-
Notifications
You must be signed in to change notification settings - Fork 0
Admincheck
В этом разделе будут рассмотрены способы и нюансы при проверке игроков на запрещенное ПО.
Файлы и конфиги читов:
- moonloader\config можно найти остаточные ini конфиги от LUA читов (Например Aim-Assist.ini)
- SAMPFUNCS в корне можно найти остаточные ini конфиги от SF читов
- Clicense.dll файл активации gonwik.
- mod_sa.ini остаточный файл настроек собейта
- AntTweakBar.dll библиотека для создания GUI.(Мультичиты)
- FileHider.exe (by SlonoBoyko) утилита для скрытия софта популярная в RP комьюнити
- d3d9.dll библиотека Direct3D 9 Runtime. Если лежит у игрока в папке с игрой нужно проверить размер либо CRC.
Практически все собейты маскируются под нее. Может иметь числовую приставку 25,26,40.
Библиотеки с числовыми приставками используются для ENB. Если чтоит к примеру lickuid,sob и другие то это чит. - R2/R3 Compatibility.asi, плагин может использоваться читерами для запуска старых читов собранных под R1
- crack.asi остаточный файл от кряка какого-либо слитого в паблик платного мультичита
-
ModdedSAA.asi, улучшенный аналог CustomSAA2, позволяет заменять заблокированные SA:MP'ом файлы из архива samp.saa .
В отличии от CustomSAA2, плагин не работает в одиночной игре, не крашит игру при отсутствие замененного файла, независим от версии SA:MP'a.
В реестре через regedit смотрим ветки:
- HKEY_CURRENT_USER\Software\Blasthack (самое любимое ключ активации aimgonwik)
- HKEY_CURRENT_USER\Software\SilentAIM (Silent Aim by 0pc0der)
- HKEY_CURRENT_USER\Enviroment\Произвольное_имя (ExtremeHack логин и пароль)
- HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Произвольное_имя (ExtremeHack логин и пароль)
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags - недавние exe запущенные через UAC
- HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache - MUI Cache
- sampfuncs.log - лежит в корне игры
- moonloader.log - в папке с moonloader
- moodloader.log - в папке с modloader
- chatlog.txt - в GTA San Andreas User Files\SAMP
Консоль SAMPFUNCS. В консоли sampfuncs вводим chatcmds, смотрим зарегистрированные команды. Важно просмотреть лог sampfuncs не выходя из игры, в логе можно найти информацию о загруженных скриптах и вводимых игроком командах и опкодах. (Если лог очищен игроку есть что скрывать и можно смело продолжать проверку.)
Некоторые популярные опкоды используемые читерами (Полный список опкодов):
- 0B28: - реконнект
- 0B32: - респавн
- 0A92:cheat.cs - подгрузка читерского скрипта из игры (0A93:cheat.cs - выгрузка)
При проверке файлов игры на машине игрока проверить CRC следующих файлов. Например через Hash Checker:
- anim/ped.ifp
- data/animgrp.dat
- data/melee.dat
- data/object.dat
- data/default.dat
- data/surface.dat
- data/default.ide
- data/gta.dat
- data/surfinfo.dat
- data/peds.ide
- data/pedstats.dat
- data/ar_stats.dat
Models: - models/coll/weapons.col
- models/coll/peds.col
Стандартные файлы GTA:SA и SA:MP
Следует помнить что практически все современные читы имеют возможность выгрузки не выходя из игры, и при проверке их можно будет тяжело определить только по остаточным элементам в системе на машине игрока. Однако даже при выгрузке скрипта, в памяти игры можно обнаружить остаточные данные работы чита.
При проверке не выходя из игры с демонстраций экрана через Skype/Discord:
- Игрок жмет ESC, смотрим вверху справна наличие sampuncs и версию,а внизу с левой стороны кол-во подгруженных CLEO.
- в GTA San Andreas User Files\SAMP смотрим chatlog.txt. Многие публичные читы пишут туда инфу по активации при коннекте игрока.
- Игрок жмет клавишу [~] она же [Ё]. открывается консоль sampfuncs.
Смотрим после записи sampfuncs версия такая-то completely loaded нет ли сторонних записей от читерского софта. Далее игрок вводит threads, смотрим подгруженные модули. Затем вводит chatcmds, смотрим зарегистрированные команды. Подробнее про консоль SAMPFUNCS - Проверяем остальные логи в папке с игрой. Обращаем внимание на дату и время в логах и на машине игрока.
- Сворачиваем игру, открываем диспетчер задач, после правой кнопкой по процессу gta_sa.exe и "открыть расположения файла", попадаем в папку с активной сборкой. Далее можно посмотреть время изменения папки.
- Открываем корзину и в поиске по ключевым названиям ищем запрещенное ПО.
- Открываем проводник, в адресную строку вводим Recent или переходим вручную AppData\Roaming\Microsoft\Windows\Recent откроет список последних файлов. (можно через Win+R ввести recent)
- С согласия игрока можно посмотреть историю закачек в браузере.
