Embedded Files
APLICACIONES
BLSquad: Encargada de hacer escaneos superficiales, lo iniciamos desmarcando "CHECK FOT UPDATES" y dándole a "LOGIN", después iremos a "SCANNERS y principalmente usaremos múltiple scanners, en cada opción le damos importar y comenzamos a verificar dándole clic a cada cosa que salga, si el botón se pone verde es porque no tiene nada a simple vista, si se pone rojo no siempre es ilegal pero hay que poner atención.
DESCARGA: http://www.mediafire.com/file/rgvu6m50tw8mkqm/BLSquad_1.7.4.zip/file
Everything: Es una tool que no me gusta usar, por lo tanto no tengo experiencia, pero si es una herramienta como BLSquad, superficial, no esta de mas que aprendan a usarla.
DESCARGA: https://www.voidtools.com/downloads/
Process Hacker: Esta herramienta es la mas fundamental y la que se debe usar si o si en una SS, es una tool profesional, explicarles sus funciones me tomaría una eternidad, por lo que mas arriba encontraran varios videos en donde se muestra su uso y en su respectivo canal encontraran muchas de sus funciones.
DESCARGA: https://processhacker.sourceforge.io/downloads.php
AnyDesk: No se puede hacer una SS sin esta aplicación ya que se fundamenta en la invasión al ordenador del usuario.
DESCARGA: https://anydesk.com/es
ARCHIVOS
REGEDIT:- Manera de deshabilitar el registro mediante gpedit.
Windows + R = gpedit.msc
1) Configuracion del usuario 2
2) Plantillas administrativas
3) Sistema
4) Impedir el acceso a herramientas de edición del registro
En caso de que lo tenga habilitado, lo podemos deshabilitar.
PREFETCH: - Valor de regedit que permite bloquear el apartado de Prefetch y este quedé inhabilitado
- Windows + R = Regedit = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters
- En caso de tener los siguientes valores llamados "EnableSuperfetch" en 0 confirmaremos bloqueo de Prefetch
REGEDIT DENEGADO: - Podremos hacer que no se muestre el contenido de las keys (carpetas) de regedit denegando algunos permisos hacia esta, esto puede ocasionar problemas a futuro cuando hagamos una ss completa o por si algun programa necesita el uso de esta.
Haremos click derecho en la carpeta que pensemos que pueda estar siendo modificada y daremos en permisos.
En caso de que algun permiso salga denegado, pueden confirmar la modificacion maliciosa de esta.
ANTIVIRUS: - Con los antivirus normalmente tendremos problemas de compatibilidad a la hora de usar alguna aplicacion que requiera permisos de kernel o algun otro permiso importante.
Avast: este bloquea todo el uso que tenga que ver con el kernel externo a windows, es decir, no nos dejara usar el kernel en aplicaciones que sean desconocidas para windows, como process hacker, esto es irreversible y si o si se tiene que desinstalar el antivirus [y reiniciar la pc] para proseguir con la SS, si despues del reinicio el usuario no vuelve, se le da su debida sancion.
Panda: este antivirus tiene una opcion para bloquear aplicaciones, se recomienda si alguien tiene este antivirus, bloquearlo para proseguir con la SS (editado)
.MINECRAFT: - Aparte de revisar en el propio juego, esta es la carpeta que principalmente tienen que revisar, Windows + R = %appdata%
- Daran inicio a escanear la carpeta de .minecraft & .tlauncher si llega a estar, revisaran y en su carpeta de versions daran busqueda de algun cliente ilegal de los que encontraran en el apartado de Clientes prohibidos.
HISTORIAL DE NAVEGACION: - Esto es lo propio y adecuado a la hora de hacer una SS, ver los historiales de navegacion como, Opera, Edge, Chrome, FireFox, etc. manteniendo una compostura como staff, respeto y sin dar argumento sobre lo que el usuario tenga en su historial ya que es personal, excepto que tenga que ver con algo ilegal del juego.
CARPETAS INTERNAS
RECIENTES: - Ruta la cual nos enumera archivos recientes que hayamos abierto y/o accedido.
- Windows + R = shell:recent
- Analizaremos los resultados. (Algunas veces este sale en blanco por motivos de configuracion y optimizacion, se recomienda pasar por alto.)
TEMP: - Podremos ver los archivos temporales en la carpeta temp, esto puede ser util para buscar archivos .rar ejecutados o algun autoclicker generico con libreria JNativeHook
Windows + R = %temp%
Buscaremos: Rar$ex & JNativeHook
USAGELOGS: - Estos logs sirven para ver el uso de las aplicaciones como el nombre lo dice, es usado por antivirus para ver las actividades de este mediante estos logs y poder crear detecciones de malwares en caso de que algo sea indetectable para estos.
