Embedded Files
Просмотр запуска exe файлов за последний месяц >> Пкм по значку интернета >> Открыть «Параметры сети и интернета» >> Использование данных >> Если вы заметили какой-то неизвестный exe файл, то можно навестись на его название и увидеть путь к нему
Поиск в файлах
Перед проверкой файлов >> Проводник >> Вид >> Параметры >> Вид >>
выкл >> Скрывать защищенные системные файлы.
выкл >> Скрывать пустые диски.
вкл >> Показывать скрытые файлы, папки и диски.
Далее вводим в win + r >> file: >> тянем за уголок и смотрим какие там файлы
Также в win + r >> recent(если не работает shell:recent)
regedit >>
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications
Компьютер\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
Компьютер\HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
Если вы нашли что-то в регедите, то не спешите банить, т.к. это могут быть остатки читов. Проверьте дату использования через RegScanner
Далее смотрим такие папки как >>
Загрузки
Документы
Быстрый доступ(последние 20 файлов)
Видео
Корзину
Фишка как проверить когда изменялась/очищалась корзина >> Заходим на диск C >> $Recycle.Bin >> Смотрим на дату изменения если очищали за 3-5 минут до проверки - бан)
Everything
size:9951744|size:24536064|size:15438336|size:6229504|size:6573056|size:7187456|size:7969792|size:1562249|size:1672329|size:1677449|size:1680521|size:147329|size:138351|size:202720|size:7788032|size:22885|size:23810|size:138351|size:147329|size:7988736|size:3711166|size:3697285|size:3712014|size:5641728|size:4413440|size:114974|size:111866|size:274865|size:1820884|size:5007380|size:6944256|size:5934592|size:2545664|size:2108662|size:1961742|size:3684385|size:5143837|size:4413440|size:116689|size:1968128|size:8011776|size:1883602size:9951744|size:24536064|size:15438336|size:6229504|size:6573056|size:7187456|size:7969792|size:1562249|size:1672329|size:1677449|size:1680521|size:147329|size:138351|size:202720|size:7788032|size:22885|size:23810|size:138351|size:147329|size:7988736|size:3711166|size:3697285|size:3712014|size:5641728|size:4413440|size:114974|size:111866|size:274865|size:1820884|size:5007380|size:6944256|size:5934592|size:2545664|size:2108662|size:1961742|size:3684385|size:5143837|size:4413440|size:116689|size:1968128|size:8011776|size:1883602size:9951744|size:24536064|size:15438336|size:6229504|size:6573056|size:7187456|size:7969792|size:1562249|size:1672329|size:1677449|size:1680521|size:147329|size:138351|size:202720|size:7788032|size:22885|size:23810|size:138351|size:147329|size:7988736|size:3711166|size:3697285|size:3712014|size:5641728|size:4413440|size:114974|size:111866|size:274865|size:1820884|size:5007380|size:6944256|size:5934592|size:2545664|size:2108662|size:1961742|size:3684385|size:5143837|size:4413440|size:116689|size:1968128|size:8011776|size:1883602|size:5918208|size:1897269|size:31445308|size:24390144|size:17339|size:2023236|size:1750137|size:3786004|size:28084|size:6778|size:350629|size:24609266|size:42559591|size:137550|size:16855568|size:17406480|size:2305645|size:2306048|size:2373676|size:1691785|size:30720
LiquidBounce | Wurst | GishCode | Inertia | Impact | rename_me_pls.dll | Future | RusherHack | Pyro | Zamorozka | Konas | WintWare | Nursultan | NoRules | Akrien | Sigma | DeadCode | Eternity | Wexside | Rich | RichPremium | EdItMe.dll | mc100.dll | Matix | R3D | Celestial | Wild | Destroy | ArchWare | NightMare | BebraWare | bolshoy | Cortex | Fluger | Shit | .wex | Recode | Client | Fatal | Expensive | Minced | Client | Ares | Meteor | Calestial | .celka | dauntiblyat | Nova | crack | undetectable | baritone | Aristois | DreamPool | RockStar | Excellent | Bleach | hitbox | reach | Rise | armorhotswap | elytra_swap | Skill | Tweakeroo | ViaVersion | Thunder | ViaFabric | WWE | Bloody | Rusher | Prestige | Boze | Cosmos | Mio | TrollHack | Cascade | Catalyst | M3dC3t
Программы
Заходим в shellbag analyzer >> нажимаем "Анализ" >> один раз нажимаем на посещение и ищем удаленные папки от читов
Everything >> (так же нажимаем на стрелочку в панели задач, пкм по иконке Everything, после заходим настройки(settings) и смотрим исключения(excludes), если там есть директории, удаляем/убираем галочку с использования списка исключений, и начинаем смотреть результаты сайзов)
JournalTrace >>
Drive >> select >> Проверяем каждый диск, начиная с C; Drive >> scan >> Layout >> действуем по ситуации>>
Удаление лоадеров .jar, .exe | Data Grid | .jar, .exe, .dll, .mp3, .png, .jpg (в зависимости от ситуации ) name, нажимаем 2 раза по дате, чтобы стрелочка была вниз
Перемещение мода и папки mods | Data Grid | Путь до папки, меняем name на directory
Очистка папок и директорий | Data Grid | Вставляем путь к папке, либо директории там где name меняем на directory
Если вы не умеете пользоваться Directory Tree или у подозреваемого чищенные директории, то дальше нет смысла смотреть
Очистка диска | Directory Tree | C:\
Очистка корзины | Directory Tree| C:\Recycle Bin
RegScanner >> Ставим галочку на Display only values with the following types и выбираем там все >> Scan the following base keys тоже выбираем все >> В строке find string вводим найденное в regedit
ProcessHacker2 >>
ProcessHacker2 для ProstoLauncher >> [Клик]
В процесс хакере можно посмотреть уже заинжекченные ранее .dll файлы, для этого пкм по процессу майнкрафта javaw.exe >> Miscellaneous >> Inject dll, и по стрелочке смотрим какие файлы были заинжекчены ранее.
