Come eseguire un Controllo Hack
- Guida 0: Minecraft
- Guida 1: Process Hacker2
- Guida 2: PowerShell
- Guida 3: Il CMD
- Guida 4: Il cestino
- Guida 5: Regedit + Eventi
- Guida 6: Tools basilari
__________________________________________________________________________
GUIDA 0
__________________________________________________________________________
Le basi
Anomalie del client + file .jar:
Prendere in considerazione le seguenti anomalie riscontrate durante un controllo:
- Crash del client in apertura cartella resource packs;
- Assenza della directory: "META-INF" nel file jar;
- Presenza di più classi nella directory: "Main" nel file jar;
Nota: Per chi è sviluppatore e si vuole assicurare dell'integrità dell'archivio Jar è possibile eseguire un controllo hash del file o anche decompilarlo con un decompilatore Java (Se il client risulterà offuscato potete bannare).
Per muoversi all'interno delle directory bisogna sempre abilitare la visualizzazione degli elementi nascosti.
____________________________________________________________________________
_______________________________________________________________________
GUIDA 1
_______________________________________________________________________
PARTE 1
Process Hacker 2
Inanzi tutto
Process Hacker 2 è un tool per le versioni a
32 e a
64 bit di Windows che permette di
manipolare i processi in maniera molto sofisticata.
Il programma ha tre pannelli di visualizzazione:
processi, servizi e network.
I processi sono visualizzati in modo gerarchico e sono evidenziati con
codici di colore. Le funzione di terminazione dei processi riescono a bypassare varie protezioni
e include quelle di alcuni malware e rootkit.
Ora,
noi lo useremo principalmente come tool per gli SS su minecraft, quindi ci saranno delle
procedure preliminari prima di potersi sbizzarire con le stringhe.
Una volta su
Process Hacker 2 andiamo a cercare il
processo che vogliamo controllare; Una volta scelto fare
tasto destro->propieties, ora nella barra
sostituire 10 con 4
e spuntare le due caselle più in basso e poi avviare la scansione delle stringhe.
A questo punto cliccare su
"Filter" e scegliere l'opzione
"Contains (case-insensitive)..."
Fatto questo siete pronti.
_______________________________________________________________________
PARTE 2
I processi più utili in un ss su Process Hacker 2 e i loro funzionamenti:
{Javaw.exe} : Si avvia quando viene aperto Minecraft, all'interno di esso si può trovare di tutto!
{Explorer.exe} : Monitora tutti i file nel pc.
{SearchIndexer} : Questo processo registra tutte le azioni di modifica dei file.
{Dllhost} : Gestisce tutti i file .dll nel pc. (Utile per AustoClicker.dll o la Null)
{dns} : Monitora tutte le attività sul web.
{Ctfmon} : Questo controlla tutte le schermate che vengono aperte. viene avviato in modo invisibile ogni volta che viene occupata 1 byte di ram.
{Dwm} : Gestisce tutte le schermate aperte nel pc, utile per un cambio d'ora.
{Pcasvchost} : La sua sigla "SVC" sta per Service. Monitora tutti i servizi attivi su windows e rimane attivo finchè non si spegne il pc.
{MsMpEng} : È il processo dell'antivirus.
{Lsass} : Questo gestisce la politica del pc. Crea Token e gestisce le app.
{EventLog} : Crea dei log temporanei ogni volta che viene eseguita un'azione sul pc.
{AppInfo} : Permette di vedere le info di qualsiasi app presente nel pc.
{Smss} : Si avvia all'accensione del pc, carica 2 processi e registra alcune attività.
{MemoryCompression} : È una nuova funzionalità di Windows 10 che non è disponibile su Windows 7 e 8.
{dps} : Si tratta del criteri di diagnostica che viene eseguito come NT AUTHORITY \ LocalService in un processo condiviso di svchost.exe insieme ad altri servizi..
{Crss} : Si tratta del main eseguibile per il Microsoft Client/Server Runtime Server Subsystem. Il processo gestisce la maggior parte dei comandi grafici.
{pcasvc} : Il servizio Assistente compatibilità programmi è in esecuzione come LocalSystem in un processo condiviso di "svchost.exe".
{sysmain} : Si tratta di una funzionalità che è stata introdotta in Windows Vista, con un nome diverso da SuperFetch.
{smartscreen} : Questo metodo può aiutarti a identificare i siti Web di phishing e contenenti malware e a prendere decisioni informate riguardo i download.
