Цикл статей. Как создать свой чит/трейнер

Долгожданная третья часть автора приватных статей с Хакера:



В этой статье я попробую показать, как создать собственный чит, который будет противостоять используемым в играх античит‑системам. Для этого нам понадобится поупражняться в реверсе и познакомиться с устройством игр, написанных на Unity.

АНТИЧИТ​

Итак, античит — это некая программа, которая мешает игрокам в онлайновые игры получать нечестное преимущество за счет использования стороннего ПО. Не буду пытаться объяснить это на абстрактном примере, лучше давай сразу перейдем к практике. По дороге все поймешь!

Quick Universal Anti-Cheat Kit​

Так как нет (или я просто не нашел) античитов уровня ядра с открытым исходным кодом, то выбирать будем из опенсорсных античитов, в которых присутствует только античит пользовательского уровня. Мой выбор пал на античит (далее Quack).

Сразу предупреждаю, что Quack — это лишь простенькая опенсорсная демонстрация концепции. Обойти ее проще, чем системы, которые используются в популярных играх. Все коммерческие античиты работают как на пользовательском уровне, так и на уровне ядра. Причем самые важные защитные функции обычно реализованы именно в виде драйвера.

Однако для обучения Quack сгодится как нельзя лучше, и изложенное дальше должно стать фундаментом для будущих изысканий.

Архитектура Quack​

Давай посмотрим на общую архитектуру античита глазами ее автора. Далее я объясню, для чего нужен каждый выделенный на схеме компонент.



Зеленым цветом я выделил клиентскую часть (то, что будет работать на компьютере игрока):

• Protected video game — игра, которую мы запускаем на своем компьютере и которую будет защищать античит;
• Anti-cheat .DLL — пользовательская часть античита, DLL, которая существует в контексте созданного процесса игры и которая отвечает за защиту памяти процесса игры;
• Standalone usermode anti-cheat process — пользовательская часть античита. Это главный модуль античита (оркестратор), который общается с пользовательской и ядерной частями, а также держит связь с сервером античита;
• Kernel mode anti-cheat — ядерная часть античита. Отвечает за защиту двух других модулей античита. Не реализовано.

Синим цветом я выделил серверную часть (то, что будет работать вне компьютера игрока):

• Master server — отвечает за хранение учетной записи игрока и управление ею;
• Game server — отвечает за отслеживание состояния элементов в игре, а также местоположения игроков и врагов на карте;
• Anti-cheat database — база данных игроков.

Настраиваем Quack​

Если после развертывания Quack (как это сделать, смотри в руководстве и ) у тебя ничего не работает, то советую повнимательнее изучить следующие файлы и настроить сетевые адреса и порты в соответствии с реальными условиями.

GameDevCAServer\Program.cs​

var settings = MongoClientSettings.FromConnectionString(env["DB_URI"]);
settings.ServerApi = new ServerApi(ServerApiVersion.V1);

var mongoClient = new MongoClient(settings);
database = mongoClient.GetDatabase(env["DB_NAME"]);

Quack-server\src\main.js​

class Config {
static DB_URI = process.env.DB_URI
static DB_NAME = process.env.DB_NAME
static PORT = process.env.PORT

static CLIENT = new MongoClient(this.DB_URI)

static DEV_MODE = true
static VERSION = process.env.npm_package_version
}

Quack-internal\constants.hpp​

namespace constants {
const LPCWSTR W_DLL_NAME { L"Quack-internal" };
const LPCSTR DLL_NAME{ "Quack-internal" };

const std::string VERSION { "0.6.5" };
constexpr unsigned IPC_PORT = 5175; // Local machine communications port
constexpr unsigned NET_PORT = 7982; // Foreign network communications port
static constexpr bool DBG = false;
}

Quack-client\constants.hpp​

namespace constants {
const std::string VERSION{ "0.4.2" };
const std::string NAME{ "Quack" };
constexpr unsigned IPC_PORT = 5175; // Local machine communications port
constexpr unsigned NET_PORT = 7982; // Foreign network communications port
static constexpr bool DBG = false;
}

Quack-client\flashpoint.cpp​

http::Client cli{ "localhost", constants::NET_PORT };

Проверяем работоспособность Quack​

Для начала нам нужно убедиться в том, что все работает. Для этого так же, как и автор античита, будем использовать его игру , инжектор и внутренний чит . Подключимся к серверу по адресу lh (localhost) с ником xakep0.



В консоли игрового сервера видим, что произошло подключение.



Также в базе данных античита видим, что появилась запись.



Начинаем тест. Для этого в командной строке выполним Destroject.exe Inertia (не забыв рядом положить Inertia-cheat.dll). Видим, что инжект чита успешно выполнен.



Активируем чит нажатием клавиши E.



Видим, что чит активирован, но сразу же происходит бан.)



Посмотрев в БД античита, мы можем узнать, из‑за чего нас забанили.



Пробуем сменить никнейм, но нас все равно не пускают.



Если попытаться открыть Cheat Engine, он через пару секунд закроется, но бан не прилетит.

