ScreenShare Guide #2

Глава 1

  Prefetch.

Prefetch - это папка, в которой хранятся данные о всех запущенных exe-файлах. Эти данные содержат информацию о файлах и библиотеках, используемых программой.

1. Prefetch создается только при запуске .exe файлов. Для приложений на базе Java или Dll файлов вместо этого будут созданы записи java.exe и dllhost.exe / rundll32.exe / regsvr32.exe. Почему это важно знать? Потому что таким образом мы можем определить, запускал ли пользователь чит с переименованным расширением. Например, Cheat.exe переименован в Cheat.dll.

2. Для открытие папки Prefetch нажимаем комбинацию клавишь “Win + r” и вписываем “prefetch”, и нам открывается папка с файлами.

3. Prefetch является доказательством выполнения, то есть он фиксирует фактическое время выполнения файлов. Например, запуск File.exe в 10:00 не обновит это время в свойствах самого файла, однако это выполнение будет зафиксировано в prefetch с указанием времени выполнения в поле "Дата изменения".

4. Инструменты, такие как WinPrefetchView использует Prefetch и записи в реестре (Regedit). Это означает, что если Prefetch был очищен или удален, он не покажут следов выполнения. Поэтому также важно проверять удаленные файлы Prefetch.

Глава 2

WinPrefetchView

“WinPrefetchView” - предназначенный для анализа и просмотра содержимого файлов Prefetch. Он позволяет пользователям просматривать информацию о запусках программ, ассоциированных с файлами Prefetch, таких как время запуска, путь к исполняемому файлу, хэш файла и другие атрибуты.

1. Анализ следов “Consent.exe” в WinPrefetchView помогает определить, когда и какие программы открывались от имени администратора. 

2. Анализ следов “Conhost.exe” может помочь выявить, какие программы или скрипты запускались в системе. Это особенно полезно для выявления выполнения подозрительных команд 

Глава 3

Углубленный SystemInformer

Dps

Dps - это служба, которая предназначена для выявления, диагностики и исправления проблем в системе. 

1. Если приложение имеет нестандартное расширение, с помощью стринга мы можем просмотреть все файлы с нестандартным расширением, которые были открыты. Вписываем в Regex (case-insensitive). 

^!.)*$

SearchIndexer

SearchIndexer – это системный процесс, который отвечает за индексирование файлов.

1.  Данный стринг покажет все зарегистрированные приложение на Диске “C:”. Далее по ситуации вписываем .jar, .exe, и т.д. Вписываем в Regex (case-insensitive).

^file:C: 

1. Стринг показывает все взаимодействие с файлами, которые имеют расширение .exe и .jar. Вписываем в Regex (case-insensitive).

^file.+.(jar|exe)

PcaSvc

“Pca” - это системная служба, предназначенная для помощи пользователям в запуске старых или несовместимых программ.

1. Стринг предназначен для нахождение, .jar файлов открывавшиеся через -jar, в нашем случае Doomsday. Вписываем в Contains (case-insensitive).

-jar

Sysmain

Sysmain - это системный процесс, ранее известный как SuperFetch.

1. Стринг показывает все .pf файлы, которые имеют нестандартное расширение. Вписываем в Regex (case-insensitive).
   
   Отображает, те файлы с которыми взаимодействовали с выключением компьютера. 

C:\\windows\\prefetch((?!Exe).)*$

“Процесс javaw”

1. Выбираем “javaw.exe” для анализа Dll-Inject и памяти его.

0.1) Нажимаем два раза ЛКМ по “javaw.exe” переходим Modules -> Option -> Load Module и просматриваем Dll, которые инжектились. 

0.2) Просматриваем Unload Modules, нажимаем ПКМ по “javaw.exe” переходим Miscellaneous > Unloaded Modules, смотрим на наличие запрещенных Dll.  

0.3) Просматриваем загруженные Dll, нажимаем два раза ЛКМ по “javaw.exe” переходим Modules. Сортируем по “Description”, в начале должны быть пустыми,у Dll-читов он пустой. Добавляем в Active Columns: File name, File size, Load time, Time line. 

