- 7
- 8
Buona sera oggi vi spiegherò che cos’è il %temp% e come può tornarci utile in un controllo hack
per qualsiasi riferimento o domanda contattare l’amministratore del progetto “Angiloo”
La cartella Temp di Windows contiene file temporanei generici creati dal sistema operativo, per aprirla apriamo "Esegui" (Win + R) e digitiamo %temp%
Usiamo il %temp% per controllare che l'utente non abbia aperto un autoclicker con estensione .jar poichè quasi tutti questi autoclicker rilasciano nel %temp% un file chiamato JNativeHook quindi per controllare se l'utente abbia utilizzato un autoclicker .jar nel %temp% dobbiamo scrivere JNativeHook
»» %temp%
»» JNativeHook
»» Controlliamo l'ultima modifica del file chiamato JNativeHook in modo da capirne l'orario di avvio.
Nota Bene »»» L'utente potrebbe aver eliminato il file bypassando il cestino, in svariati modi, quindi rechiamoci su Process Hacker
»» ProcessHacker
»» explorer
»» Properties
»» Memory
»» Togliamo la spunta su "hide free regions"
»» Selezioniamo "4" al posto di "10"
»» Attiviamo la spunta su Image e Mapped
»» Filter
»» Contains (case-insensitive)
»» JNativeHook
Nota Bene »»» Se troveremo dei risultati come "JNativeHook, JNativeHookD", NON dobbiamo bannare l'utente poichè quelli sono risultati ricerca nel %temp%, quindi
dovremo prendere in considerazione solo le stringhe come JNativeHook-4576956031440593786.dll
Per controllare che l'utente non abbia aperto un cheat all'interno di un archivio WinRar:
»» %temp%
»» Rar$Exa
»» Controlliamo all'interno della cartella Rar$Exa tutti i file avviati dentro un archivio WinRar
Per controllare se è stato effettuato un Java -Jar (spiegherò più avanti che cos’è) andiamo su questo log che ci spunterà sul %temp% ma questo solo se il player ha Java 8:
»» %temp%
»» JavaLauncher.log
»» Vedremo se ci spunterà il comanda java -jar e come del file con cui ha fatto il metodo (ricordatevi di approfondire un detect specifico per questo metodo )
Da ricordare = Se troviamo una cartella con data e orario di ultima modifica maggiore dell'avvio del computer, verifichiamo che ci sia effettivamente un cheat all'interno prima di bannare l'utente, ovviamente il contenuto potrebbe essere stato modificato (spiegherò più avanti come verificarlo).
per qualsiasi riferimento o domanda contattare l’amministratore del progetto “Angiloo”
La cartella Temp di Windows contiene file temporanei generici creati dal sistema operativo, per aprirla apriamo "Esegui" (Win + R) e digitiamo %temp%
Usiamo il %temp% per controllare che l'utente non abbia aperto un autoclicker con estensione .jar poichè quasi tutti questi autoclicker rilasciano nel %temp% un file chiamato JNativeHook quindi per controllare se l'utente abbia utilizzato un autoclicker .jar nel %temp% dobbiamo scrivere JNativeHook
»» %temp%
»» JNativeHook
»» Controlliamo l'ultima modifica del file chiamato JNativeHook in modo da capirne l'orario di avvio.
Nota Bene »»» L'utente potrebbe aver eliminato il file bypassando il cestino, in svariati modi, quindi rechiamoci su Process Hacker
»» ProcessHacker
»» explorer
»» Properties
»» Memory
»» Togliamo la spunta su "hide free regions"
»» Selezioniamo "4" al posto di "10"
»» Attiviamo la spunta su Image e Mapped
»» Filter
»» Contains (case-insensitive)
»» JNativeHook
Nota Bene »»» Se troveremo dei risultati come "JNativeHook, JNativeHookD", NON dobbiamo bannare l'utente poichè quelli sono risultati ricerca nel %temp%, quindi
dovremo prendere in considerazione solo le stringhe come JNativeHook-4576956031440593786.dll
Per controllare che l'utente non abbia aperto un cheat all'interno di un archivio WinRar:
»» %temp%
»» Rar$Exa
»» Controlliamo all'interno della cartella Rar$Exa tutti i file avviati dentro un archivio WinRar
Per controllare se è stato effettuato un Java -Jar (spiegherò più avanti che cos’è) andiamo su questo log che ci spunterà sul %temp% ma questo solo se il player ha Java 8:
»» %temp%
»» JavaLauncher.log
»» Vedremo se ci spunterà il comanda java -jar e come del file con cui ha fatto il metodo (ricordatevi di approfondire un detect specifico per questo metodo )
Da ricordare = Se troviamo una cartella con data e orario di ultima modifica maggiore dell'avvio del computer, verifichiamo che ci sia effettivamente un cheat all'interno prima di bannare l'utente, ovviamente il contenuto potrebbe essere stato modificato (spiegherò più avanti come verificarlo).