Anuncio

Colapsar
No hay anuncio todavía.
X
  • Filtrar
  • Tiempo
  • Mostrar
Limpiar Todo
nuevos mensajes

  • [Tutorial] Como Crear un Bypass para Xigncode






    Xigncode3 se ha convertido en uno de los antihack más usados actualmente por su forma unica de trabajar. Mucha gente ya ha perdido incontables horas tratando de bypassearlo, aquí encontrarás una guía completa del funcionamiento y detecciones usados por por el Xingcode lo que con un poco de conocimiento en programación será todo lo que necesitas para bypassearlo y simplesmente evitar la detección:


    Archivos Usados:
    x3.xem --> x3.dll (Themida/Winlicense v2.x) --> Sistema XIGNCODE3
    xcorona.xem --> xcorona.dll (Themida/Winlicense v2.x) --> Sistema XIGNCODE3
    xcorona_x64.xem --> xcorona_x64.dll (Themida/Winlicense v2.x) --> Sistema XIGNCODE3
    xmag.xem --> xmag.xem (Code Virtualizer) --> Archivo de XIGNCODE3
    xnina.xem --> xnina.xem (Not Packed) --> Archivo de XIGNCODE3
    xxd-0.xem --> xxd.dll (Not Packed) --> Proceso `WatchDog` de XIGNCODE

    XIGNCODE3 Detecta:
    -Enganches en las APIs
    -Nombres de Archivos
    -Archivos en tu unidad de disco duro a través de `USN Journal & Prefetch`
    -Retorno de llamadas de las APIs
    -CreateThread
    -GetKeyState
    -GetAsyncKeyState
    -CreateProcessW (xxd-0.xem)
    -LoadLibrary
    -CreateFont
    -[...]
    - Firmas
    - Titulos de Ventanas
    - Clases de las Ventanas (usando búsqueda binaria)
    - Patrones (AOB / Pattern Scans) que utilizan la búsqueda binaria
    - Entrada del Cache de DNS
    - Enganches de Mensajes (Message Hooks)
    - Hacking de velocidad (Speedhack)
    - Enganches en D3D (no todos los tipos, pero los desvíos (detours), por ejemplo)
    - `Hashes` de Icon
    - Detecion de Módulos en el Ejecutable protegido
    - Deteccion de Injeccion de codigo en tiempo real.

    APIs referenciadas en x3.xem:

    -NtQueryInformationProcess
    -NtQueryVirtualMemory (Tal vez se utiliza con MemoryMappedFileInformation para iterar sobre las páginas de memoria para buscar ejecutables que no pertenecen a un módulo?)
    -NtReadVirtualMemory
    -NtQueryInformationThread
    -NtCreateFile
    -NtReadFile
    -NtOpenFile
    -NtOpenProcess (usando enganches al SSDT)
    -NtQueryInformationFile
    -NtSetInformationFile (se llama una sola vez al comienzo (Startup))
    -NtWaitForSingleObject
    -NtTerminateProcess
    -NtWow64QueryInformationProcess64
    -NtWow64QueryVirtualMemory64
    -NtWow64ReadVirtualMemory64
    -ZwOpenDirectoryObject
    -ZwQueryDirectoryObject
    -ZwClose
    -LookupPrivilegeValueW
    -AdjustTokenPrivileges
    -OpenProcessToken
    -SeDegubPrivileges
    -ObRegisterCallback (Registran una devolución de llamada en el gestor de objetos)

    - XIGNCOD3 detecta las creaciones de hilos desde el nivel del kernel y luego comprueba si la dirección de inicio proviene de los módulos del sistema legitimo / lista blanca (whitelist) (no en los módulos legítimos o rango de memoria de la región en la lista blanca, esto da un cierre del juego)

    - XIGNCOD3 tiene sus propios controladores; Vtany.sys (¿qué es esto ...?) Y xhunter1.sys (controlador de kernelmode utilizado para supervisar diferentes llamadas de apis a través de la dirección de retorno, minimiza las ventanas, bloquea la exploración de la memoria)

    - x3.xem utiliza polinomio invertido crc32

    - Xigncode SDK carga x3.xem como una DLL normal (LoadLibraryA). Después de eso la única exportación de x3.xem será llamada con una constante como un parámetro de función. La constante define qué dirección de función debe recuperarse. Entonces la dirección de la función recuperada se llama

    - x3.xem es el módulo cargador que lee xmag.xem y manualmente "mapea" alrededor de 5-10 módulos diferentes en el espacio de proceso.