{pcaclient} : [Si tratta del sistema di read della memoria del processo: explorer.exe (Se non appaiono stringhe prendete in considerazione di bannare dato che risulta che ha riavviato il processo. Il "prendete in considerazione" sta nel fatto che nelle versioni di Windows a volte capita che il processo si riavvii in automatico o vada in crash)].
[Stringhe Utili (Alcune vanno con regex e/o case-sensitive)]
{Javaw.exe} : Killaura,Autobot,AimAssist (e altri moduli .class) ||| .minecraft/mods > .class ||| bsp: ||| BSP > ASM: > [nome della mod] ||| ASM: > [iniziale della mod].
{Explorer.exe} : file:// .exe ||| file:// .jar ||| file:// *.jar ||| file:// *.exe ||| file:// .dll ||| file:// .dll ||| pcaclient ||| c: users .exe ||| file:// users .dll ||| c: .py ||| file:///.*.exe$||| ^[C-G]:\\ [Carattere dall'A a F] ||| ^[C-G]:\\.*exe$||| [C-G]:\\(?!windows\\system32).*exe||| [C-G]:\\(?!windows\\system32).*jar||| [C-G]:\\(?!windows\\system32).*dll||| file://.*exe||| #C: ||| !C: ||| dllers\ ||| .dlltmpg.jar.tmp ||| .dlltmpg.jar ||| .pf per prefetch ||| visted
{dns} : .gg ||| .xyz ||| .wtf ||| .php ||| :1234 ||| neverlack ||| villain ||| unicorn (o altri siti di cheats)
{SearchIndexer} : file:c: > *.exe$ / *.dll$ / *.jar$ ||| ///
{MsMpEng} : c:\ ||| JNativeHook ||| Autoclicker
{AppInfo} : c:\ -> .exe -> users
{EventLog} : file:_C:\
{dwm} : time set ||| time set
{ctfmon} : top\ ||| .exe$ ||| c: .exe users
{MemoryCompression} : c:\ .exe / .jar ||| CPS:
{dps} : .exe > [volume] ||| !! > .exe > [nome del file]
{csrss} : c:\ > .dll / .exe >users ||| [C-G]:\\(?!windows\\system32).*dll ||| [C-G]:\\(?!windows\\system32).*exe
{pcasvc} : c:\ .exe users
{sysmain} : \device\harddisk ||| \USERS\ > .exe/.py ||| APPCRASH_
{smartscreen} : [scenario] > .exe
{Lsass} : [Inserire stringhe speciali per injection clients (internal/external)]
_______________________________________________________________________
GUIDA 2
_______________________________________________________________________
PARTE 1
PowerShell
Per capire cos’è PowerShell dobbiamo prima di tutto spiegare cos’è una shell.
La shell o "interprete dei comandi" è un programma che consente di interagire con
il sistema operativo attraverso un terminale e un'interfaccia a riga di comando.
Utilizzando la shell è possibile impartire comandi al sistema e aprire programmi.
Noi PowerShell lo utilizzereno esclusivamente per Minecraft; Utilizzando questo programma ci offre
la possibilità di visualizzare tutti i file .exe .dll .py .jar e .rar con:
Get-ChildItem -recurse *.jar* (per i file con estensione ".jar")
Get-ChildItem -recurse *.dll* (per i file con estensione ".dll")
Get-ChildItem -recurse *.rar* (per i file con estensione ".rar")
Get-ChildItem -recurse *.exe* (per i file con estensione ".exe")
_________________________________________________________________________
GUIDA 3
_________________________________________________________________________
PARTE 1
CMD (Prompt dei comandi)
Il Prompt dei Comandi è uno strumento che funziona da riga di comando, disponibile nella maggior parte dei sistemi operativi Windows, che viene utilizzato per eseguire dei comandi immessi dall'utente. Con l'uso di questi comandi è possibile automatizzare delle attività tramite script e file batch, eseguire funzioni amministrative avanzate e risolvere determinati tipi di problemi di Windows. Il Promt dei Comandi non è semplicemente una metodologia antiquata per usare Windows, ma uno strumento vero e proprio, molto potente, che permette l'uso di tecniche avanzate per controllare e gestire al meglio il proprio Computador.
