Be careful or how not to deceive himself

Сегодня утром нам написал один из клиентов и торопливо сказал что у него пол сервера играет со Speed Hack и скорее всего это Cheat Engine. Нам слабо верилось в достоверность данных, но проверить надо было и при этом срочно. Мы сразу же проверили несколькими методами загрузку и работу Cheat Engine, но все безрезультатно. К счастью был найден один из игроков который поделился информацией.

 [10:38:28] Игрок: файл item.bmd
[10:38:30] Игрок: слышал?
[10:38:40] Администратор: да
[10:38:57] Игрок: щас секунду я на спот встану
[10:39:16] Администратор: не понял
[10:39:21] Администратор: как ты заменить item.bmd
[10:39:24] Администратор: мог проверка же стоит
[10:39:25] Игрок: щас отпишу как это делается
[10:41:00] Игрок: короче нажимаешь кнопку запустить, открывается окно, во время загрузки в папку Local закидываешь файл этот, нажимаешь заменить
[10:41:10] Игрок: несколько раз
[10:41:19] Игрок: на перчатках 255 спида и на стафе тоже 255 спида
[10:41:21] Игрок: в общем 500
[10:41:25] Игрок: сидишь играешь =)

Как? Неужели мы пропустили такой простой взлом? Это же первое что надо блокировать! Мы сразу же запустили Launcher в режиме дебага и начали смотреть что происходит. Спустя несколько секунд мы увидели очень забавную картину. Вместе с игрой загрузился и чит.

Agility-Hack

Откуда? Ведь все процессы в системе известны как свои 5 пальцев! Ничего не скачивалось и не запускалось. После некоторого анализа было установлено что чит загружается самой игрой. Интересный поворот. Выходит что сам main.exe загружает чит. Наверное это мечта каждого читера чтобы при заходе на сервер ему автоматически запускался чит. Правда в нашем случае чит не работал, видимо его заблокировал наш Ant-Cheat. Проблема клиента оставалась не решённой, но появились новые интересные детали.

Собрав некоторую информацию мы поняли что данный чит использует hijack атаку для загрузки своего модуля. Как позже оказалось данный чит выдавал себя за Glow.dll и таким образом подгружался практически в любой игровой клиент. Оставался вопрос. Откуда этот чит появился в папке с игровым клиентом? Наш клиент сообщил что в его файлах данной библиотеке нету. Откуда он у нас? Оставался всего один вариант – из клиента прошлого заказчика. Недолго думая мы скачали официальный клиент нашего прошлого заказчика и нашли то что искали.

Glow.dll

Вот так вот, из-за недосмотра Администратора проекта в официальный игровой клиент попал чит, а ведь на сервере около 200 онлайн.

Что же с нашим первым клиентом который обратился за помощью со SpeedHack? После того как мы запустили Launcher в режиме отладки мы сразу поняли что защита, по недосмотру самого Администратора, была отключена на стороне сервера. Спустя несколько минут вся защита была успешно включена и работала в полную силу.

Мораль сей басни.

Будьте бдительны. Из-за невнимательности Вы можете сами себе создать проблемы. В первом случае Администратор выключил защиту собственноручно, во втором – по невнимательности добавил чит себе в клиент.

С ув. Armored Software Team.

Leave a Reply

Your email address will not be published. Required fields are marked *

*