    - x3.xem mapea sólo unos pocos módulos, el resto son mapeados manualmente y recursivamente a partir de módulos manualmente mapeados

    - x3.xem elimina los privilegios de proceso adjuntos externos para evitar que las herramientas lean la memoria del juego

    - xmag.xem es un archivo de archivo personalizado que contiene alrededor de 20 archivos .xem diferentes (archivo de datos)

    - XIGNCOD3 registra todos los archivos y rutas que modificó en las últimas ~ 48 horas y todos los ejecutables con archivos de pre-búsqueda en sus registros

    - x3.xem y xdd.xem utiliza NtSetInformationThread con el indicador ThreadHideFromDebugger en los subprocesos principales del proceso

    - xdd.xem utiliza RPM (ReadProcessMemory) para leer los primeros 0xC8 bytes (?) A partir de la dirección de la funcion que identifica el proceso

    - xdd.xem comprueba si los handles y/o threads están abiertos y vinculados al proceso de juego desde herramientas externas, si se sabe, se minimiza

    - XIGNCOD3 utiliza las funciones [send / recv] del winsock2_32









    ***********************
    *NOTAS PARA BYPASSEAR:*
    ***********************
    - XIGN tiene una sola llamada que inicia el anti-cheat (la funcion que se encarga de cargar/invocar el x3.xem) simplemente nopee (NOP = 0x90) que llama y arregla algunos de los saltos en esa región y deberías obtener un bypass hasta el latido del corazón (Heartbeat)

    Crea un enganche en las siguientes APIs y filtre cualquier cosa relacionada con su DLL:
    -NtQueryInformationProcess
    -NtQueryVirtualMemory
    -NtReadVirtualMemory
    -NtQueryInformationThread
    -NtOpenFile
    -NtWow64QueryInformationProcess64
    -NtWow64QueryVirtualMemory64
    -NtWow64ReadVirtualMemory64


  • #2
    umm interesante

    Comentario


    • #3
      Genial.......

      Comentario


      • #4
        lo veré cuando tenga tiempo

        Comentario


        • #5
          No entiendo ni papa, tan chevere seria poder entenderlo

          Comentario


          • #6
            Correcto Aero pero que hacer para eliminar el antihacker?

            Comentario


            • #7
              para hacer esto tienes q tener fundamentos de programador de lo contrario no eentenderas nada

              Comentario


              • #8
                Oye "Aero"En pocas palabras los archivos que se ejecutan son estos

                x3.xem --> x3.dll (Themida/Winlicense v2.x) --> Sistema XIGNCODE3
                xcorona.xem --> xcorona.dll (Themida/Winlicense v2.x) --> Sistema XIGNCODE3
                xcorona_x64.xem --> xcorona_x64.dll (Themida/Winlicense v2.x) --> Sistema XIGNCODE3
                xmag.xem --> xmag.xem (Code Virtualizer) --> Archivo de XIGNCODE3
                xnina.xem --> xnina.xem (Not Packed) --> Archivo de XIGNCODE3
                xxd-0.xem --> xxd.dll (Not Packed) --> Proceso `WatchDog` de XIGNCODE

                y los que no se ejecutan son "xigncode" y "xm" entonces
                las APIs referenciadas en x3.xem: son

                NtQueryInformationProcess
                -NtQueryVirtualMemory
                -NtReadVirtualMemory
                -NtQueryInformationThread
                -NtCreateFile
                -NtReadFile
                -NtOpenFile
                -NtOpenProcess
                -NtQueryInformationFile
                -NtSetInformationFile
                -NtWaitForSingleObject
                -NtTerminateProcess
                -NtWow64QueryInformationProcess64
                -NtWow64QueryVirtualMemory64
                -NtWow64ReadVirtualMemory64
                -ZwOpenDirectoryObject
                -ZwQueryDirectoryObject
                -ZwClose
                -LookupPrivilegeValueW
                -AdjustTokenPrivileges
                -OpenProcessToken
                -SeDegubPrivileges
                -ObRegisterCallback

                y para hacer la bypass se ban a tomar las siguientes APIS para
                crear un enganche en ellas y ademas se tiene que filtrar cualquier cosa relacionada con su DLL

                -NtQueryInformationProcess
                -NtQueryVirtualMemory
                -NtReadVirtualMemory
                -NtQueryInformationThread
                -NtOpenFile
                -NtWow64QueryInformationProcess64
                -NtWow64QueryVirtualMemory64
                -NtWow64ReadVirtualMemory64

                pero bajo que emulador o como ago para acceder asia esas apis para poder ver el proceso "Aero" Cress que me puedas decir Por privado
                Editado por última vez por Mrgus; https://fpslatino.net/member/18684-mrgus en 06-05-18, 05:12.

                Comentario


                • Aero
                  Aero comentó
                  Editar un comentario
                  esas apis son importadas por el xigncode, puedes encontrarlas usando cheat engine

              • #9
                xD HOLA algien cantos por bypass o un modulo

                Comentario


                • #10
                  Aero enseña como entrar con 2 pb en pb brasil,con sandboxie,pq el xigncode detecta,no sabes hacer como ?

                  Comentario

                  Trabajando...
                  X