UNITY​

Прежде чем расчехлять и приступать к реверсу античита, сделаем небольшое отступление. Если ты уже заглянул в код чита, то мог заметить следующий участок:

Inertia-cheat\player.cpp​

Здесь стоит обратить внимание на строчку "UnityPlayer.dll". Дело в том, что игра написана на движке .

Inertia-cheat\data.cpp​

Также мы имеем цепочку указателей для UnityPlayer.dll. Откроем ее в IDA Pro по адресу base+0x13A1340. Видим, что здесь размещено значение переменной из стека и дальше поиск класса игрока идет в стеке.



Чтобы облегчить себе задачу, воспользуемся утилитой , которая позволит получить отладочные символы. Найти ее можно в составе .

После установки symchk в командной строке выполним следующую команду:


Загруженные отладочные символы будут расположены здесь:

C:\ProgramData\dbg\sym\UnityPlayer_Win32_mono_x86.pdb\EAF358F010DF4F28A0807EA7305B4B241\UnityPlayer_Win32_mono_x86.pdb

После загрузим их в IDA Pro.



После загрузки отладочных символов картина яснее не стала. Но пожалуй, мы не будем углубляться. Я лишь резюмирую, что такой способ подходит для Unity-чита, если нужно только менять значения в классе игрока, а не отрисовывать что‑то (как я делал в ).

Если хочешь подробнее изучить читы для Unity, оставлю ссылки:

• Чтобы увидеть нужно авторизоваться или зарегистрироваться.
• Чтобы увидеть нужно авторизоваться или зарегистрироваться.
• Чтобы увидеть нужно авторизоваться или зарегистрироваться.

Также есть полезный инструмент , который позволяет просматривать текстуры, спрайты, фоны и прочие ассеты игр, написанных на Unity.

Mono​

В Unity есть несколько вариантов бэкендов, которые могут исполнять игровой код. Наша игра исполняется в виртуальной машине , и вся интересующая нас информация, в том числе класс игрока, находятся вот в этом файле:

Inertia\Inertia_Data\Managed\Assembly-CSharp.dll

Откроем эту библиотеку в .



Слева будут указаны все классы игры, среди них мы с легкостью можем найти класс игрока, как для сетевой игры, так и для одиночной.

IL2CPP​

Как вариант, код игры может быть транслирован в C++ при помощи бэкенда (Intermediate Language To C++) и скомпилирован. Ниже — более подробная схема этого процесса, а подробное описание ты найдешь .




Если игра собрана с IL2CPP, то в Inertia\Inertia_Data\ мы не найдем ни папки Managed, ни Assembly-CSharp.dll, а интерес для нас будет представлять GameAssembly.dll. Если мы откроем этот файл в dnSpy, то не увидим ничего интересного.



Все дело в том, что игровая логика была скомпилирована в нативный код. Впрочем, и на этот случай есть решение — утилита , которая поможет извлечь всю информацию.

Выполним такую команду:

Il2CppDumper.exe Inertia\GameAssembly.dll Inertia\Inertia_Data\il2cpp_data\Metadata\global-metadata.dat Inertia_dump

И получим папку Inertia_dump с содержимым, как на скриншоте.



Файл dump.cs — восстановленный исходный код Assembly-CSharp.dll.



DummyDll — папка, которая содержит все восстановленные бинарные файлы. Это как раз и есть содержимое Managed, в том числе есть и наш Assembly-CSharp.dll.



Прочие важные файлы:

• il2cpp.h — заголовочный файл со структурами;
• script.json — скрипт для ida.py, ghidra.py и Il2CppBinaryNinja;
• stringliteral.json — содержит всю информацию о найденных строках.

ИЗУЧАЕМ И ОБХОДИМ АНТИЧИТ​

Для начала посмотрим, что есть в папке с игрой.

• Identify.dll — некая DLL, назначение которой нам неизвестно;
• Quack-ac.exe — главный модуль античита;
• Quack-internal.dll — библиотека, которая будет загружена в контекст игры.

Обходим детект по HWID​

Для начала исследуем Identify.dll. Откроем ее в IDA Pro и перейдем в единственную экспортируемую функцию GetHWID. Сокращение HWID (Hardware Identification) дает нам понять, что функция собирает информацию о компьютере. Но в этом нам все‑таки нужно убедиться.



Перейдем в функцию sub_10003DA0 и увидим следующие константы.



После гугления выясняем, что это часть алгоритма SHA-256. А значит, после того как соберется информация о железе игрока, от нее будет взят хеш по алгоритму SHA-256.



После перейдем в функцию sub_10003590 и снова изучим константы.



Снова гуглим и узнаём, что эти константы — часть алгоритма перевода байтов в шестнадцатеричную строку.



И последнее действие — копирование шестнадцатеричной строки SHA-256 в аргумент экспортируемой функции.



Имея полную картину, мы можем воспроизвести алгоритм, но хеш у нас будет браться не от HWID, а от рандомного значения. Для реализации возьмем код .


Теперь заменим исходную Identify.dll нашей. Но к сожалению, подключиться не выходит.

Давай посмотрим, что происходит в окне, где у нас запущен сервер.