 Usb-View

1.  Можем просмотреть историю Usb, переходим по пути  System -> Options -> Disk Devices. Выбираем Usb во вкладке “Disconnected”, нажимаем два раза ЛКМ переходим Сведения -> выбираем “Дата последнего удаления”. 

// Если нету “Дата последнего удаления”, пропускаем и переходим к следующей, если их несколько.

 Глава 4

Jar-code

Для начала нам потребуется программа для просмотра кода JAR-файлов. Рекомендую использовать “JByteMod”. Откройте программу, выберите декомпилятор “Decompiler”, и, как правило, лучше всего работает режим “Fernflower”. Перетащите мод, который вы хотите проверить, в левое окно программы.

 Следующий шаг — понять, что именно мы ищем. Ниже будут перечислены методы и функции, связанные с хитбоксами. Поиск выполняется по ключевым словам, с помощью которых можно изменить размер хитбоксов. Если вы не уверены, что нашли код, относящийся к хитбоксам, лучше обратиться к старшим администраторам за помощью.

Список

“KeyInputEvent” – событие, которое регистрирует использование клавиш для активации, увеличения или уменьшения хитбоксов.

“RenderPlayerEvent” – событие, которое выполняет весь механизм чит-функции.

“AxisAlignedBB” (Forge) – параметр, связанный с хитбоксом игрока.

“func_174826_a” (Forge) / “method_5829” (Fabric) – метод/функция, отвечающий за выбор хитбокса игрока.

“func_174813_aQ” (Forge) / “method_5857” (Fabric) – метод/функция, отвечающий за взаимодействие с хитбоксом.

Методы и функции, отвечающие за геометрические данные:

Forge:

• func_226277_ct_()

• func_226278_cu_()

• func_226281_cx_()

• func_213302_cg

Fabric:

• class_238

• method_23317

• method_23321
  “Примеры”

1. Путь до кода с хитбоксами: lumien -> chunkanimator -> handler -> AnimationHandler.class. В этом файле мы можем наблюдать все импорты. Нас интересуют PlayerEntity и AxisAlignedBB.

Далее ищем код, связанный с этими импортами, и определить, отвечает ли он за хитбокс игрока. Как можно увидеть, здесь присутствуют параметры, связанные с хитбоксом, выбором его и геометрическими данными. 

2. Путь до кода с хитбоксами: vazkii -> near -> NeatConfigLoader.class. После анализа импортов мы наблюдаем RenderPlayerEvent и AxisAlignedBB. 

Глава 5

 Hosts

1. С помощью данного способа можно заблокировать доступ к сайту через файл “hosts”. Для этого найдите файл по пути

“C:\Windows\System32\drivers\etc”, откройте его через любой текстовый редактор. Если перед адресом сайта указать значение “127.0.0.1”, доступ к этому сайту будет заблокирован.

Глава 6

Wise Folder Hider

1. Приложение "Wise Folder Hider" позволяет скрывать файлы, папки и USB-устройства. Чтобы открыть его, можно воспользоваться поиском на компьютере или программой Everything. Открыв Приложение, вы сможете увидеть все элементы, которые были скрыты. // Для отображение скрытого элемента, надо нажать на “Показать в папке”.

0.1)  Если игрок забыл пароль от "Wise Folder Hider", можно посмотреть скрытые файлы и папки, не открывая приложение. Для этого Откройте программу "Everything". Введите в строку поиска wisefs.dat. Найдите файл wisefs.dat и откройте его с помощью блокнота. 

1. Если вам нужно проверить, использовал ли игрок приложение "UsbOblivion" для удаления истории USB, Откройте программу "Everything". Найдите в строке поиска UsbOblivion. Проверьте папку Prefetch на наличие файлов, связанных с запуском "UsbOblivion". Если обнаружите, что программа была запущена сегодня, это может служить основанием для бана игрока.