- Cabe recalcar que hay diferentes tipos de Usagelogs para diferentes distribuciones de windows:
1)C:\Users\%username%\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\(64 bits) 2)C:\Users\%username%\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\ (32 bits) 3)C:\WINDOWS\system32\config\systemprofile\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\ (64 bits) 4)C:\WINDOWS\SysWOW64\config\systemprofile\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\ (32 bits) (Algunos de estos pueden variar en funcionamiento debido al sistema operativo.)
FOLDERS: - Esto sirve para ver las opciones que tenemos sobre las carpetas de windows, esta opcion puede ser util para mostrar carpetas ocultas o como bien se sabe, la papelera de reciclaje.
- Windows + R = Control folders, luego en "vista" y desactivaremos la opcion llamada: ocultar archivos del systema (recomendado) y mostrar carpetas, aplicaciones y discos
PROGRAMAS CRASHEADOS ANTES DE INICIAR SS: - Podremos ver los crasheos de las aplicaciones con la siguiente ruta:
Windows + R = C:\Users\%username%\AppData\Local\CrashDumps
Podremos guiarnos en caso de que una aplicacion se haya crasheado antes de la ss, como una corrupcion de el selfdestruct de algun cheat.
PROCESS HACKER
PROGRAMAS RECIENTES: - Podremos ver la fecha mas reciente de inicio de procesos / servicios que el usuario haya reiniciado antes de la screenshare
Iremos a Process hacker y tocaremos la sección donde dice "Start time" dejándola en lo mas reciente
Analizaremos los resultados
PESTAÑAS OCULTAS: Opcion Windows, utilidad de process hacker que sirve para esconder ciertas pestañas activas. Esto hace que a la hora de esconder un cheat sin tener que hacer el tipico selfdestruct nos ayude a perderlo de vista ante los ojos del staff.
Se recomienda revisar detalladamente este, ya que un cheat muy facil de encontrar, se vuelve complicado si no se esta al tanto de esto.
HISTORIAL: Manera de confirmar lugares visitados y/o programas ejecutados por el usuario en la pc. (Para no confundirse tienen que scanear el que dice cachetask)
Lo scaneamos como cualquier proceso y pondremos "@file"
REVISION DE CPU: - Sirve para ver el uso de cpu que las aplicaciones necesitan, esto puede ser algo util para los cheats con un hide y que el usuario no haya hecho selfdestruct ni haya cerrado el cheat.
- Escanearemos el proceso explorer.exe y pondremos cpu usage
- Analizaremos los resultados.
EVENTOS EJECUTADOS POR EL USUARIO: En el eventlog muestra algunos archivos ejecutados por el usuario, simplemente es ver el proceso y buscar c:\users, cuando este termine pondremos .exe y saldran unos pocos de estos.
APLICACION EJECUTADA NO SEGURA: - Podremos ver algunos .exe con características distintas a los cotidianos que probablemente nos ayuden con la SS
Estos salen por el valor establecido por smartscreen "Warn" significa que esta aplicacion ejecutada no es segura, como la mayoria de los cheats de minecraft.
Scanearemos "Smartscreen.exe" y filtraremos Separado los valores a continuacion:
1) scenario
2) appcontrol
ANYDESK FALSO: - Los programas cada vez que se ejecutan por un usuario y/o sistema, deja una fecha de compilacion alojada en el proceso DPS, la mayoria de los cheaters de ahora usan como nombre anydesk.exe y cuando este es frezeado, remplaza o hace shiftdelete.
- Con este metodo podremos comparar la hora de compilacion de los AnyDesk reales, con el AnyDesh que verdaderamente es un cheat.
Datos de Compilacion:
AnyDesk 2.3.4: !2016/07/22:18:01:03!
AnyDesk 2.3.5: !2016/08/04:20:04:51!
AnyDesk 2.5.0: !2016/09/21:20:00:19!
AnyDesk 2.6.1: 2016/10/15:00:32:10!
AnyDesk 3.4.1: 2017/07/13:22:21:12!
AnyDesk 3.5.0: 2017/08/09:22:48:40!
AnyDesk 3.7.0: 2018/01/10:18:55:28!
AnyDesk 4.0: 2018/04/11:19:17:26!
AnyDesk 5.4.2: 2019/12/17:18:54:45!
AnyDesk 5.5.3: 2020/04/07:12:48:28!
AnyDesk 6.0.5: 2020/07/10:16:01:11!