Il prompt dei comandi (chiamato anche cmd.exe, diretto successore del vecchio command.com) è un programma interno a Microsoft Windows avente un'interfaccia grafica stile MS‑DOS (Microsoft Disk Operating System). È ufficialmente denominato “processore dei comandi di Windows” (Infatti rappresenta un'emulatore del vecchissimo MS-DOS), ma a volte viene anche chiamato shell dei comandi o prompt cmd, o facendo riferimento al già citato nome del file che lo rappresenta (cmd.exe).
Eseguendo il prompt, Windows apre una finestra (con sfondo nero) dove è possibile digitare dei comandi da fare interpretare al sistema operativo. Il termine Prompt dei comandi si riferisce anche alla parentesi angolare chiusa (>, coincidente con il segno di maggiore) che indica che l’interfaccia della riga di comando è pronta per accettare comandi.
Nel CMD ci sono dei comandi specifici.
Una volta aperto scrivere: TaskList
Un'altro comando utile è il comando Tree/f. Per cercare Clicker basta
premere, Ctrl+F, e scrivere il nome del clicker che cercate.
Se si ha già utilizzato Process Hacker 2 o PowerShell questo procedimento è un po inutile.
__________________________________________________________________________
GUIDA 4
__________________________________________________________________________
PARTE 1
Il Cestino
Alcuni utenti prima di essere controllati eliminano dei file importati
e se succede potete procedere al ban immediato dell'utente.
Per vedere l'ultima modifica del cestino
premere nella tastira: Tasto Windows + r; si aprirà il Searcher "Esegui" e scrivere
C:\$Recycle.bin dopodichè aprirà un file con l'ultima modifica del cestino.
Se l'utente ha modificato l'ora prima del controllo è possibile sgamarlo con:
Windows + R -> Eventvws -> Sistema -> Id 1. e guardate il log più recente.
[Facoltativo] Residui autoclickers, cestino o shift + canc
Molti utenti che eliminano il file autoclicker spesso si dimenticano di eliminare le dipendenze presenti in: %temp%
Cercate in quella special folder utente li seguenti stringhe: Jnative / JnativeHook. Qualora risultasse positiva la ricerca si può bannare tranquillamente.
Nota: Le seguenti stringhe di ricerca di residui di autoclickers o altri dll sospetti possono essere usati su process hackers se si ha dimestichezza con quest'ultimo.
Se un giocatore elimina i file di cheats, utilizzando il cestino o shift + canc, è (quasi) sempre vincolato da qualche residuo e dall'eliminazione non totale del file. Difatti, andando in "C:\Users\NomeUtente\AppData\Local" e cercando %temp%, si potranno trovare i file usati nella giornata e nelle giornate precedenti, è sempre buona abitudine controllare la data.
[Spiegazione] La dipendenza: JnativeHook
JNativeHook è una libreria per fornire listeners globali di tastiera e mouse per Java. Questo ti permetterà di mettere in comunicazione scorciatoie globali o movimenti del mouse che altrimenti sarebbero impossibili usando Java puro. Per eseguire questa attività, JNativeHook sfrutta il codice nativo dipendente dalla piattaforma attraverso l'interfaccia nativa di Java per creare hook di basso livello a livello di sistema e consegnare tali eventi all'applicazione.
__________________________________________________________________________
GUIDA 5
__________________________________________________________________________
PARTE 1
Regedit (Registro di sistema)
Il Registro di sistema(Regedit) è un registro nel quale sono memorizzate tutte
le informazioni hardware e software del PC.
Utili:
➖ HKEY_CURRENT_USER/SOFTWARE/MICROSOFT/WINDOWSNT/CURRENTVERSION/aapcompatflags/compabilityassistant/store
➖ HKEY_CURRENT_USER/SOFTWARE/MICROSOFT/WINDOWSNT/CURRENTVERSION/aapcompatflags/compabilityassistant/persisted
➖ Computador\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters
➖ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\*
➖ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\exe
➖ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
➖ Computador\HKEY_CURRENT_USER\Control Panel\Mouse
➖ HKEY_USERS\S-1-5-21-3588730549-3518937415-2257010710-1001\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
➖ HKEY_USERS\S-1-5-21-3588730549-3518937415-2257010710-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage\AppSwitched
➖ Computador\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\State\UserSettings\S-1-5-21-3119766274-4175415139-1137161930-1001
➖ KEY_CLASSES_ROOT/LocalSettings/Software/Microsoft/Windows/Shell/MuiChace
➖ Computador\HKEY_CURRENT_USER\Software\WinRAR\ArcHistory
➖ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dll
➖ HKEY_LOCAL_MACHINE/SYSTEM/ControlSet/Services/SharedAccess/Parameters/FirewallPolicy/FirewallRules
Un'altro strumento che potrebbe tornare molto utile è il
Visualizzatore Eventi:
Un evento, come descritto da Microsoft, è un qualcosa, accaduto sul computer, sul sistema o in un programma, che deve essere portato all'attenzione dell'utente.