Оказывается, Identify.dll — это часть игры, позволяющая идентифицировать игрока, и к античиту не относится. Что ж, немного промахнулись, но наши наработки еще пригодятся дальше.

Обходим детект сигнатур​

Античит, как и антивирус, умеет проверять сигнатуры бинарных файлов, в нашем случае — в поисках читов. В нашем случае база сигнатур хранится внутри Quack-internal.dll.



Выглядит эта база как список строк, где звездочка — это маска, означающая, что в этом месте может быть любой байт.

55 8B EC 83 EC 2C A1 * * * * 33 C5 89 45 FC 53 56 8B 35 * * * * 57 6A 23 8B F9 FF D6 A8 01 0F 85
68 * * * * FF 15 * * * * 8B 35 * * * * 8B 3D * * * * 03 F0 A1 * * * * 89 45 C8 3B F8 74 5D
50 A1 * * * * 33 C5 50 8D 45 F4 64 A3 * * * * 6A 19

Изучив код, находим функции, которые отвечают за сигнатурный детект.

1. Инициализируется паттерн.
2. Паттерн ищется в памяти.
3. Если есть совпадение, запускается процедура бана.

Теперь нам нужно понять, что менять в нашем чите, чтобы обходить проверку.



Есть несколько вариантов: обфускация, виртуализация и изменение параметров компиляции кода. Пойдем по самому простому пути — попробуем выключить оптимизацию на этапе компиляции.



После компиляции откроем тот же кусок кода и посмотрим, помогло ли это изменить сигнатуру.



Как видим, это помогло!

55 8B EC 83 EC 2C A1 * * * * 33 C5 89 45 FC 53 56 8B 35 * * * * 57 6A 23 8B F9 FF D6 A8 01 0F 85
55 8B EC 6A FF 68 ED 40 00 10 64 A1 00 00 00 00 50 83 EC 24 A1 08 60 00 10 33 C5 89 45 F0 50 8D 45

Давай для проверки запустим игру, внедрим чит и активируем его.



Все успешно работает, и бана нет.

Обходим черный список DNS​

В Quack-internal.dll есть проверка доменов, к которым обращался компьютер игрока.



Можем при желании убедиться, что это черный список, а не что‑то другое. Давай поищем функции, которые с ним работают.

1. Инициализация доменов из черного списка.
2. Вызов функции получения кеша DNS.
3. Функция получения доменов из кеша.
4. Поиск запретных доменов среди закешированных.

Вот как это работает. Если мы сделаем GET-запрос к домену aimware.net, домен закешируется.


Даже если мы не были при этом в игре, при следующем запуске нас забанят.



В кеше адрес все равно висит, поэтому нам нужно сбросить кеш DNS перед следующим запуском игры. Сделать это легко, просто выполним команду ipconfig /flushdns.

Так что лучше не посещать сайты, связанные с читами, в открытую и не использовать клиенты читов, где нужна авторизация.

INFO​

Обходим принудительное завершение Cheat Engine​

Помнишь, что при попытке открыть Cheat Engine он у нас сразу закрывался? Давай разберемся, почему.

В Quack-internal.dll мы ничего не находим, но зато в Quack-ac.exe нашелся список нежелательных программ. Как только античит обнаружит их в памяти, он немедленно завершит их.

1. Инициализация списка нежелательных программ.
2. Передача названий в функцию поиска.
3. Получение запущенных процессов.
4. Перебор и сравнение имен процессов.
5. Если совпадение найдено, процесс завершается.

Воспользуемся и посмотрим, как называется запущенный процесс Cheat Engine. Варианты могут быть разными, и выбор зависит от архитектуры процессора. В моем случае это cheatengine-x86_64-SSE4-AVX2.exe.



Попробуем переименовать CE и запустить напрямую.


Как видим, все прошло успешно.

Анализируем пакеты​

С помощью плагина для IDA Pro посмотрим, какие статически слинкованные библиотеки используются в античите. Как видишь, это и . Вторая — явный признак того, что программа будет что‑то запрашивать или отправлять по сети. Давай узнаем, что именно.



Попробуем перехватить пакеты с помощью .



Это так называемый пакет сердцебиения, который подтверждает, что процесс античита активен.



Тот же пакет шлется и на мастер‑сервер.



Пересылается и информация о найденом чите.



То же — на мастер‑сервер.



Вот как выглядит информация о найденном домене из черного списка.



То же идет и на мастер‑сервер.



Выяснив все это, мы можем изготовить поддельный Identify.dll.


После компиляции удалим все ненужное и подменим DLL нашими.



В Wireshark будет только пакет сердцебиения к мастер‑серверу.



И в результате все прекрасно работает.

ВЫВОДЫ​

Наше приключение подошло к концу: мы обошли античит и убедились в том, что, имея навыки реверса и программирования, это совсем не трудно. Безусловно, коммерческие античиты, которые ты встретишь в жизни, будут сложнее: они работают на уровне ядра, накрыты протекторами и могут использовать продвинутые техники обнаружения. Но и их тоже, как ты знаешь, регулярно обходят. Как именно — обсудим в следующий раз!