáticas del proceso del juego, expresamente en C++ para realizar los chetos, como publiqué en:

      http://www.enelpc.com/2013/03/hackshield-pro-ko-la-caza-del-cheto.html

      Saludos! :)

      Eliminar
  7. Como lo hago para cuando le pongo Inject y me dice "You dont have privileges :("

    estoy tratando de sacarme el HackShield de Metin2

    ResponderEliminar
    Respuestas
    1. Hola Axel! prueba a ejecutar la aplicación con administrador!

      Un Saludo! :)

      Eliminar
    2. hola amigo, estoy intentando usarlo para sacarme el hackShield de metin2 pero tengo el mismo problema me dice "You dont have privileges :(" ¿alguna otra idea de como hacer?

      Eliminar
    3. hola amigo tengo el mismo problema si sabes como desactivar hackshield pro dime mi correo: azx_195@hotmail.com

      Eliminar
  8. Men, el ejecutable no abre en mi equipo ni nada, ya intente tratando de abrir como administrador pero aun asi nada... espero tu ayuda

    ResponderEliminar
  9. El archivo logra aparecer en la casilla de procesos del administrador de tareas, pero no puedo utilizarlo ya que no se puede ver en el escritorio

    ResponderEliminar
    Respuestas
    1. Ha sido probada en diferentes sistemas y funciona perfectamente, aunque es cierto que tarda unos segundos en arrancar debido al crypter.

      Saludos!

      Eliminar
  10. Mmmm... el problema perdura, te mando una imagen de lo que me pasa:

    http://imgur.com/zEEI3Ra

    (aclaro que tengo un sistema desatendido) o.o

    ResponderEliminar
  11. soy nuevo y no entiendo que hacer después que se sierra el programa cuando lo pongo en automático por favor ayúdame mi correo es nbrandon.211@hotmail.com gracias : )

    ResponderEliminar
    Respuestas
    1. hola amigo tengo el mismo problema si sabes como desactivar hackshield pro dime mi correo: azx_195@hotmail.com

      Eliminar
  12. Hola Compadre, me gustaría saber si tu creación y método sirbe para otros Juegos online¿? c:

    ResponderEliminar
  13. oye agregame a skype te tengo qe preguntar varias cosas,por favor...me hace mucha falta:degoxd91

    ResponderEliminar
  14. Hola,tengo el mismo problema con el mismo juego, metin2 pone que necesito privilegios y lo e abierto en modo de administrador :( alguien que me pueda ayudar? agregadme a mi hotmail: joakin.9.98@hotmail.com

    ResponderEliminar
    Respuestas
    1. hola amigo tengo el mismo problema si sabes como desactivar hackshield pro dime mi correo: azx_195@hotmail.com

      Eliminar
  15. hola Amigo me Preguntaba si existirá algúno para el HackShield Pro de Counter strike online Malasia (iah Games) Alguna respuesta por favor mi correo: THEJINCHURIKIPHOENIXUNRIAL@GMAIL.COM
    Gracias.

    ResponderEliminar
  16. hola amigo tengo el mismo problema si sabes como desactivar hackshield pro dime mi correo: azx_195@hotmail.com

    ResponderEliminar
  17. Ostras qu3 tiempos... Recuerdo GameGuard nprotect me quedé sin neuronas hasta que bypassed! Jajaj si! Era tan simple como guardar sus revisiones pasadas, montar un Apache y editar. Hosts.. Luego GameGuard leía la revision más tirada que tenía en sus principios de system/drivers/etc/hosts...a todo esto le sume un HID ( hardware id) para lanzarlo por Navidad al público... Se volvieron locos usando WpS (winsock packets editor) CE... Y por supuesto más de 1 aimbot que yo y mi ollydebugger crackeemos rebasando la IAT aalgunas trazadas jj y boala!!! CoCaKoLa Cracked.. En fin que bien me lo paso cuando quiero, ... Mmmm have fun!

    Ahhh si alguien quuere ponerse en contacto conmigo para algún proyecto estoy abierto.. DevylPoet@gmail.com

    ResponderEliminar