При проверке asi, cs и прочих скриптов обращайте внимание на размер файлов.
Если у игрока файл скрипта размером на 2Mb - то это непростой скрипт )
Если позволяет ситуация закинуть софт для проверки на машину игрока:
- Обычно достаточно утилиты Search Cheats которое покажет сразу все важные моменты.
- Через LastActivity либо другой журнал событий смотрим последние действия.
- Через Everything либо другой поисковик файлов проверяем по ключевым словам папку c GTA.
- Через ProcessHacker либо аналогичное ПО смотрим подгруженные либы.
- Проверяем CRC важных файлов в папке любым чекером.
Ключевые слова для поиска aimbot,triggerbot,wallhack,Rampage,norecoil,nospread,aimlock,ultra,bypass и.т.д.
Нужно чтобы игрок отправил !sampcac_client.asi из текущей GTA на проверку админу (Обязательно чтобы вы это видели). Подкидываем его файл вместо оригинального на своей машине, и если при входе будет отображаться версия sampcac внизу слева, а сервер будет писать что samcac не установлен - игрок использует обход.
Размер фейк плагина и оригинального полностью совпадает.
Для того чтобы проверить находимся ли мы в виртуальной машине или нет, открываем cmd.exe и вводиим:
systeminfo | find "System"
возвращает что-то вроде:
System Model: VMware Virtual Platform
[01]: Intel64 Family 6 Model 26 Stepping 5 GenuineInt
Если содержится VMware, Vbox, Boschs, VPC, QEMU значит запущена виртуальная машина.
Мультичиты работающие на версии клиента R1 имеют общий баг, после выгрузки античита, сворачивания-разворачивания игры, либо при запуске во втором окне через SAMPFUNCS. Может выдать ошибку где будет содержаться текст "hook D3D9".
Некоторые администраторы практикуют проверку переписок в соц.сетях, данная практика нарушает действующее законодательство многих стран и является вторжением в личную жизнь!
Описание: Search Cheats v1.2 простая утилита для поиска читов на машине игрока. Хоть софт и старый но рабочий на 100% и очень удобный.
Даже если игрок переименовал скрипт то подтянет реальное имя файла. Ссылка на группу
- Поиск файлов в папке с gta определенных форматов (ASI, SF, CLEO, DLL, LUA)
- Поиск файлов указанного формата в самой системе (поиск по всем жёстким дискам)
- Быстрое открытие chatlog
- Быстрое открытие реестра (для поиска того же аима гонщика)
- Просмотр подгруженных CLEO скриптов (даже если подозреваемый удалит клео из папки, в подгруженных процессах он всё-равно останется)
- Просмотр подгруженных DLL и ASI скриптов
- FullEventLogView - Event Log Viewer for Windows
- RegScanner - Alternative to RegEdit find/search/scan of Windows
- recentfilesview - View the list of recently opened files
- LastActivityView - View the latest computer activity
- BrowsingHistoryView - View browsing history of your Web browsers
Бесплатный мощный многоцелевой инструмент, который поможет вам контролировать системные ресурсы, отлаживать программное обеспечение и обнаруживать вредоносные программы. Админы полюбили его за поиск по стрингам в процессе gta_sa.exe что позволяет обнаружить платный софт. Скачать с офф.сайта в разделе Binaries (Portable)
Поиск в памяти по ключевым словам:
- Выбираем из списка процесс gta_sa.exe.
- Далее выбираем раздел Memory и жмем кнопку Strings.
- В появившемся окне Minimum length ставим на 4 и выставляем все галочки жмем ОК.
- Открывается новое окно, в нем выбираем Filter.
- В окне поиска вводим часть ключевого слова.
Рекомендуется вводить ключевое слово не полностью например вместо aimbot ввести imbot.
Поиск в памяти приложений использующих DirectX9:
- F3 - в появившемся окне вводим d3d9 жмем Find.
Проверка на стиллеры либо сторонние подключения:
- Выбираем вкладку Network и смотрим сетевую активность по процессу samp.exe
Мгновенный поиск файлов и папок по их именам. Например по маске *.exe https://www.voidtools.com/ru-ru/
Dependency Walker 2.2 это бесплатная утилита, которая сканирует любой 32-битный или 64-битный модуль Windows (exe, dll, ocx, sys и т. Д.) И строит иерархическую древовидную диаграмму всех зависимых модулей. Для каждого найденного модуля в нем перечислены все функции, которые экспортируются этим модулем, и какие из этих функций на самом деле вызываются другими модулями. В другом представлении отображается минимальный набор необходимых файлов, а также подробная информация о каждом файле, включая полный путь к файлу, базовый адрес, номера версий, тип компьютера, отладочную информацию и многое другое.
Простой Hash Checker скрипт проверяет целостность и показывает, какие исходные файлы игры были отредактированы. Принцип работы прост, распаковываем архив в папку с GTA и запускаем sa_hash_checker.bat. Видим окно в котором постепенно появляется инфа по файлам. В конце будет результат.
Преимущество данной утилиты в том что она работает очень быстро.
Скачать версию для сборки RSC
