PRoSToTeM@ - раздвоение личности

Три группы людей по несколько человек, проведя свои расследования, независимо пришли к одному и тому же результату. Писать это разоблачение в итоге выпало мне, раз опыт имеется.

Небольшое вступление о "тёмных", "светлых" и их пересечениях. Многие продвинутые разработчики тоже иногда любят ломать или взламывать. Это довольно интересно. Однако, они это делают в целях саморазвития и с минимальным, либо вовсе отсутствующим вредом для остального коммьюнити. Читеры же занимаются этим в целях поиздеваться и нанести максимальный вред.
Западные читеры отличаются от наших тем, что начиная создавать читы, они уже владеют программированием и занимаются этим просто из интереса. Для них вся суть в процессе написания чита. Некоторые из них могут перейти на светлую сторону и начать писать свой античит. Точно также антивирусы создают вирусописатели, а протекторы - крякеры. Один из близких примеров западного подхода, это создатель античита UCP, в своё время писавший обходы под myAC.
Наши же читеры сначала проникаются идеей читерства, а потом уже изучают дельфи. Более распространена продажа и впаривание стилеров. Переход на светлую сторону возможен, но полноценного доверия такие люди не добиваются.

Герой этой темы - PRoSToTeM@, с чьей тёмной стороной мы сейчас ознакомимся, начал свой читерский путь по-западному, но уже после светлого начала. Вернёмся на несколько лет назад. Он выкладывает инструкцию по обходу супербана. Зачем? Расскажу чуть ниже. Сам он это объяснял тем, что, проще говоря, плагин ***. По большей части согласен, но кроме вреда для его покупателей он ничего не добился, от SuperBan в результате никто не отказался.
Через некоторое время появляется его же объявление "убираю привязку из плагинов". Вот это я вообще не понимаю, каким образом с такими услугами к нему могло быть нормальное отношение в сообществе амхх-скриптеров. Ну ладно, вроде завязал с этим. А теперь свежее. PRoSToTeM@ выкладывает часть принципа работы WH блокера от s1lent, обманывающую многие читы.


Какими-то благими намерениями даже не прикрывается. Также, наш герой - любитель пошатать сервера. История умалчивает как, но один из админов каким-то образом догадался, кто кладет его сервер. Вот такая состоялась переписка:



А теперь самое интересное. Наш герой - активный участник фаптим читс. Спалился случайно. Я выложил временный фикс недавних фейков и через некоторое время на фаптим появляется код обнаружения из него. Ну ладно, правда интересно, кто слил. Загрузки:

Пост на фаптим:

Средний уровень владения IDA, может исправить кривую функцию через Patch Program. Ближе всех подходит PRoSToTeM@, полчаса ему на декомпиляцию. Незнакомому с разработкой под серверную часть читеру было бы проще найти обход извне, чем опознать используемые адреса. Время поста пузднее, кто ещё не спит? Я решил просто поздороваться и слить дело Safety1st'у.

Но оказалось, ему уже известно от своего источника, что это PRoSToTeM@ и кроме него то же самое выяснил и s1lent. Дело приобретает размах.
Давайте пройдемся по постам FightMagister и окончательно убедимся, кто это.


По первым постам (внизу) сразу видно, человек с "западным" подходом. Ему нужна именно реализация ускоренного алгоритма перебора, ибо ради просто интереса и так ясно, что там можно улучшить: развернуть цикл и не пересчитывать то, что уже подсчитано. Основы оптимизации. Куда это дело вставлять, он, видимо, уже в курсе.
Разбирается в авторизации игроков на сервере.

Далее он выкладывает асм листинг амхх-плагина, не поддающегося простой декомпиляции и называет принцип работы.

Вы много знаете амхх-скриптеров, занимающихся подобной декомпиляцией? А читеров, хоть немного знакомых с амхх плагинами? Выходит, это человек из админо-скриптерской среды, с опытом выше среднего. Модный на фаптиме делфи он не любит.
"Надо на серверах с изменённым чатом", "колорчат например" - человек явно из админов. Активен в теме саундхака, предназначенного против WH блокеров, даёт детализированные идеи. Предлагает способ крашить сервера. Просит код отрисовки WH через OpenGL. Рассказал про работу RevEmu не от админа. Недоволен не выкладыванием исходников античитов на c-s.net.ua . Знакомо, правда? Выложил чит для обхода проверки файлов:

А теперь, учимся правильно зарабатывать очки.

Сам выложил баг и сам же выложил фикс на c-s.net.ua. Сразу на 2 форума +карма. Приколы 0STROG'а становятся мейнстримом.