AnyDesk 6.0.6: 2020/07/21:12:54:22!
AnyDesk 6.0.7: 2020/07/28:10:00:04!
AnyDesk 6.0.8: 2020/09/01:14:06:42!
AnyDesk 6.1.4: 2021/01/21:14:02:22!
AnyDesk 6.2.1: 2021/02/12:10:40:19!
AnyDesk 6.2.2: 2021/02/18:14:43:26!
AnyDesk 6.2.3: 2021/03/08:18:13:01!
AnyDesk 6.2.6: 2021/10/05:08:55:55!
AnyDesk 6.3.2: 2021/06/14:21:04:22!
AnyDesk 6.3.3: 2021/09/06:09:32:54!
LandSS 4.2.6: 2018/08/22:15:32:24!
AnyDesk 7: 2021/11/19:15:53:40
Estas son todas las versiones de anydesk actuales, desde la mas vieja a la mas nueva, en caso de que salga otra, sera motivo de sospecha.
BLSQUAD
ESCANEO DE CARPETAS: - En cada modalidad, Mod, version, optifine, etc. Damos en el boton de import ###
- Si el boton Sale verde, es porque el archivo a simple vista esta limpio, pero puede que tenga algo ilegal que el BLS no pueda detectar entonces procedemos a acudir a los otros pasos.
- Pero si el boton esta en rojo, tiene una alta posibilidad de que tenga una modificacion ilegal pero muy de vez en cuando sale por defecto ya que el archivo viene modificado por defecto, el boton rojo no significa sancion directa, significa que tienes que seguir buscando con mas atencion.
- Puedes revisar en todas las carpetas en la siguiente imagen, aunque son muy superficiales las revisiones es recomendable seguir revisando a fondo.
CMD
MODIFICACIONES: - Esto sirve para ver todas las modificaciones que se hicieron en archivos. - Entraremos a cmd y pondremos este comando.
1) cd c:\%HOMEPATH%\DESKTOP
2)fsutil usn readjournal c: csv > log.log
- Van a la ruta donde dejaron el .log y lo abren En el .txt que se les va a abrir, van a aparecer todos los logs de modificaciones hechas por windows, y por la persona en si. Por lo tanto, se recomienda buscar solo un poco antes de que lo hayan frozeado, para tener una idea, o banearlo de una si encuentran algo raro.
MODIFICACIONES 2.0: Tree, un comando que revela carpetas creadas y modificadas por el propio usuario, este comando no es usado a menudo, pero si el mismo tiene algun cheat en alguna parte de su pc escondido con otro nombre, este comando puede revelarlo.
DETECTAR MACROS
DETECCIÓN GENERAL: - Este es un metodo para detectar cualquier cambio de una carpeta recientemente, puede ser cualquier carpeta incluido obviamente la de los Macros del Software de un Mouse. En este caso usaremos Everything.
- Primero iniciaremos Everything, iremos a "Busqueda" y tocaremos la opción "Buscar solo carpetas".
- Una vez activada filtraremos por fecha de modificación así aparezcan las más recientes.
- Una vez así veremos el nombre de la carpeta y fundamentalmente la ruta de esta, así revisaríamos según que mouse tenga que archivo modifica y podremos banear al usuario.
MOUSE LOGITECH: - Podremos ver la modificacion de los macros de logitech fijandonos en la fecha de modificacion de el archivo settings.db
Windows + R = C:\Users\%username%\AppData\Local\LGHUB
MOUSE REDRAGON: - Redragon tiene diferentes tipos de software para cada mouse, esto puede ser un problema pero se intentará explicar lo mejor posible
- General Existe la posibilidad que la mayoria de los macros de redragon se queden guardados en los documentos del usuario, por lo tanto si tiene uno como estos, deberemos revisarlo. Todos los mouse de redragon tienen un archivo MacroSet.MSDB que se deberá pasar por alto ya que no tiene ninguna utilidad en torno a screenshare Tendremos archivos de macro con extenciones .MSMACRO o .PFD que tendremos que revisar.
- M715 Podremos detectar el mouse m715 mirando la fecha de modificacion de el archivo con terminacion .MSMACRO en documentos.
- M719 INVADER Podremos detectar el mouse m719 mirando la fecha de modificaion de archivo con terminacion .PFD en documentos.
MOUSE RAZER: - Turbo Mode
Windows + R = C:\ProgramData\Razer\Synapse3\Log
Analizaremos el archivo llamado: SynapseService.log
Ctrl + b = turbo: true
En caso de que este sea un resultado positivo y que la key sea right o left click, podremos banear al usuario.
Google Sites
Report abuse