Un evento non è per forza un errore, può essere una azione eseguita sul computer da terzi, un semplice avviso di prestazioni o la notifica di un cambio di permessi.
Il registro eventi (Event Viewer) comunque è il log di Windows e tutto quello che accade sul computer, in ambito sicurezza, per ciascun programma e per il sistema operativo interno, viene registrato in ordine cronologico.
Con questo potente strumento integrato in windows è possibile controllare tutti i processi eseguiti, tutti i file shift-cancellati e tantissimo altro, bisogna solo avere dimestichezza con quest'ultimo.
____________________________________________________________________________
__________________________________________________________________________
GUIDA 6
__________________________________________________________________________
PARTE 1 (Definitiva)
Tools:
LastActivityView:
Il programma non richiede alcun processo di installazione o file DLL aggiuntivi. Dopo aver eseguito LastActivityView, esegue la scansione del Computador e visualizza tutte le azioni e gli eventi trovati sul sistema. È possibile selezionare uno o più elementi e salvarli in file xml / html / csv / delimitati da tabulazioni (Ctrl + S) o copiarli negli Appunti (Ctrl + C), quindi incollare i dati in Excel o in altri software.
UsbDeview:
Il programma non richiede alcun processo di installazione o file DLL aggiuntivi. Basta copiare il file eseguibile (USBDeview.exe) in qualsiasi cartella ti piace ed eseguirlo. La finestra principale di USBDeview mostra tutti i dispositivi USB installati sul sistema. È possibile selezionare uno o più elementi, quindi disconnetterli (scollegarli), disinstallarli o semplicemente salvare le informazioni nel file text / xml / html.
UserAssistView:
Il programma non richiede alcun processo di installazione o file DLL aggiuntivi. Per iniziare a usarlo, è sufficiente eseguire il file eseguibile - UserAssistView.exe Dopo averlo eseguito, la finestra principale di UserAssistView visualizza l'elenco di tutti gli elementi UserAssist memorizzati nel registro. È possibile selezionare uno o più elementi, quindi trasformarli in un file o eliminarli.
RegScanner:
Il programma è un eseguibile autonomo e non richiede alcun processo di installazione o DLL aggiuntive. Per iniziare a usarlo, basta eseguire il fileecutbale - regscanner.exe Dopo aver eseguito RegScanner, è necessario selezionare le opzioni di scansione / ricerca desiderate e fare clic su OK per avviare la scansione.
SearchEverything:
Il programma può essere avviato sia come eseguibile autonomo, sia come installatore. Per operare bisogna semplicemente andare nella casella di ricerca, inserire la stringa desiderata e premere invio.
OpenSavedFiles:
Il programma non richiede alcun processo di installazione o file dll aggiuntivi. Per iniziare a usarlo, è sufficiente eseguire il file eseguibile - OpenSaveFilesView.exe Dopo aver eseguito OpenSaveFilesView, la finestra principale visualizza l'elenco dei file precedentemente selezionati con la finestra di dialogo standard di apertura / salvataggio di Windows.
WinPrefetchView:
Il programma non richiede alcun processo di installazione o file DLL aggiuntivi. Per iniziare a usarlo, è sufficiente eseguire il file eseguibile - WinPrefetchView.exe La finestra principale di WinPrefetchView contiene 2 riquadri: il riquadro superiore visualizza l'elenco di tutti i file Prefetch nel sistema. Quando si seleziona un file nel riquadro superiore, nel riquadro inferiore viene visualizzato l'elenco dei file archiviati all'interno del file Prefetch selezionato, che rappresentano i file caricati dall'applicazione nei tempi precedenti in cui è stato utilizzato. Questo è anche un file di prefetch speciale, con il nome del file 'NTOSBOOT-B00DFAAD.pf', che può mostrare l'elenco dei file che vengono caricati durante il processo di avvio di Windows.
Per maggiori informazioni bisogna andare nella sezione tools.
____________________________________________________________________________