Другие доводы, которые я просто скопирую:
- манера речи FightMagister очень схожа и FightMagister не являетсяистинным fpteam-цем (т.е. общается без ругани т.п.), задает все
время вопросы по мелочам, также объясняет какие-то вещи, прям не различить;
- всегда интересуется, какая собственно проблема, для её решения;
- и еще не самый важный факт, если присмотреться к сообщениям FightMagister'а, он постоянно ставит точки в конце каждого предложения, прям как PRoSToTeM@ делает также. :D

Ещё про серверошатательство:

Владелец сервера оказался своим человеком. Скрин из ПУ:

Профильтрованные логи сервера: https://yadi.sk/d/8bmtbwDra8AUS
Скрины с FTP сервера:

IP-ники багоюзера:

IP-ники PRoSToTeM@ c D-S:

IP-ники PRoSToTeM@ с AMX-X:

Подсеть атакующего та же, что у PRoSToTeM@. Имеем полное совпадение с разницей по времени 10 минут и IP адресу 2.93.52.106. Видно, что он не просто зашёл проверить, а многократно клал игроков, издеваясь над ними и админом.

Есть ещё несколько надежных пруфов, но вы не сможете сами их проверить, а публикация скомпрометирует источник, сделав невозможным дальнейшее его использование. Поэтому предлагаю поверить нам на слово, вроде не последние люди. Хотя и так уже все очевидно.

Теперь, как и говорил, мотивы. Зачем выкладывать принцип работы чужих разработок? Проблема в ЧСВ и завышенном самолюбии. Если кто-то другой добился успеха, а не он, PRoSToTeM@ стремится это загадить, за исключением стратегически выгодных для него знакомств. Случай с WH блокером - чистейшее подтверждение. Модератор удаляет пост, так нет, он опять публично выложил. Сервера же шатает ради забавы, а возможно для ощущения собственного всемогущества. Разубедить его можно снятием дампа трафика во время атаки и отправкой мне, Lev'у, либо кому еще. Юзать баг в течение часа это уже не просто тест. Раз есть хоть один такой дурачок, не способный просто держать на руках и в качестве исключения использовать, баг подлежит фиксу.

С вами были я, Safety1st, s1lent и другие, пожелавшие остаться неизвестными. Если что упустил, они добавят. Всех угощаю:

Reserved for future use

чувак, реально тебе надо зарабатывать на статьях

++++++

Я смог осилить весь текст, очень интересно читалось ;)

И мне.) 1, 2.

Хайзенберг

просто детектив:D
интересно получилось)

Исправьте разметку ббкодов пожалуйста.

еле осилил много букоФок ....

Стока букаф не могут быть не убедительным аргументом ©

Сразу с ходу. Обход супербана на то время уже был в протекторе и исправно работал, так что Артем выложил порцию бесполезного баяна, просто всё было оформлено няшно и народ схавал и раздул трагедию =)



Палка о двух концах. Если не выложит он, то это сделает другой. Рано или поздно, это всё равно произойдет. ИМХО лучше сразу найти все слабые места и придумать какой-нибудь костыль или фикс для их решения, чем выковыривать эти уязвимости по одной, из каких-нибудь засекреченных источников.

Это вы нам рассказываете? На свою часть работы по подготовке топика я потратил порядка 10 часов ;)



Действительно Зачем выпускать альфа/бета-версии ПО, потом релизную, потом новые версии, мучая пользователей... Ведь можно сразу взять - и сделать идеальную финальную

А если есть хоть малейшая вероятность, что защиту программы кто-то сможет обойти - разумнее отказаться от её написания: всё равно ведь сломают, ни сегодня - так завтра

А бан по кукам протектором обходится?
На счет уязвимости, одно дело выложить в целях проинформировать разработчика, другое - глаголить на форуме неадекватов.
Кроме уязвимостей еще и открывает исходный код и публикует.

Протектор с ходу блочит MOTD окно. Впрочем, его можно вообще выпилить из КС без всяких протекторов.



Ну это он уже сам решает, где и каким образом ему сливать инфу. Если до этого он делал подобные финты открыто и все сразу узнавали о багах, то теперь вся инфа уйдет в приват (возможно), а на основе этой инфы можно и читачок запилить и сбарыжить его на фпчитс. Вот тебе и коммерциализация, а вместо открытой информации - подполье.

Не так много этих 'других', которые способны. Тут не с автоконнектом ситуация, где я бы с тобой согласился: кто в теме - легко заюзает, а выложишь в паблик - сведёшь преимущество 'знающих' на нет, т.е. вред 'плохим' по большей части. Тут же чистой воды вредительство по-крупному.

Воу воу, он не родственник твой? А так льву надо отпороть двойного агента хорошенько ремнем

однако это сделал именно он, да пофигу хоть контер какой-то и еще кто-то, но не ожидал от PRoSToTeM@.




это не было уязвимостью.

Суть толком не ясна. Что Вас собственно не устраивает?

тема несет информацию и только

Поправил.