Далее нужно посмотреть выгруженные модули javaw.exe >> Miscellaneous >> Unloaded modules >> инородные dll имеют другой базовый адрес(дллки от майнкрафта и винды начинаются на 0x7)
Strings
В ProcessHacker2 пкм по процессу javaw.exe(тот, который потребляет больше всего оперативной памяти) >> Properties >> Memory>> Убираем галочку с Hide free regions >> Strings >> Minimum length: 4 >> Ставим все галочки >> Filter >> Contains (case insensitive) >> Вписываем туда по одной строке(писать через | нельзя)
Strings
Strings
Strings
Strings
(Niobium) > | nelqr | ]O-KfX | ili-e | [0-KfX | N IO BI UM | &-]UR | bsWg7 | bh\kF | bh/kF | x9D;e | W`Dh0 | D$@&"6G | @?sPOR |
(Cortex) > | 71KD | -LLdd5522 | HNtXxl | exitsave ///(8,9,18)| Stubborn.website | 2;Lnet/minecraft/entity/Entity;)V /// (33)| .]+5+]5 ///(Legit) | 5+]5]]q ///(Legit) | 10^]^]]]!!46 ///(Legit) | ?10_^]]]]_]]]]]]]^]]]]]]% | 99?_]10]]]]]]]]]] | _q]q]]q]+++++ | _]_]_]_]_]10]]]]]]] | .]+5+]5 | ]]]+4]
| A(Ljava/lang/String;Ljava/lang/5. String;IL /// (40)| -%0"0"-%-%-%4%4%4%0%0% | --LLdd5522 | HNtXxI |
(doomsday) > | <-8dd | :79Q | RcrIHx3#<d).-C;cm | db>-r+M^mxAa>fT | RefLIsx | MifoBfqbtEStGla_oDb | Pw1(/s | HASH_TICK | swift_sneak | getEventKeyState | getEventButton | getEventButtonState | swift_sneak | lagometerActive | consumerChunk | java.lang.ClassCircularityError | SCHEDULED_EXECUTABLES | lookAheadStep
| KsN[mAHrXJBvaPGea | -Lnet/minecraft/client/renderer/VirtualScreen; | SCHEDULED_EXECUTABLES ///(forge) | lookAheadStep ///(lunar) |
| hLit/unimi/dsi/fastutil/objects/Object2DoubleMap<Lnet/minecraft/tags/ITag<Lnet/minecraft/fluid/Fluid;>;>; |
(vert_client) > | Hitbox: | reach: | Ponda: | Kakish: |
(Expensive) > | expensive |
(ZenWare) > | ldldld.java |
(NoRules Legit) > | [__xz^[[yza[_a |
(Troxill) > | :|: | OnlyInt | oldSlot | k5u8q | getpremultiplyaplha | exitsave || fkernel32.dll (должен быть в «unload modules») ||
(DreamPool) > | D:\a\_work\1\s\\binaries\amd64ret\bin\amd64\\vcruntime140.amd64.pdb | readStructs |
| %Lmagictheinjecting/MagicTheInjecting; | ;(Ljava/lang/Object;)Lnet/minecraft/util/math/AxisAlignedBB; |
| ?(Ljava/lang/Object;Ljava/lang/Object;)Ljava/lang/StringBuilder; |
(Celestial) > | Celka | Celestial |
(Nursultan) > | nurik | nursultan |
(Akrien) > | akrien |
(WexSide) > | wexside | wex |
(хиты/самописные) > | %width% | ALLATORIxDEMOx | magictheinjecting | d-sfa03 | HASH_TICK |
(помойные хиты) > | bushroot | bush1root | baobab | hitbox |
(остальное) > | allatori | handler | killaura | TriggerBot | ASM: | tUxe. | ZUNoR | COMBAT | ASMEventHandler_
После, не забудьте посмотреть LastActivityView/ExecutedProgramList, UsbDriveLog, Shellbag
Page updated
Google Sites
Report abuse